不经意加密:基于不经意传输的加密

Question

我知道一些OT协议，其中大多数使用公钥加密、密钥建立(或类似的构造)作为基础。我对其他OT协议并没有具体的了解，但是最近我们一直在讨论量子后OT，这实际上激发了一些“新的(？)”的方法。非对称加密的类型。这可能是潜在有用的，如果OT出现，它不是建立在公钥密码或密钥建立，并证明是后量子安全。

在这里，我想描述一下某种形式的加密，谦卑地命名为“不经意加密”。

加密:对于Alice消息中的每个位$b_i$，Bob创建两个随机数$r_{i_0}$和$r_{i_1}$。通过OT，爱丽丝根据$r_i$的比特值选择其中的一个随机值作为$b_i$。Alice将所有$r_i$段作为加密消息发送给Bob。

注意: Bob使用的是带有种子的PRG (种子充当密钥，不应该重复使用)

解密: Bob使用相同的种子启动PRG。对于每个$r_i$段，Bob重新创建两个随机数$r_{i_0}$和$r_{i_1}$选择与位$0$或$1$相关联的值，构造消息$m$的$b_i$值。

本质上，这是一个非常愚蠢的对称加密方案(可能类似于OTP)；然而，随着OT的接触，它变得有点不对称，因此被称为不经意加密。首先，这说得通吗？是否有类似的构造，您对此方案的安全性有什么看法？

Answer 1

如果您的目标是让Alice安全地向Bob发送消息(在被动窃听者在场的情况下)，那么它就实现了这个目标。如果对手是主动的，这是不安全的。

如果Alice和Bob需要多次通信，您可以使用OT扩展(如果随机oracle模型是可以接受的)而不是OT来提高效率。基本上，OT扩展使用少量的基本OT调用(涉及公钥操作)来引导，然后您可以多次调用基于对称密钥的OT功能。一些参考资料：

• 尤瓦尔·伊沙伊，乔·基利安，科比·尼西姆，埃雷兹·彼得兰克:有效地扩展不经意的转移。密码2003
• Gilad和Yehuda Lindell，Thomas和Michael，更有效的不经意转移和扩展，以加快安全计算，CCS13 13
• 作者声明:改进了用于传输短秘密的OT扩展.2013年密码年
• 作者声明:积极确保OT扩展具有最佳开销.密码2015
• 阿皮塔·帕特拉，普拉蒂克·萨卡尔，阿吉思·苏雷什:快速积极地保护短秘密的OT扩展.2017年年国家发展战略

也就是说，您的协议不太有效(用于实现目标)，而且有更简单和更好的方法(例如，只需进行密钥交换并使用会话密钥对消息进行加密)。