隐私计算之不经意传输

隐私计算之不经意传输

今天讲一讲密码学中一种重要的隐私保护协议-不经意传输（Oblivious Transfer，简称 OT），1981 年由密码学家 Ron Rivest 首次提出 1-out-of-2 OT 的概念，其核心特点是允许信息发送方与接收方在传输过程中，使接收方仅获取特定信息，而发送方不知道接收方具体获取了哪部分信息，从而实现双方的隐私保护。

主要类型包括2选1（1-out-of-2）、N选1（1-out-of-N）、N选k（k-out-of-N）、适应性不经意传输（Adaptive OT）。

1. 1-out-of-2（简写1oo2）\ 2选1 OT 是一种最基础的形式，发送方拥有 2 个消息 $m_0,m_1$，接收方接受2个消息中的其中一个且另一个未知，发送方并不知道接收方的选择。
2. 1-out-of-N（简写1ooN）\ N选1 OT 是一个扩展的场景，发送方拥有 N 个消息，接收方接受N个消息中的其中一个且其他消息未知，发送方并不知道接收方选择的是哪一个消息。
3. k-out-of-N（简写kooN）\ 继续扩展场景就有了 N选k OT，发送方拥有 N 个消息，接收方接受N个消息中的其中一个且其他消息未知，发送方并不知道接收方选择的是哪一个消息。
4. 适应性不经意传输（Adaptive OT）\ 接收方的选择可能依赖于协议执行过程中获取的信息，适用于动态隐私需求场景。

举例 1oo2

该例子来自于论文 Efficient Oblivious Transfer Protocols [np99]。用图直接描述一般 OT 协议如图1所示。

用图描述论文中的2选1 OT协议如图2所示。

不经意传输主要应用在多方安全计算、隐私查询、隐私集合求交等场景中。它是密码学的 “隐私基石”，通过密码学协议确保信息传输中的选择性与匿名性，其应用贯穿区块链、网络安全、人工智能等领域。随着数据隐私需求的增长，OT 与其他密码学技术（如 ZK、MPC）的融合将进一步推动 “可信任计算” 的发展。

1. 隐私保护型数字商品交易\ 用户匿名支付后获得银行签名的令牌（Token），利用OT协议向商家提交令牌。商家无法得知用户具体购买的商品，仅可验证令牌有效性，用户则仅能解密自己购买的商品内容。电影、音乐等数字产品平台，避免商家追踪用户消费偏好，同时防止用户盗取未购买内容。
2. 匿名投票与民主治理\ 投票选项作为OT的输入消息，选民选择其一并生成零知识证明。合约验证证明的有效性并统计结果，全程不关联选民身份与投票内容；DAO治理中隐藏代币持有者的投票倾向，防止贿选或胁迫。
3. 合规数据共享与医疗记录访问\ 医院作为发送方提供加密的患者数据集（如不同病历），研究人员通过OT选择特定数据子集。智能合约验证研究者的访问权限（如伦理审批签名），自动解密目标数据，全程不泄露选择信息;满足GDPR等合规要求，支持医疗研究而不暴露患者全量数据。
4. 供应链隐私竞标与溯源\ 供应商提交加密报价（每条报价对应一个OT消息），采购方选择最优报价并解密。合约自动触发交易，但隐藏落标者信息及具体报价数值。

插图

图1：

图2：