亂碼電路第3部分：遺忘轉(zhuǎn)移

在我們的亂碼電路系列的第 2 部分中，我們看到，如果我們有辦法讓 Alice 在 Alice 不知道 Bob 收到什么信息的情況下向 Bob 發(fā)送一些他需要的信息，那么可以私下評估任意函數(shù)（即，不透露要計算的函數(shù)的輸入）。雖然這在直覺上似乎是不可能的，但發(fā)送方（愛麗絲）有一種方法可以向接收方（鮑勃）提供一組可能的消息，這樣鮑勃從愛麗絲那里得到他想要的消息，但愛麗絲不知道鮑勃收到了哪條消息 - 即使她提供了消息！

要了解遺忘傳輸?shù)?a target="_blank">工作原理，需要對公鑰加密有一個基本的了解。公鑰加密的每個用戶都有兩個數(shù)學(xué)上相關(guān)的密鑰，而不是在用戶之間共享私鑰（與 AES 一樣）：私鑰 k 只有用戶知道，以及公鑰 kG，其中 G 是公共參數(shù)。用戶可以向任何人透露他們的公鑰 kG，但絕不能透露他們的私鑰 k。即使其他用戶都知道 G 和 kG，也無法提取用戶的私鑰 k。

讓我們來看看這個協(xié)議是如何工作的，以了解為什么接收方只能恢復(fù)一條消息，以及為什么發(fā)送方不知道收到了哪條消息：

發(fā)送方首先發(fā)布公鑰值 kG，只有他們知道該值 k。即使 kG 和 G 都是公開的，其他人也不可能恢復(fù) k。

接收方現(xiàn)在構(gòu)造一個值，該值取決于他們想要的消息 M0 或 M1。此值必須被值 rG “屏蔽”，否則發(fā)件人將清楚他們選擇的是哪條消息。

為了接收 M0，它們構(gòu)造并發(fā)送 R = 0（kG） + rG = rG

為了接收 M1，它們構(gòu)造并發(fā)送 R = 1（kG） + rG

由于發(fā)送方不知道值 rG，因此他們無法區(qū)分 （rG） 和 （rG + kG）。發(fā)送方現(xiàn)在構(gòu)造并返回兩個值 V0 和 V1。讓我們根據(jù)接收方要恢復(fù)的消息來研究 V0 和 V1 是什么：

請記住，接收方只能訪問 G、kG 和 r，因此他只能通過將隨機值 r（他們選擇）乘以發(fā)送方公鑰 kG 來計算非盲值 r（kG）。接收方無法計算紅色的盲值，因為接收方不知道 k。 請注意接收方如何通過從相應(yīng)的 Vb 值中減去 r（kG） 來成功解盲他們選擇的消息 Mb。但是，他們無法刪除 V（1-b） 上的盲法，因為接收方不知道發(fā)送方的私鑰 k 來計算 k（rG - kG） 或 k（kG + rG）。因此，接收方準確地恢復(fù)了他們請求的消息，而發(fā)送方不知道他們能夠恢復(fù)哪條消息！

賦值器步驟 （鮑勃）

現(xiàn)在我們已經(jīng)了解了 Oblivious Transfer 的工作原理，我們準備完成上一篇文章并完成評估任何函數(shù)的通用解決方案，而無需任何一方透露他們的輸入。

Alice 生成亂碼表后，將連線 1 和亂碼輸出列的輸入鍵發(fā)送給 Bob。為了檢索與鮑勃的輸入位b對應(yīng)的線路2的輸入鍵，他與Alice進行了遺忘傳輸協(xié)議。這允許 Bob 只學(xué)習(xí)與他的輸入位 b 對應(yīng)的鍵，而 Alice 不知道 Bob 能夠恢復(fù)哪個輸入鍵。亂碼表現(xiàn)在處于以下狀態(tài)：

Bob 知道這對輸入鍵正好解鎖了一個亂碼輸出條目，但由于他不知道 Alice 的鍵對應(yīng)于哪個輸入位，他將不得不嘗試解密所有四個條目。只有一個解密條目位于 {0，1} 中，而其他條目將顯示為隨機數(shù)。Bob 現(xiàn)在發(fā)布結(jié)果，以便 Alice 和 Bob 都了解函數(shù)的結(jié)果，而不必透露他們的私人輸入。

亂碼電路的應(yīng)用

使用專用輸入計算函數(shù)的問題稱為安全多方計算（MPC）或安全函數(shù)評估（SFE）。亂碼電路為許多不同領(lǐng)域的重要問題提供了解決方案，包括IP保護（在不知道功能是什么的情況下評估功能），醫(yī)療保?。ǚ治龆慌夺t(yī)療記錄），生物識別（比較而不披露生物特征測量值），私有數(shù)據(jù)庫即服務(wù)（托管和處理對處理器隱藏的客戶數(shù)據(jù)的查詢），基于云的機器學(xué)習(xí)（保護專有模型免受客戶侵害， 以及來自處理器的敏感客戶數(shù)據(jù)）等等！

審核編輯：郭婷