30、线性复杂度的恶意模型安全私有集合交集协议与认证密钥交换编译器

线性复杂度的恶意模型安全私有集合交集协议与认证密钥交换编译器

线性复杂度的恶意模型安全私有集合交集协议

计算过程

在计算 $Z$、${M’ i}$、${T {s:j}}$ 时：
- $Ch2$ 设置 $Z = A$，并计算 $M’ i = C(A)^{r_q + R {c:i}}$。
- 对于每个 $s_j \in S$，如果 $s_j \in L$，$Ch2$ 计算 $T_{s:j} = H_2(C(A)^{r_q}, h_{s_j}, s_j)$。

在 $DDH$ 假设下，使用与定理 1 证明中类似的论证，$C^ $ 在与真实服务器 $S$ 交互和与模拟器 $Ch2$ 交互时的视图是不可区分的。假设出现失败情况，即 $C^ $ 对 $s_j \in S$ 但 $s_j \notin L$ 的 $((h_{s_j})^{R_s}, h_{s_j}, s_j)$ 向 $H_2$ 进行查询。$Ch$ 检查对于每个 $q \in S$ 且 $q \notin L$，是否存在 $(q, r_q, h_q) \in T_1$ 和 $((k, h’_q, q’), t) \in T_2$ 使得 $q = q’$，$h_q = h’_q$，$k = C(A)^{r_q}$。如果是，则 $Ch$ 输出 $True$；否则，$Ch2$ 输出 $False$。这样，$Ch$ 解决了 $DDH$ 问题。由于失败发生的概率可忽略不计，$C^*$ 在与真实世界服务器 $S$ 的协议交互和与 $SIM_c$ 的交互中的视图差异可忽略不计。

协议效率分析

我们分析了协议的效率