Glemsom transmission

Oblivious transfer (ofte forkortet som OT - oblivious transfer) - i kryptografi , en type dataoverførselsprotokol, hvor senderen sender én mulig information til modtageren, men ikke husker (er glemsom) hvilke dele der blev overført, evt. .

Den første form for glemsom transmission blev introduceret i 1981 af Michael O. Rabin 1 . I denne form sender senderen en besked til modtageren med en sandsynlighed på 1/2, mens den ikke husker, om beskeden blev modtaget af modtageren eller ej. Den uvidende Rabin-algoritme er baseret på RSA -kryptosystemet. En mere nyttig form for oblivious protokol, kaldet 1-2 oblivious transfer eller "1 of 2 oblivious transfer", blev udviklet senere af Shimon Ewen, Oded Goldreich og Abraham Lempel med det formål at skabe en protokol for fortrolige computerprotokoller . Denne protokol blev senere generaliseret til "Glemsom transmission 1 af n", hvor brugeren modtog præcis 1 stykke information, og serveren ikke vidste hvilken; desuden vidste brugeren ikke noget om de resterende dele, der ikke blev modtaget.

I løbet af det videre arbejde blev glemsomme protokoller et af de grundlæggende og vigtigste problemer i kryptografi. De betragtes som det vigtigste emne inden for kryptering på grund af vigtigheden af applikationer bygget oven på dem. Især glemsomme protokoller har gjort protokoller til fortrolig databehandling mulige . fire

Rabins uvidende transmissionsalgoritme

I den uvidende Rabin-dataoverførselsprotokol genererer afsenderen RSA offentlige moduler N = pq , hvor p og q er store primtal , og eksponenten e er coprime til ( p -1)( q -1). Afsenderen krypterer beskeden m som m e mod N .

Afsenderen sender N , e og m e mod N til modtageren.
Modtageren vælger en tilfældig x mod N og sender x 2 mod N til afsenderen.
Afsenderen finder kvadratroden y af x 2 mod N og sender y til modtageren.

Hvis afsenderen finder et y , der hverken er x eller -x mod N , kan modtageren faktorisere N og derved afkode m e for at opnå m . (mere detaljeret Rabins kryptosystem )

Men hvis y er lig med x eller - x mod N , vil modtageren ikke have nogen information om m . Da hver kvadratisk rest mod N har 4 kvadratrødder, er chancen for, at modtageren vil dechifrere m 1/2.

Glemsom protokol 1 til 2

I denne version af protokollen sender afsenderen to beskeder m 0 og m 1 , og modtageren har bit b , og vil gerne modtage m b , uden at afsenderen ved b , mens afsenderen vil være sikker på at modtageren har modtaget kun en af to beskeder. 5

Afsenderen har to beskeder, , og ønsker at sende en enkelt besked til modtageren, men ønsker ikke at vide, hvilken modtageren vil modtage. ${\displaystyle m_{0},m_{1))$
Afsenderen genererer et RSA-nøglepar, der indeholder moduler , en offentlig eksponent og en skjult . $N$ $e$ $d$
Afsenderen genererer også to tilfældige værdier og sender dem til modtageren sammen med de offentlige moduler og eksponenten $x_{0},x_{1}$
Modtageren vælger (1, 0) og vælger enten den første eller den anden . $b$ ${\displaystyle x_{b))$
Modtageren genererer en tilfældig værdi og krypterer beregningen , som returneres til afsenderen. $k$ ${\displaystyle x_{b))$ $v=(x_{b}+k^{e})\mod N$
Afsenderen ved ikke, hvilken og modtageren har valgt, og forsøger at dekryptere begge tilfældige beskeder og får to mulige værdier : og . En af dem vil matche , idet den er korrekt afkodet, mens den anden vil være en tilfældig værdi, der ikke afslører information om . $x_{0}$ $x_{1}$ $k$ $k_{0}=(v-x_{0})^{d}\mod N$ $k_{1}=(v-x_{1})^{d}\mod N$ $k$ $k$
Afsenderen krypterer begge hemmelige beskeder med alle mulige nøgler og sender dem begge til modtageren. ${\displaystyle m'_{0}=m_{0}+k_{0))$ ${\displaystyle m'_{1}=m_{1}+k_{1))$
Modtageren ved, hvilken af de to beskeder der kan dekrypteres med , og han får kun dekrypteret én besked. $k$ $m_{b}=m'_{b}-k$

Glemsom 1-ud- n - protokol og glemsom k - out - n -protokol

Den glemsomme 1-ud- n - protokollen og den glemsomme k - ud - n -protokollen kan defineres som en generalisering af den glemsomme 1-ud-2-protokollen. Afsenderen har n beskeder og modtageren har indeks i ; modtageren ønsker kun at modtage den i -te besked fra listen, uden at afsenderen ved i , og modtageren modtager kun denne besked. 6

Denne type protokol blev senere generaliseret til k - out - n , hvor modtageren modtager et sæt af k ud af n meddelelsessamlinger. Et sæt af k beskeder kan modtages på samme tid, eller de kan anmodes om i rækkefølge, hvor hver efterfølgende anmodning bygger på den tidligere anmodning.

Se også

Noter

Links

↑ Michael O. Rabin. "Hvordan man udveksler hemmeligheder ved uvidende overførsel." Teknisk rapport TR-81, Aiken Computation Laboratory, Harvard University, 1981.Scannet håndskrift på eprint.iacr.org arkiv Arkiveret23. november 2021 påWayback Machine. Skrevet version tilgængelig påDoustis hjemmeside Arkiveret2. juli 2013 påWayback Machine(alternativt link på Google Docs).
↑ Joe Kilian. "Founding Cryptography on Oblivious Transfer", Proceedings, 20th Annual ACM Symposium on the Theory of Computation (STOC), 1988.Paper på ACM-portalen (kræver abonnement)
↑ Gilles Brassard,Claude CrepeauogJean-Marc Robert. "Alt-eller-intet afsløring af hemmeligheder." In Advances in Cryptology: CRYPTO '86, bind 263 af LNCS, side 234-238. Springer, 1986.
↑ Moni NaorogBenny Pinkas. "Uvidende overførsel med adaptive forespørgsler." In Advances in Cryptology: CRYPTO '99, bind 1666 af LNCS, side 573-590. Springer, 1999.