两消息统计性隐私协议

原创于 2025-10-25 10:04:17 发布 · 1k 阅读

20 ·

CC 4.0 BY-SA版权

文章标签：

#统计隐私 #两消息协议 #NP论证 #可提取承诺 #不经意传输

统计性见证不可区分性（及其他）在两条消息中

摘要

两轮见证不可区分协议最早由杜沃克和诺尔（FOCS 2000）构建。此后，它们在多种密码学原语的设计中被证明极为有用。然而，迄今为止尚无针对恶意验证者的两轮NP论证提供 statistical privacy。在本文中，我们构建了首个： ◦两消息统计不可区分的证明者（SWI）论证适用于NP。面向NP的两消息统计零知识论证，具有超多项式模拟（统计SPS‐零知识）。两消息统计性分布弱零知识（SwZK）论证，适用于NP问题，其中模拟器是一个具有对区分器的预言机访问权限的概率多项式时间机器，且实例由证明者在第二轮中采样。这些协议基于两轮不经意传输（OT）的准多项式难度，而后者又可基于 DDH、QR或 Nth剩余性的拟多项式难度。我们还展示了如何利用此类协议构建安全性更高的不经意传输形式。在此过程中，我们证明了卡莱和拉兹（Crypto 09）将交互式 proofs 压缩为两消息论证的方法可以推广到压缩某些类型的交互式 arguments。我们引入并构建了一种新的技术工具，它是可提取的两消息统计隐藏承诺的一种变体，该工作基于库尔哈纳和萨海（FOCS 17）的近期成果。这些技术可能具有独立的研究价值。

1 引言

见证不可区分（WI）协议[16]允许一个证明者说服验证者某个陈述 x属于一个 NP语言 L，并提供以下隐私保证：如果有两个见证 w1， w2它们都证明了事实 x ∈ L，那么一个计算能力受限的验证者应无法区分使用见证 w1的诚实证明者和使用见证 w2的诚实证明者。WI是零知识的一种放宽形式，已被证明具有出人意料的实用性。由于WI是一种放宽形式，与零知识不同，目前尚无已知的下界限制构建WI协议所需的交互轮数。事实上，在一项具有影响力的工作中，杜沃克和诺尔[14]提出了证明者与验证者之间仅需交换两条消息的WI协议，并且这些协议后来被[6]进一步去随机化为非交互式协议。由于这种极低程度的交互性，两消息WI协议在多种密码学原语的设计中被证明非常有用。之后，[4,8,21,23]分别基于双线性映射、不可区分混淆和准多项式DDH等假设实现了两消息或非交互式WI协议。

两消息统计性WI

在本研究中，我们重新审视了构造两消息WI协议这一基本问题，并探讨是否有可能将WI隐私保证提升至即使面对计算能力无界的验证者也成立。换句话说，我们能否为NP构造仅需交换两条消息的统计性WI（S WI）协议？这自然对应于零知识协议背景下最早研究的问题之一：对于NP，是否存在统计性零知识论证[10]？

事实上，统计安全性之所以重要，是因为它能够在协议执行结束后很长时间内仍为对抗恶意验证者提供永久隐私。另一方面，健全性通常仅在在线环境中才需要：为了使验证者相信一个虚假陈述，作弊证明者必须在协议执行期间找到一种欺骗方式during。

实现两消息统计性WI的关键瓶颈在于如何证明健全性。例如，将非交互式零知识（NIZK）协议通过杜沃克‐诺尔变换转化为两消息WI时，要求底层 NIZK是一个证明系统——即该NIZK必须对计算能力无界的作弊证明者保持健全性。当然，为了实现统计隐私，我们必须牺牲对无界证明者的健全性。因此，令人惊讶的是，在两消息WI协议提出17年之后，直到我们的工作出现之前，尚未有任何两消息统计性WI论证的构造被提出。事实上，即使是对于三消息协议，这个问题也一直未解决。

在我们的第一个成果中，我们解决了这一研究问题，基于针对准多项式时间攻击者的标准密码学困难性假设（例如DDH、二次剩余性或 N次剩余性的拟多项式难度），构建了首个适用于NP的两消息统计性WI论证。由于两消息WI具有广泛的应用性，而统计隐私在许多计算隐私无法满足需求的场景中非常有用，我们预计这种两消息SWI论证将成为协议设计工具箱中一个有用的新型工具。

更强的两消息统计性私有协议

我们用于构建两消息SWI的技术还使我们能够实现其他形式的统计隐私。

证明系统中最流行的隐私概念之一是零知识。这通常通过模拟来形式化，即证明存在一个多项式时间模拟器，能够模拟任意多项式大小（恶意）验证者的视图。直观上，这种模拟器的存在意味着，任何多项式大小的验证者从诚实证明者处获得的信息，他本可以自行生成（以一种不可区分的方式），而无需访问这样的证明者。已知[20]零知识在仅两条消息中是不可能实现的。然而，其他较弱的变体已被证明在此设置下是可实现的。

帕斯 [29]是第一个构造出具有拟多项式时间模拟的两消息论证的人。在他的工作中，模拟的证明对于运行时间明显小于（均匀）模拟器的区分器而言是不可区分的。最近，[27]构造了首个针对 NP 的两条消息论证，实现了超多项式强模拟，其中即使对于运行时间明显大于（均匀）模拟器的区分器而言，模拟的证明仍然是不可区分的。这些成果体现了一种直觉：对于任何拟多项式大小的验证者从诚实证明者处学到的信息，验证者在相似的时间内也能生成不可区分的信息。

一种更强的安全属性是超多项式统计模拟，即模拟器的输出与协议的真实执行结果是不可区分的，即使面对以无限时间运行的区分器也是如此。本文中，我们构造了首个在两条消息内满足此性质的论证。1这改进了 [27] 的工作，将其隐私保障提升至统计级别。

我们注意到，在所有这些论证中，模拟器通过破坏证明的可靠性来工作，因此上述所有两消息论证仅对运行时间小于模拟器的证明者是可靠的。

最近，[23]表明通过弱化ZK要求可以克服这一限制。具体而言，他们构造了在延迟输入分布设置下的两消息论证，实现了区分器相关的多项式时间模拟。这些协议仅满足计算隐私，而一个自然的开放问题是实现统计隐私。我们证明，我们的技术可用于在延迟输入分布设置下构建NP问题的两消息论证，实现区分器相关模拟，其中模拟器以多项式时间运行并具有对区分器的预言机访问，并达到统计隐私。

我们的核心技术

我们的关键技术包括将交互式协议压缩为两消息协议。具体来说，我们从一个满足诚实验证者统计零知识的交互式论证出发，通过证明 [25]启发式的健全性，将其压缩为一个两消息论证，该方法基于[7]。实际上，为了获得具有统计隐私性的两消息协议，仅从诚实验证者的统计ZK协议出发是不够的，我们还需要ZK性质对半恶意验证者成立。2在此高层概述中，我们略过了这一细节。

1实现这种两消息论证曾被认为是不可能的 [12],然而，[27]的工作表明，针对超多项式模拟的不可能性结论 [12]是可以克服的。

2半恶意验证者是指遵循规定算法但可能使用恶意随机性的验证者。

人们认为，当将该启发式方法普遍应用于交互式论证（而非证明）时，它是不安全的。尽管如此，我们构造了一类具有统计性隐藏保证的4条消息的交互式论证，并证明了当将[25]启发式方法应用于此类协议时是可靠的。

我们技术的核心思想如下：我们设计的协议几乎总是统计私密的（且仅是计算上可靠的），但以可忽略的概率，它们是统计性可靠的。关键在于，我们证明了（计算受限）证明者无法区分协议最终为统计私密的情况（这种情况最常发生）与协议最终为统计性可靠的情况（这种情况极少发生）。在我们的构造中，核心是一种新的特殊承诺方案，该方案基于[27]中的承诺方案并进行了显著扩展。随后，我们展示了如何利用这种罕见的统计性可靠事件，使得[25]启发式的健全性得以生效。

这一罕见事件有助于我们在应用中实现所需的其他提取特性。我们将在下文的技术概述中对此进行详细阐述，对我们的技术与成果提供一个详尽但仍然非正式的概述。我们的协议基于标准密码学困难性假设，能够抵御准多项式时间攻击者（例如DDH的准多项式难度、二次剩余性或 N次剩余性）。

新的不经意传输协议

我们的技术还适用于关于不经意传输（OT）的一个有趣问题：Naor 和 Pinkas [28]以及 Aiello 等人 [2]提出了具有影响力的两消息 OT协议，实现了基于游戏的安全性定义，可抵御计算能力无界的恶意接收方。一个自然的问题是：我们能否实现类似的结果，以抵御计算能力无界的发送方？

请注意，要实现这样的结果，OT协议中至少必须交换三条消息：事实上，假设存在一种针对无界发送方安全的两消息OT协议，那么接收方发送的第一条消息必须在统计意义上隐藏其选择位，才能对无界作弊发送方提供安全性。然而，一个具有非均匀建议的作弊接收方可使用一条有效的第一条消息 m以及能解释 m关于选择位 b= 0的诚实接收者随机性 r0作为非均匀建议启动协议，同时使用另一组能解释 m关于选择位 b= 1的诚实接收者随机性 r1。现在，该接收方可利用这两个随机值 r0和 r1来处理发送方的响应消息，从而恢复出诚实发送方的两个输入，这违反了针对（有界）恶意接收方的OT安全性。

同样值得注意的是，自[2,28] 17年前的研究以来，构建一种针对无界发送方安全的三消息不经意传输协议这一基本问题一直悬而未决。我们基于标准密码学困难性假设，提出了这样一个三消息OT协议，实现了对准多项式时间攻击者的安全性（与之前的假设相同），从而解决了这一问题。这种OT协议还可以嵌入到[23]的构造中以实现三轮证明，用于实现延迟输入的分布性弱零知识、见证隐藏和强见证不可区分性的 NP问题（而非论证）。

我们的技术也适用于关于OT的其他被广泛研究的问题，即使是在针对无界接收者的两消息设置中。众所周知，[2,28]的两消息OT协议无法排除选择性失败攻击。例如，如果并行运行两个OT，我们尚不清楚如何排除发送方导致OT 中止当且仅当接收者的两个选择比特相等的可能性。直观上，在安全的OT中这应当是不可能的，而防止OT中所有此类攻击的“黄金标准”是通过模拟来证明安全性。然而，对于两消息OT协议，仅可能实现超多项式模拟，这一点最近在 [3]中已被正式确立，但代价是牺牲了对无界接收者的安全性。这种牺牲似乎是固有的：如果一个OT协议具有超多项式模拟器，那么无界恶意接收者似乎可以直接“运行该模拟器”以提取发送方的输入。这就提出了一个难题；也许模拟安全性和对无界恶意接收者的安全性无法同时实现。

事实上，我们证明了可以构建一种同时具有超多项式模拟安全性和针对无界接收方安全性的两消息OT协议。

1.1 我们结果的总结

我们基于拟多项式安全的不经意传输（OT）构建了多个具有安全属性的协议，而该不经意传输又可基于DDH假设[28],的拟多项式难度、QR的拟多项式难度或 N次剩余性假设[22,24]来实例化。我们首先构建了一个针对NP的两消息论证，其具备以下统计性隐藏保证： 1. 我们的两消息论证是统计不可区分的证明者。我们注意到，在此工作之前，我们甚至不知道如何构造一个3消息的统计WI方案。2. 我们的两消息论证是具有超多项式时间模拟的统计零知识。33. 在延迟输入设置下，我们的两消息论证是统计弱零知识，其中模拟器拥有对区分器的预言机访问权限，并且实例是在验证者发送第一条消息之后从某个分布中采样的。

我们还获得了关于不经意传输的以下结果： 1. 我们构造了一个三消息OT协议，同时满足超多项式模拟安全性和针对计算无界发送者的安全性。

3我们注意到，在此工作之前，人们认为通过黑盒归约无法实现这一点[12]。

1.2 其他相关工作

针对具有哈希证明系统的特定语言，已构建了两条消息的统计性见证不可区分论证，方法是通过 [18]。然而，对于所有NP问题，尚未有已知的两条消息的统计性WI论证。

在文献中，减少交互式证明系统轮数主要有两种方法。第一种由菲亚特和沙米尔 [17], 提出，第二种由 [25] 提出，基于将多证明者交互式证明转换为两消息论证的 [7]‐启发式方法。当应用于统计性可靠的交互式证明时，[25]‐启发式方法是成立的，其安全性依赖于超多项式OT（或超多项式安全的计算型 PIR）方案的存在性。最近，[11,26] 表明，在假设存在一种对称加密方案的前提下，即使看到密钥相关消息的加密结果后，仍以指数级小的概率无法恢复密钥，此时菲亚特‐沙米尔启发式方法在应用于统计性可靠的交互式证明时也是成立的。4

[3,23] 的工作与本工作密切相关。他们假设存在准多项式安全的不经意传输（OT）方案，并展示了如何将任何对半恶意验证者具有零知识性的三轮公币协议转换为两消息协议，同时保持（甚至改进）保密保证。然而，这些工作并未实现统计隐私性，而统计隐私性正是本工作的重点。更具体地说，这些工作将[25]‐启发式应用于对半恶意验证者具有零知识性的三轮公币证明，以获得其最终的两消息协议。我们注意到，由于他们从一个统计性可靠的证明出发，因此仅获得了计算隐藏保证，并且在应用[25]‐启发式后，其得到的两消息协议仅是计算上可靠的（此外也只是计算隐藏的）。

相比之下，在本工作中，我们构建了具有统计性隐藏保证的两消息论证。更具体地说，我们通过构造一个具有统计性隐藏保证的四轮交互式论证，并对其应用[25]‐ 启发式，将其转换为一个计算上可靠的两消息协议，从而实现这一目标。

2 技术概述

我们的出发点是[25]启发式方法，该方法展示了如何将公共硬币交互式证明压缩为两消息论证。我们注意到，这种启发式方法基于在[7]中引入（并在[1]中进一步探讨）的启发式方法，该方法可将多证明者交互式证明转化为两消息论证。我们注意到[25]‐启发式仅在应用于交互式证明时被证明是可靠的（并且普遍认为在应用于一般的交互式论证时不可靠）。

最近，[3,23]证明了该启发式方法还能保持（甚至增强）隐私性。我们的策略将是遵循这一蓝图，但在统计设定下进行。在统计设定下，这变得相当棘手，因为我们没有具备统计隐私保证的针对NP问题的交互式证明。特别是，我们尚不具备对半恶意验证者具有统计零知识性的NP问题的交互式证明（这是 [3,23],中所需的隐私保证，但仅限于计算设定下）。

然而，我们确实拥有一个针对半恶意验证者的统计零知识交互式论证。我们构建了这种特定形式的交互式论证，并证明当将[25]启发式应用于该交互式论证时是安全的。

我们首先回顾[3,23],中的技术，以Blum协议在图哈密顿性问题上的应用作为运行示例，该协议已知对半恶意验证者具有（计算）零知识性。

2.1 首次尝试：通过不经意传输压缩Blum协议

接下来，我们回顾 [3,23] 中的两消息协议（具有计算隐私保证），该协议使用了以下两个组件：一个用于图哈密顿性的三消息证明，由Blum提出。将其三条消息记为(a, e, z)，可解析为 a={ai}i∈[κ]、 e={ei}i∈[κ]和 z={zi}i∈[κ]。此处对于每个 i ∈[κ]，三元组(ai, ei, zi)对应于一个基于单比特挑战的底层Blum协议的消息（即其中 ei ∈{0, 1}）。我们还用 f1和 f2表示满足ai= f1(x, w; ri)和 zi= f2(x, w, ri, ei)的函数，这些是诚实证明者提供的答案，且其中 ri为均匀选择的随机性。

◦任何两消息不经意传输协议，记为 (OT1,OT2)，该协议对恶意PPT接收者以及运行时间至多为 2|z| 的恶意发送方是安全的。对于接收者输入 b 和发送方输入消息 (M0, M1)，我们将OT协议的两条消息表示为 OT1(b) 和 OT2(M0, M1)。我们注意到 OT2(M0, M1) 还依赖于接收者发送的消息 OT1(b)。为简便起见，我们在符号表示中省略了这种依赖关系。

基于这些组件，该两消息协议〈P， V〉（来自[3,23]）如图1所示。

示意图0

健全性

已证明[3,23,25]，将任何公币交互式证明转换为两轮论证的过程，能够针对自适应PPT证明者保持健全性，这些证明者可根据验证者发送的消息自适应地选择实例。

现在让我们分析图1中协议的隐私性。[3,23]表明，图1中的协议满足计算性证人不可区分性，以及针对恶意验证者的其他更强的（计算性）隐私保证。他们的证明依赖于不经意传输对恶意接收方的安全性，以及在半恶意验证者限制下底层Blum证明的零知识性质。

正如我们已经描述的，本文的重点是实现统计隐私。为此，我们仔细研究了 Blum协议。

背景 .回想一下，在（并行重复的）Blum协议中，对于每个索引 i ∈[κ]， ai 包含一个对随机置换 π 的统计绑定承诺以及置换后的图 π(G)，其中 G 表示具有哈密顿环 H 的输入实例。然后，如果验证者挑战 ei= 0，证明者将 zi 计算为对 (π, π(G)) 的打开承诺，且当且仅当图 G 被正确置换时，验证者才接受。另一方面，如果 ei= 1，证明者将 zi 计算为仅对置换图 π(G) 中哈密顿环 π(H) 的边的打开承诺，且当且仅当所揭示的边确实构成一个哈密顿环时，验证者才接受。

在追求统计隐私的过程中，我们注意到图1中的协议具有以下性质：

底层Blum证明的单次并行重复仅满足计算性零知识。这是因为其在生成第一条消息{ai}i∈[κ]时使用了统计绑定、计算隐藏的承诺。一个能够破坏 {ai}i∈[κ]中承诺的无界恶意验证者实际上可以提取出 π，从而从任何诚实证明者处获取见证（即哈密顿环）。
图1协议中使用的底层OT协议[22,28]已经对恶意接收者具有统计私密性。这意味着消息 {z(1−e i) i }i ∈[κ]对于任何恶意验证者而言都是统计隐藏的。

由于上述（1），图1中的协议也仅仅是计算私密的。此时，显然要实现针对恶意验证者的统计隐私，主要瓶颈在于消息 {ai}i∈[κ]中的计算隐藏承诺。一个自然的初步想法是将其替换为统计隐藏承诺。

为此，我们考虑对底层Blum协议进行一种改进版本，该版本与原始 Blum协议相同，只是使用了统计隐藏、计算绑定的承诺。为了满足对非均匀 PPT证明者的绑定性，此类承诺必须包含两条消息。因此，我们改进后的 Blum协议共有四条消息：在第一条消息中，验证者发送一个统计隐藏、计算绑定承诺的第一条消息 qi以响应 i ∈[κ]；接着，证明者回复 ai，其中包含针对 qi 的提交者消息，承诺值为(πi, πi(G))。接下来的消息{ei}i∈[κ]和{zi}i∈[κ]与之前保持不变。不难看出，由此得到的四消息修改版Blum协议对半恶意验证者满足统计零知识。

让我们再次使用之前相同的策略，通过两消息OT来压缩这个四消息协议。即，验证者并行发送{qi,OT1,i(ei)}i∈[κ]，而证明者回应{ai, OT2,i(z(0) i, z(1) i)}i∈[κ]。在这种情况下，由于承诺的统计隐藏性以及OT的统计发送者安全，[3,23]中的证明可以很容易地扩展以实现统计见证不可区分性。

现在人们可能会希望，[3,23,25]中的分析可用于证明所得协议对PPT证明者仍然保持健全性。然而，正如我们上面指出的，健全性[3,23,25]的证明关键依赖于起始协议是一个证明（而非论证）这一事实。更具体地说，先前工作的健全性证明过程如下：为简单起见，考虑单次重复的情况，并假设一个作弊证明者在输入验证者消息OT1(e ∗)后，输出 x∗ ∈ L以及一条消息(a∗, OT2(z ∗))，使得验证者以概率1 2+ 1 poly(κ)接受。直观上，由于对于任意x∗ ∈ L和任意 a∗，至多存在一个唯一的接收者挑战 e∗值，使得存在某个 z∗导致验证者接受，这意味着 a∗包含了一个编码接收者挑战 e∗的承诺。通过使用一种能够抵御可在 a∗ 内破解该承诺的对手的安全不经意传输方案，可以利用作弊证明者来违背不经意传输的接收者安全性。这证明了图1中协议的单次并行执行具有健全性 1 2 + negl(κ)。同样的论证可推广用于证明，当进行 κ次并行重复时，任何自适应概率多项式时间证明者 P∗都无法以不可忽略的概率作弊。更具体地说，归约过程可以利用任何以不可忽略概率作弊的证明者，以不可忽略的概率猜测 κ‐比特挑战 e，从而与 κ次不经意传输并行重复的安全性相矛盾。

该证明关键依赖于承诺是统计绑定的这一事实。对于上述描述的四消息 Blum协议修改版本，这一点不再成立。事实上，问题更为严重：请注意我们似乎需要满足的条件是，证明需满足针对半恶意验证者的统计零知识性，然而，对于所有NP问题而言，这类证明很可能不存在（参见例如 [30]）。因此，如果我们沿用此方法，唯一剩下的选择就是找到一种方式，在保持健全性的前提下压缩某种形式的统计零知识论证。

2.2 在保持健全性的同时压缩交互式论证

在保留健全性的同时压缩一般交互式论证的问题一直是更广泛领域所关注的课题，即使在计算委托的背景下也是如此。在本文中，与委托场景不同的是，我们并不关心论证的简洁性。然而，对于那些同时不是证明的交互式论证系统，此前尚无任何已知的方法能够对其进行压缩。

在本文中，我们提出了一种这样的方法。我们的高层思路如下：由于我们已经排除了构建一种对半恶意验证者满足统计零知识性的证明的可能性，因此我们将转而构建一种对半恶意验证者满足统计零知识性的论证。但该论证具有如下性质：以很小的概率，它实际上会成为一个证明！此外，任何作弊证明者都无法区分当前是论证的情况还是当前是证明的情况。换句话说，我们将确保，在原始协议中以非可忽略的概率输出 x∗ ∈ L以及一个被接受的证明的任何作弊证明者，即使进入证明模式后，仍将以非可忽略的概率继续如此行为。一旦切换到证明模式，我们就可以应用[25]的技术来论证健全性，并得出矛盾。

我们实现上述框架的主要技术工具将是一种两轮的统计隐藏可提取承诺方案，下文将对此进行描述。

主要工具：统计隐藏可提取承诺

我们对统计隐藏、可提取承诺的构造是基于库拉纳和萨海最近的工作[27]实现的。

他们构建了一种可提取的计算隐藏承诺方案，该方案对无界恶意接收者完全不安全。他们工作的基本思想（我们将共享这一思想）如下：在其承诺方案中，以可忽略的概率， 2−m对于 m= Ω(log κ)，被承诺的消息会被传输给接收者。否则，在压倒性高的概率 1 −2−m 下，接收者获得对该消息的一个实际的（统计绑定的）承诺。关键在于，承诺者并不知道发生的是哪种情况——即其消息是否已被传输给接收者。通过这种方式，他们的承诺方案可以被视为一种异常嘈杂的擦除信道。

承诺者输入：消息 M ∈{0, 1}p，其中 p= poly(κ)。提交阶段：接收方消息。

选择挑战字符串 ch $←{0, 1}。
使用均匀随机性 r1 计算并发送第一条不经意传输消息 OT1(ch r1)

提交者消息

采样一个随机字符串 r$←{0, 1}。设置 Mr= M, M1−r$←{0, 1}p。
使用均匀随机性 r2 计算 o2= OT2(M0, M1; r2)。◦发送 (r, o2)。

揭示阶段：承诺者揭示 M，以及两个值（M0, M1）和随机性 r2。接收者当且仅当以下条件满足时接受对消息 M 的打开承诺：

o2=不经意传输2(M 0, M1; r2)，
Mr= M。

之所以 [27]的工作本质上仅能实现计算隐藏，原因在于他们实现上述擦除信道的方式：在他们的工作中，这是通过一个两轮安全计算协议来实现的，该协议执行了一个抛币过程，以提供擦除信道所需的随机性。而这类两轮安全计算协议只能实现计算隐藏。因此，在我们的工作中，必须从根本上摒弃这种实现擦除信道的方法。

基本构造

为了获得一种本质上实现上述擦除信道的构造，我们重新思考设计思路。不再使用混淆电路来实现复杂的两方计算，而是考虑采用以下基于游戏的不经意传输[2,22,24,28],并具有统计发送方安全性的基本承诺方案（图2）来实现。我们对该协议有如下观察：

假设不经意传输具有统计发送方安全性，该方案对恶意接收者是1/2‐隐藏的（即 r = ch发生的概率为1 2，在这种情况下，消息对任何恶意接收者都是统计隐藏的）。
假设不经意传输的计算接收者安全性，该方案是计算绑定的。也就是说，任何恶意的PPT承诺者在生成一个承诺transcript后，无法以不可忽略的概率成功将其解承诺为两个不同的值 ˜ ˜ M1 = M2。这是因为给定这样的情况

承诺者，归约可以使用此承诺者来推导出，这应该不可能成立，除非概率可忽略 r = ch，这在除可忽略的概率外的情况下均应是不可能的5。形式化分析可在论文全文中找到。

我们的构造。回想一下，我们希望找到一种方案，其中大多数transcript（ 1−2−m比例）应该是统计隐藏的，并且消息应完全丢失。此外，我们希望有 2−m比例的transcript是统计绑定的：实际上，在这些transcript中，可以直接向接收者揭示所提交的消息。从上述基本构造出发，实现此目标的一种自然方法是通过并行执行上述基本构造，对消息的异或秘密共享 M进行提交，即通过 m并行执行上述基本方案来实现。形式上，我们的构造如图3所示。该方案满足以下性质：

它仍然对恶意的概率多项式时间承诺者具有计算绑定性，就像基本方案一样。
由于底层的不经意传输是统计隐藏的，因此我们的方案现在对恶意接收者具有(1−2−m)‐ 统计隐藏性（即，仅在 r =ch的情况下不是统计隐藏的，该情况发生的概率为 2−m）。
最重要的是，由于不经意传输的接收者安全性，任何恶意的PPT承诺者都无法区分 r= ch的情况与 r = ch的情况。

修改Blum以使用可提取的统计隐藏承诺

现在，不再插入任何统计隐藏承诺方案，而是插入图3中的可提取的统计隐藏承诺方案来生成消息 {qi, ai}i∈[κ]，其中 m= Ω(log κ)。这在第5.1节中进行了正式描述。由于承诺的统计隐藏性，所得到的协议是一个统计零知识论证。另一方面，由于承诺的可提取性（更具体地说，在 r= ch的情况下），该协议实际上变成了一种证明。此外，任何作弊的PPT证明者都无法区分 r=ch与 r =ch的情况。展望后续内容，正如我们在概述开头已经暗示的那样，我们将压缩这一点，同时确保任何恶意证明者在 r = ch时以显著概率输出对应于x ∈ L的接受性记录，即使在 r =ch时也必须继续如此。接下来，我们将分析所得协议的健全性。

论证压缩协议的健全性

我们证明了所得到的协议在面对作弊的PPT证明者时仍然保持健全性。同时我们也实现了

5我们注意到，这与猜测 ch不同，后者可以以1 2的概率实现：然而，一个作弊的承诺者不仅可以猜测 ch，还可以通过针对其正确猜测到的 ch 值对不同消息进行两次有效的打开承诺来作弊，而这种情况只能以可忽略的概率发生。这需要更精细的论证，以及依赖 ‐ 安全性来确保 PPT 作弊承诺者不能一直将偏离 ch。

我们注意到，在所有这些论证中，模拟器通过破坏证明的可靠性来工作，因此上述所有两消息论证仅对运行时间小于模拟器的证明者是可靠的。

我们的核心技术

1实现这种两消息论证曾被认为是不可能的 [12],然而，[27]的工作表明，针对超多项式模拟的不可能性结论 [12]是可以克服的。

2半恶意验证者是指遵循规定算法但可能使用恶意随机性的验证者。

人们认为，当将该启发式方法普遍应用于交互式论证（而非证明）时，它是不安全的。尽管如此，我们构造了一类具有统计性隐藏保证的4条消息的交互式论证，并证明了当将[25]启发式应用于此类协议时是可靠的。

新的不经意传输协议

事实上，我们证明了可以构建一种同时具有超多项式模拟安全性和针对无界接收方安全性的两消息OT协议。

1.1 我们结果的总结

统计性见证不可区分性（及其他）在两条消息中

3 预备知识

符号说明。本文中，我们使用 κ表示安全参数，negl(κ) 表示任何渐近小于 1 poly(κ)的函数，其中 poly(·) 为任意多项式。

两个分布 D1, D2 之间的统计距离表示为 Δ(D1, D2)，并定义为：
Δ(D1, D2)= 1 2
Σv∈V |Prx←D1[x= v] − Prx←D2[x= v]|.

我们说两个分布族 D1={D1,κ}, D2={D2,κ}是统计不可区分的，如果 Δ(D1,κ,D2, κ) = negl(κ)。我们说两个分布族

分布 D1={D1,κ}, D2={D2,κ} 是计算上不可区分的，如果对于所有非均匀概率多项式时间区分器 D，
∣∣Prr←D1,κ[D(r)= 1] − Prr←D2,κ[D(r)= 1] ∣∣= negl(κ).

设 Π表示一个协议的执行。我们用ViewA(Π)表示在一次执行 Π中，包括参与方 A 的随机性和状态在内的视图。我们用OutputA(Π)表示在 Π的一次执行中参与方 A的输出。

备注1. 下文中，我们定义了多个两方协议。需要注意的是，在所有这些协议中，双方都将安全参数 1κ 作为输入。为简洁起见，我们在记号中省略了这一点。

定义1（Σ‐协议）

设 L ∈NP具有相应的见证关系RL。一个协议 Π= 〈P, V〉是关系 RL的 Σ-协议，如果它是一个三轮公开硬币协议，并满足：

完备性 ：对于所有(x, w) ∈ RL，Pr[OutputV 〈P(x, w) V(x)〉= 1]=1 − negl(κ)，假设 P和 V诚实地遵循协议。
特殊可靠性 ：存在一个多项式时间算法 A，给定任意 x以及一对具有相同的第一条证明者消息的接受性记录(a, e, z)和(a, e′, z′)，其中 e = e′，该算法输出 w，使得(x, w) ∈ RL。
半恶意验证者零知识 ：存在一个概率多项式时间模拟器 SΣ ，使得对于所有 (x, w) ∈ RL，分布{SΣ(x, e)}和{ViewV 〈P(x, w(x)) V(x, e)〉}是统计不可区分的，其中 SΣ(x, e) S 表示模拟器 S 在接收输入 x以及验证者的随机磁带 e时的输出。

3.1 秘密传输

定义2 （不经意传输）

不经意传输是发送方 S（输入消息为(m0, m1)）和接收者 R （输入为选择位 b）之间的协议。正确性要求是：在协议执行结束时， R以概率1获得输出 mb。我们用〈S(m0, m1) R(b)〉表示一次OT协议的执行，其中发送方输入为(m0, m1)，接收者输入位为b。我们 q满足的不经意传输 fi以下 f性质：g prop特性：

计算接收者安全性 。对于任意非均匀概率多项式时间发送者 S∗以及任意(b, b′) ∈{0, 1}，视图 ViewS∗(〈S ∗, R(b)〉)和ViewS∗(〈S ∗, R(b′)〉)是计算上不可区分的。我们称该不经意传输方案是 T-安全的，如果任何大小为poly(T)的恶意发送方 S∗的区分优势小于 1 poly(T)。
(1 − δ)-统计发送方安全性 。对于任意输出接收方消息mR∗的接收者R ∗，存在一个比特 b ，使得对于所有 m0、 m1，分布ViewR∗〈S(m0, m1) R ∗〉与(1 − δ)统计接近于ViewR∗〈 S(mb, mb) R ∗〉。

基于DDH假设，此类两消息协议已被构建 [28],以及一种更强的平滑投影哈希变体，该变体也可基于DDH以及 Nth‐剩余性和二次剩余性假设 [22,24] 实现。此类两消息协议也可基于见证加密或不可区分混淆（iO）以及单向置换 [31] 构建。

最后，我们将比特OT定义为发送方输入为比特而非字符串的不经意传输。

定义3（比特不经意传输）

我们称根据定义2的不经意传输协议为比特不经意传输，如果发送方的消息 m0、 m1均属于{0, 1}。

3.2 证明系统

延迟输入交互协议

一个 n条消息的延迟输入交互式协议用于判定语言 L，其关联关系为 RL，按以下方式进行：

在协议开始时， P和 V接收实例的大小和安全参数，并执行前 n −1条消息。
在发送最后一条消息之前， P接收输入(x, w) ∈ RL。 P将 x与协议的最后一条消息一起发送给 V。在收到来自 P的最后一条消息后， V输出1或0。

该协议在实例 x和见证 w上的执行表示为〈P(x, w) V(x)〉。延迟输入交互式协议是指在延迟输入设置下满足完备性和可靠性条件的协议。可以考虑两类协议：一类是针对无界（作弊）证明者的证明系统——具有对无界证明者的健全性；另一类是针对计算资源受限（作弊）证明者的论证系统——具有对计算有界证明者的健全性。特别地，延迟输入交互论证需满足针对恶意PPT证明者的自适应可靠性。也就是说，即使PPT证明者根据协议的前 n −1条消息自适应地（恶意地）选择陈述，可靠性也必须成立。

定义4（延迟输入交互式论证）

一个 n轮的延迟输入交互式协议（P, V）用于判定语言 L，如果它满足以下性质，则称为关于 L的交互式论证：

完备性 ：对于每一个(x, w) ∈ RL,
Pr[OutputV 〈P(x, w), V(x)〉= 1]= 1 − negl(κ),
其中概率取自 P 和 V的随机硬币，且在协议 V 中接收 x以及该协议的最后一条消息。
自适应可靠性 ：对于每个（非均匀的）PPT证明者 P ∗，其在给定1κ的情况下选择一个输入长度 1p，然后根据前 n −1条消息的transcript自适应地选择 x ∈{0, 1}p\ L，
Pr[OutputV 〈P∗, V〉(x)= 1]= negl(κ),
其中概率是相对于 V的随机硬币而言的。

见证不可区分性

如果对于具有至少两个见证的任何陈述，使用不同见证生成的证明是不可区分的，则该证明系统是见证不可区分的。在本文中，我们仅考虑统计性见证不可区分性，其形式化定义如下。

定义5（统计性见证不可区分性）

对于一个语言 L的（延迟输入）交互式论证(P, V)，如果对于每个无界验证者V ∗、每个多项式有界函数 n= n(κ) ≤ poly(κ)，以及每组满足(xn,w1,n) ∈ RL、(xn, w2,n)w2 ∈ RL且 |xn| = n的(xn,w1, n,w2,n)，以下两个集合是统计不可区分的，则称该交互式论证具有统计性见证不可区分性： {ViewV ∗〈P(xn, w1,n), V ∗(xn)〉} and{ViewV ∗〈P(xn, w2,n), V ∗(xn)〉}

延迟输入分布弱零知识

零知识（ZK）要求对于任意对抗性验证者，存在一个模拟器，能够生成一个对每个区分器而言都与真实视图不可区分的视图。弱零知识（WZK）通过调换量词顺序并允许模拟器依赖于区分器，从而放宽了标准的ZK定义。

我们考虑WZK的一种变体，即分布WZK [15,19],，其中实例是从语言上的某个分布中选取的。此外，我们允许模拟器的运行时间依赖于区分器的区分概率。我们将此称为分布WZK ε，其含义是：对于每个 TD‐时间区分器 D 以及每个区分优势 ε（将 ε视为一个逆多项式）都存在一个模拟器，该模拟器是一个预言机机器，以区分器为预言机，在 poly(κ, 1/ε) 时间内运行，能够生成一个视图，使得 D无法将其与真实证明者生成的视图区分开来。这一概念此前已在 [13,15,23]中被研究过。

在考虑延迟输入交互协议时，自然地会想到保密性的延迟输入版本。接下来，我们定义延迟输入分布式统计 ε‐WZK。

定义6（延迟输入分布式统计 ε‐弱零知识）

对于语言 L的延迟输入交互式论证(P, V)被称为延迟输入分布式统计 ε-弱零知识，如果对于每个多项式有界函数 n= n(κ) ≤ poly(κ)，以及每个在 RL上可高效采样的分布(Xκ,Wκ)，即 Supp(Xκ,Wκ)={(x, w) ∈RL: x ∈{0, 1} n(κ) }，每一个从实例中获得信息的无界验证者 V ∗

在协议的最后一条消息中，对于任意无界区分器 D和每一个 ε（通常设为 1/ poly(κ)，其中poly(·)是某个多项式），存在一个模拟器 S，其运行时间为 poly(κ, 1/ε)，并对D 和 V ∗具有预言机访问权限，使得：
∣∣∣∣∣ Pr (x,w)←(Xκ,Wκ)[ D(x, ViewV ∗[〈P(x, w), V ∗(x)〉]= 1]
− Pr (x,w)←(Xκ,Wκ)[ D(x, SV ∗,D(x))= 1] ∣∣∣∣∣ ≤ ε(κ),
其中概率取自(x, w)的随机选择以及各方的随机硬币。

超多项式模拟的零知识

我们现在以与[29],相同的方式定义超多项式模拟的零知识，只是我们定义了统计安全性以抵御恶意验证者。

定义7 (具有超多项式模拟时间的统计零知识)

我们称一个针对NP语言 L的延迟输入两消息论证(P, V)具有超多项式TSim-时间模拟的统计零知识，如果存在一个（均匀）模拟器 S ，其运行时间为 TSim，使得对于每个多项式 n= n(κ) ≤ poly(κ)，以及每一对(xn, wn) ∈ RL ，其中每个|xn| = n，和每一个无界验证者 V ∗，两个分布 SV ∗ (xn)和ViewV ∗〈P(xn, wn) V ∗(xn)〉是统计接近的。

4 可提取承诺

4.1 定义

我们对可提取承诺的定义是将[27]中的定义调整至统计隐藏承诺的场景。首先，我们（重新）定义承诺方案的概念。与之前一样，我们用 κ表示安全参数，并令 p=为任意固定的多项式，使得消息空间为{0, 1}p。

我们仅考虑具有非交互式打开承诺的承诺方案，且（诚实的）接收者在承诺阶段结束时无需维护任何状态即可执行打开阶段。我们的构造将满足这一性质，这在构建统计私有协议的应用中将非常有用。

定义 8[统计隐藏承诺方案]

承诺〈C,R〉是承诺者 C与接收者 R之间的一种两阶段协议，由一组算法构成 Commit, Decommit, Verify.

协议开始时， C 输入消息 M ∈{0, 1}p。接着， C 和 R 执行承诺阶段，得到一个承诺 transcript，记为 τ，以及 C 的私有状态，记为stateC,τ。我们使用如下记号
(τ, stateC,τ)← Commit〈C(M),R〉.

之后， C和 R可能会进入打开阶段，承诺者C计算并发送消息 y= Decommit(τ, stateC,τ)给 R。最后， R˜计算Verify(τ, y)以输出 ⊥或一条消息 M ∈{0, 1}p。10

一个统计隐藏承诺方案需要满足三个性质：

（完美）完备性 。如果 C、R 诚实遵循协议，则对于每个 M ∈{0, 1}p：
Pr[Verify(τ, Decommit(τ, stateC,τ))= M]= 1
其中概率是相对于(τ, stateC,τ)← Commit〈C(M) R〉而言的。
统计隐藏 。对于任意两条消息 M1, M2 ∈{0, 1}2p，每一个无界恶意接收者 R∗ 和诚实承诺者 C，若视图 ViewR∗(Commit〈C(M1) R ∗〉) 与视图 ViewR∗ (Commit〈C(M2) R ∗〉)之间的统计距离至多为 δ(κ)，则称该承诺是 δ(κ)-统计隐藏的。若对每个多项式 poly(·) 都有 δ(κ) ≤ 1 poly(κ)，则该方案是统计隐藏的。
计算绑定 。考虑任意非均匀概率多项式时间承诺者 C ∗ ˜，其生成 τ ← Commit〈C ∗, R〉，然后输出 y1, y2。令 M1=˜Verify(τ, y1) 和 M2= Verify(τ, y2)。我们要求
Pr[(M˜1 = ⊥) ∧(M˜2 = ⊥) ∧(M˜1 = M˜2)]= negl(κ),
在采样 τ← Commit〈C∗,R〉的随机性上

在下文中，我们定义一个PPT预言机辅助算法Samp，使得对于所有C ∗，SampC∗对 τ← Commit〈C ∗,R〉进行采样，这些值由恶意承诺者使用对接收者的均匀随机性生成。

我们还定义了一个提取器 E ，该提取器在对 C∗ 具有黑盒访问权限的情况下，输出由 C∗ 生成的某个 transcript，然后无需与 C∗ 执行任何打开承诺˜ 阶段，即输出消息 Me：我们要求所提取的消息 Me 满足“正确性” ˜。我们还要求，对于任意非均匀PPT C∗，由 Samp C∗ 生成的 τ 的分布与 EC∗ 输出的分布不可区分。这在定义9 中形式化定义。

定义 9[T-可提取承诺方案]

我们称一个统计隐藏承诺方案是 T-可提取的，如果存在一个 T · poly(κ)-时间

存在一个均匀的预言机机器 E ，使得以下成立。设 C∗为任意非均匀PPT对抗性承诺者，其在开始承诺阶段之前输出记为 z的辅助信息，并在承诺阶段结束时输出记为aux的辅助信息。则以下成立。

存在一个PPT预言机采样算法SampC ∗ ，用于采样(τC∗,aux) ← Commit〈C∗,R〉。令ExpSampC∗=(τC∗, aux)表示SampC ∗的输出。
EC∗输出(τC∗, aux M˜)，且仅在承诺阶段期间向 C∗发出预言机调用（从不执行打开阶段）。我们将其记为 ExpEC∗=(τC∗,aux)。

我们要求：

不可区分性 。分布 (ExpSampC ∗, z)和 (ExpEC∗, z)是计算上不可区分的。
提取正确性 。考虑任意非均匀概率多项式时间 C∗，并令(τ, aux M˜) 表示 EC∗ 的输出。则对于任意字符串 y1，记 M˜1=Verify(τ, y1)，
Pr[(M˜ = ⊥) ∧(M˜1 = ⊥) ∧(M˜ = M˜1)]= negl(κ),
其中概率是关于(τ，aux M˜)← EC∗的。

4.2 协议

在本节中，我们根据定义9构造两消息统计隐藏、可提取承诺。我们的构造如图5所示。

设 OT=(OT1,OT2) 表示根据定义 2 的一个两消息字符串不经意传输协议。令 OT1(b; r1) 表示接收者输入为 b且随机性为 r1的 OT 协议的第一条消息，并令 OT2(M0, M1; r2) 表示发送方输入字符串为 M0, M1且随机性为 r2的 OT 协议的第二条消息。11

在本文的完整版本中，我们证明了以下主定理。

定理1

令 T=(2m·κlogκ)。假设底层OT协议对恶意发送方是T-安全的，且根据定义2，对恶意接收者是(1−δOT)安全的，则图5中的方案是一个统计隐藏的、 (1 − 2m − δOT)-可提取承诺方案，如定义9所述。

我们通过证明统计隐藏、计算绑定和可提取性来证明该定理。统计隐藏的证明基于不经意传输的（1 − δ）‐统计发送方安全性。为了证明计算绑定性，我们根据定义2将问题归约为不经意传输的接收者安全性。可提取性的证明通过构造来完成。

5 两消息论证中的统计隐私

5.1 改进的Blum协议

我们首先描述对图哈密顿性的Blum Σ‐协议进行的一个非常简单的修改。我们描述的协议对自适应PPT证明者的可靠性误差为 1 2 −negl(κ)，并且满足统计性零知识。由于图哈密顿性是NP完全的，因此该协议也可以通过卡普归约用于证明NP中的任何命题。该协议在图 7中描述。

我们在此概述该协议。需要注意的是，相较于Blum [9]的原始协议，唯一的修改是我们使用了统计隐藏、可提取承诺，而非统计绑定承诺。关于可靠性和统计零知识的证明相对直接，大致遵循[9],的结构，将统计绑定承诺替换为统计隐藏承诺。

在论文全文中，我们证明了图7中的协议对可在协议第二轮自适应选择 x 的PPT证明者满足健全性。我们还证明了，假设extcom是统计隐藏的，则图7 中的协议满足统计零知识。

5.2 将四轮论证压缩为两轮论证

在图8中，我们描述了一种两消息论证的构造方法，该方法使用可提取承诺（以两条消息表示为ext-com1,ext-com2），如定义9所述。这实质上是将图7中的改进的Blum论证压缩为一个两消息论证。

设 OT=(OT1,OT2) 表示根据定义2的两消息比特不经意传输协议。设 OT1(b) 表示接收者输入为 b 的 OT 协议的第一条消息，设 OT2(m0, m1) 表示发送方输入比特为 m0, m1 的 OT 协议的第二条消息。

设 Σ=(q, a, e, z) 表示图7中改进的Blum协议的四条消息。其中 (q, a) 表示可提取承诺的消息。我们将对该协议执行并行重复，因此对于每个 i ∈[κ]， (qi, ai, ei, zi) 是对应于底层单比特挑战的改进的Blum协议的消息（即其中 ei ∈{0, 1}）。我们用 f1 和 f2 表示满足 ai= f1(x, w; ri) 和 zi= f2(ei, w, ri, ei) 的函数，其中 ri 是均匀选择的随机性。

11注意，OT2还依赖于 OT1。为简洁起见，我们在符号表示中省略了这种依赖关系。

我们在此陈述主要引理，其证明见论文全文。

引理1

假设 extcom是根据定义 2m·κlogκ-可提取承诺方案，如定义 9所述，且 OT是 2κm· κlogκ-安全的，则图 8中的协议对PPT恶意证明者满足健全性。此外，假设对应于 extcomEC∗和 ExpSamp C∗的分布（见定义 extcom、定义 9）无法被大小为 T′的区分器区分，则当实例选自可由大小为 T ′的电路判定的语言时，图8中的协议对所有PPT证明者满足自适应可靠性。

备注2.我们的证明还可以推广到仅执行 Ω(log κ) 次并行的 Blum协议运行，同时仍能产生可忽略的可靠性错误。此外，我们将看到，即使在m= Ω(log κ) 的情况下，统计隐私保证仍然成立。因此，图8中的协议可以仅依赖于准多项式安全的不经意传输来实现，如定义2所述。

5.3 隐私的证明

引理2

图8中的协议满足定义7所述的具有超多项式模拟的统计零知识。

证明。模拟策略是直接的：模拟器从外部获得{qi, o1,i}i∈[κ]。它在超多项式时间内通过暴力破解来破坏接收方消息的不经意传输1 ，以提取{ei}i∈[κ]。给定 {ei}i∈[κ]，它在输入{ai, ei}i∈[κ]上运行改进的Blum的半恶意验证者ZK模拟器。它从半恶意验证者ZK模拟器获得{ai, zi,e i} i ∈[κ]。最后，它发送 i ∈[κ]、 ai以及不经意传输2,i(zi,e i , zi,e i) 。

统计零知识性随之成立，这是因为底层四轮消息协议具有统计零知识性，并且不经意传输对无界验证者具有统计安全性。

这也得到了以下引理。

引理3

图8中的协议满足针对所有恶意验证者的统计性见证不可区分性。

论证（概要）。该结论通过一个简单的混合论证得出，其中在中间混合中，挑战者通过引理2的超多项式模拟器生成证明（不使用任何见证）。根据引理2，该中间混合与使用特定见证的任何混合统计接近。这证明了协议的见证不可区分性。详见[3]以获取更详细的证明。

引理4

图8中的协议满足定义6所述的分布统计延迟输入ε-弱零知识性。

继[23],之后，我们开发了一种归纳分析和一种模拟策略，用于逐位学习接收者的挑战比特。该证明遵循[23],中的策略，可在论文全文中找到。

因此，我们得到以下主定理。

定理2

假设存在根据定义2的准多项式安全的不经意传输，则存在一个满足统计见证不可区分性（定义5）、具有超多项式模拟的统计零知识（定义6）以及针对延迟输入语句的统计弱分布 ε-零知识（定义7）的两轮论证系统。

我们还注意到，通过应用[5]，我们所有的两消息论证都可以变为可重置统计证据不可区分。

6 不经意传输：更强的安全性与反转

在本节中，我们构建了在两轮和三轮设置下的OT协议，这些协议满足比以往已知更强的安全属性。由于篇幅限制，我们仅描述协议，证明部分将留待论文全文中给出。

6.1 模拟安全的两轮不经意传输

我们首先构建了一个不经意传输协议，该协议针对恶意接收者和恶意发送方均具有无界基于模拟的安全性。我们在下方定义了此变体。

定义10（模拟安全的不经意传输）

如定义2所述，我们用〈S(m0, m1) R(b)〉表示发送方输入为(m0, m1)且接收者输入位为 b时OT协议的一次执行。我们考虑满足以下性质的不经意传输（这些性质均使用基于模拟的安全性定义来定义）：

计算接收者安全性 。存在一个 TSim-时间预言机辅助模拟器SimS∗，它与任意非均匀恶意PPT发送者S∗交互，并输出View(SimS∗)。它还提取并将 S∗的输入 m0, m1发送给理想功能 Fot，该功能从诚实接收者 b获取选择位 R，并向= mb输出 OutputIdeal R。然后，我们要求对于每个非均匀PPT S∗，联合分布(View(SimS∗ ),OutputIdeal)和(ViewS∗〈S∗, R(b)〉, OutputR〈S∗, R(b)〉)是计算上不可区分的。
统计发送方安全性 。存在一个（可能无界）的带预言机辅助的模拟器SimR∗，其与任意无界的对抗性接收者R∗交互，并代表 R∗与一个理想功能 F ot进行交互。此处 F ot是一个预言机，从m0, m1)获取输入 S和来自SimR ∗（模拟恶意接收方）的输入 b，并向SimR ∗输出 mb。我们要求对于所有m0, m1，SimR ∗输出的接收者视图与恶意接收方的真实视图ViewR∗〈S(m0, m1, z) R ∗〉是统计不可区分的。

满足定义10的两消息OT构造如图9所示。该构造使用了一个根据定义OT 的两消息2定义的OT1和OT2。此外，还使用了一个根据定义7的统计SPS零知识stat-sps‐zk方案，其第一和第二条消息分别记为stat-sps-zk1和stat-sps-zk2。

6.2 反转不经意传输

我们首先构建一个针对恶意接收者和恶意发送方都具有无界基于模拟安全性的不经意传输协议。我们在下方定义此变体。

定义11（针对无界发送者的模拟安全不经意传输）

如定义2中所述，我们令〈S(m0 , m 1) R(b)〉表示一个

执行发送方输入为(m0, m1)且接收者输入比特b的OT协议。我们考虑满足以下性质的OT（这些性质均使用现实-理想安全定义来定义）：

计算性发送方安全性 。存在一个带有预言机辅助的模拟器SimR∗，其与任意非均匀的恶意PPT接收者 R∗进行交互，并代表 R∗与理想功能 F ot进行交互。其中 F ot是一个预言机，从 S获取输入(m0, m1)，并从SimR∗（模拟恶意接收方）获取输入 b，然后向SimR∗输出 mb。我们要求对于所有m0, m1，SimR∗输出的接收者视图在计算上不可区分于恶意接收者的实际视图ViewR∗(〈S(m0, m1, z) R∗〉)。
统计性接收方安全性 。存在一个（可能无界）的带预言机辅助的模拟器 SimS∗，该模拟器与任意无界的对抗性发送者S∗进行交互，并代表 S∗与一个理想功能 F ot 进行交互。此处 Fot 是一个预言机，它从 SimS∗获取输入(m0, m1)，从 b 获取输入 R，并向 R输出 OutputIdeal = mb 。然后，我们要求对于每一个无界的 S∗，两个联合分布 (View(SimS∗ ),OutputIdeal) 和 (ViewS∗〈S ∗, R(b)〉, OutputS∗〈S ∗, R(b)〉) 是统计不可区分的。

现在，我们描述一个三消息（比特）不经意传输协议，该协议根据定义11，对恶意接收者和无界恶意发送方具有基于模拟的安全性。

这是通过反转一个两消息（比特）不经意传输协议得到的，该协议根据定义 10 对无界恶意接收者和PPT恶意发送者具有模拟安全性，其构造见图 9。令 OTR(b; rR) 表示此类不经意传输协议的接收方消息，其作为输入比特 b 和随机性 rR 的函数进行计算；并令 OTS(mR, x0, x1; rS) 表示此类协议的发送方消息，其作为接收方消息 mR、发送方输入 x0, x1 和随机性 rS 的函数进行计算。我们的协议在图 10 中描述。