不经意传输

不经意传输（英语：Oblivious transfer）是密码学中的一类协议，实现了发送方将潜在的许多信息中的一个传递给接收方，但对接收方所接收信息保持未知状态。

不经意传输的第一种形式是由迈克尔·拉宾 (科学家)在1981年提出的。^[1]这种形式的不经意传输发送方会有 1/2 的概率将消息发送给接收方，而发送方不知道接收方是否接收到该消息。

这种不经意传输方案基于RSA加密算法。1-2不经意传输是一种更为常用的不经意传输方案，这种方案被Oded Goldreich（英语：Oded_Goldreich）、亚伯拉罕·蓝波和Shimon Even（英语：Shimon_Even）发展成为安全多方计算协议。^[2]一般被称为 “1-n不经意传输”，在这种协议下用户仅能获得数据库中的一个元素，而服务器不知道用户查询了哪一个元素。不经意传输是私有信息检索的加强版本。

Claude_Crépeau（英语：Claude_Crépeau）指出，迈克尔·拉宾的不经意传输等同于1-2不经意传输。^[3]

进一步的工作表明，不经意传输是密码学中的一个基本而重要的问题，被认为是该领域的关键问题之一，对于安全多方计算来说是完整的实现。^[4]

1–2 不经意传输协定

1-2 不经意传输协定中，发送方 Alice 有两个讯息 m₀ 和 m₁，并希望确保接收方只知道其中一个。接收者 Bob 有一个位元 b，希望在 Alice 不知道 b 的情况下接收 m_b。 Even-Goldreich-Lempel 协定 (作者部分归功于 Silvio Micali)是普遍性的，但可以使用 RSA 加密实作如下。

Alice				Bob
计算	私密	公开		公开	私密	计算
准备送出的讯息	${\displaystyle m_{0},m_{1}}$
生成 RSA 密钥对，并且将公钥送给 Bob	${\displaystyle d}$	${\displaystyle N,e}$	${\displaystyle \Rightarrow }$	${\displaystyle N,e}$		接收公钥
产生两个随机讯息		${\displaystyle x_{0},x_{1}}$	${\displaystyle \Rightarrow }$	${\displaystyle x_{0},x_{1}}$		接收随机讯息
					${\displaystyle k,b}$	从${\displaystyle \{0,1\}}$中选择${\displaystyle b}$的值。产生随机数${\displaystyle k}$
		${\displaystyle v}$	${\displaystyle \Leftarrow }$	${\displaystyle v=(x_{b}+k^{e}){\bmod {N}}}$		用随机讯息${\displaystyle x_{b}}$混淆${\displaystyle k}$进行加密后送给 Alice
此两者其中之一会等同${\displaystyle k}$，但 Alice 并不知道是哪一个	${\displaystyle {\begin{aligned}k_{0}&=(v-x_{0})^{d}{\bmod {N}}\\k_{1}&=(v-x_{1})^{d}{\bmod {N}}\end{aligned}}}$
送出两个讯息给 Bob		${\displaystyle {\begin{aligned}m'_{0}=(m_{0}+k_{0}){\bmod {N}}\\m'_{1}=(m_{1}+k_{1}){\bmod {N}}\end{aligned}}}$	${\displaystyle \Rightarrow }$	${\displaystyle m'_{0},m'_{1}}$		接收两个讯息
					${\displaystyle m_{b}=(m'_{b}-k){\bmod {N}}}$	因为 Bob 知道它之前选择的 ${\displaystyle x_{b}}$ 是哪一个，它能够解密出 ${\displaystyle m'_{b}}$