Забывчивая передача

( OT - oblivious transfer) это тип протокола передачи данных в котором передатчик передает по одному возможные части информации получателю, но не запоминает (является забывчивым)какие части были переданны (если вообще были).

Забывчивый протокол Рабина

В забывчивом протоколе передачи данных Рабина, отправитель генерирует RSA публичные модуля N = pq где p и q большие числа и экспоненту е к (p -1)(q -1). Отправитель шифрует сообщение m как m mod N.

1. Отправитель посылает N, e и m^e mod N получателю.

2. Получатель выбирает случайное x modulo N и передает x ² mod N отправителю.

3. Отправитель находит квадратный корень y из x ² mod N и передает y получателю.

Если отправитель находит y не является ни x ни - x modulo N, получатель сможет факторизовать N0 и тем самым расшифровать m^e для получения m. Однако, если y is x или - x mod N получатель не будет иметь информации о m. Т.к. каждый квадратный вычет modulo N имеет 4 квадратных корня, шанс что получатель расшифрует m равен 1/2.

Забывчивый 1 к 2.

В данной версии протокола, отправитель полсылает два сообещния m ₀ и m ₁, а порлучатель имеет бит b, и хотел бы получить m_b, без того что бы отправитель узнал b, в то же время отправитель хочет быть уверенным в том, что получатель получил только одно из двух сообщений.⁵

1. Отправитель имеет два сообщения, m ₀, m ₁, и хочет отправить одно единственное получателю, но не хочет знать какое из них именно он получит.

2. Отправитель генерирует пару ключей RSA, содержащие модули N, публичную эспоненту e и скрытую d.

3. Отправитель так же генерирует два случайных значений x ₀, x ₁ и отсылает их получателю вместе с публичными модулями и экспонентой

4. Получатель выбирает b (1, 0) и выбирает или первый или второй x_b.

5. Получатель генерирует случайное значение k и шифрует x_b расчитывая , которые возвращает отправителю.

6. Отправитель не знает какое из x ₀ и x ₁ выбрал получатель, и пытается расшифровать оба случайных сообщения, получая два возможных значения k: и . Одно из них будет соответсвовать k, будучи корректно расшифрованным, тогда как другое будет случайным значение, не раскрывающем никакой инфомации о k.

7. Отправитель шифрует оба секретных сообщения с каждым возможным ключем m '₀ = m ₀ + k ₀ m '₁ = m ₁ + k ₁ и посылает их оба получателю.

8. Получатель знает какое из двух сообщений может быть расшифрованно с помощью k, и он получает возможность расшифровать только одно сообщение m_b = m ' _b − k

Забывчивый 1изn и k-из-n.

Забывчивый протокол 1-из-n и забывчивый протокол k-из-n может быть определен как обощение Забывчивого протокола 1-из-2. Получатель имеет n сообщений а получатель - индекс i; получатель желает получить только i -тое сообщение из списка, без того что бы отправитель узнал i, а получатель получил только это сообщение.⁶

В дальнейшем этот тип протоколов был обобщен до k-из-n, где получатель получает набор из k из n коллекции сообщений. Набор из k сообщений может быть получен одновременнои, или же они могут быть запрошенны по порядку, где каждый следующий запрос основанн на предыдущем запросе.