Это две партии($P$, составитель и $С$ выбирающий) протокол с $4$ шаги (и три раунда связи, если ЗКП не интерактивны).
Две стороны имеют в качестве общей информации открытый ключ $пк$ и пары $(а_я, б_я)$.
Подготовитель также знает секретный ключ $ск$.
На первом этапе составитель $P$ применить случайную перестановку пар и зашифровать (согласно $пк$) каждая пара согласовывает и отправляет результат выбирающему, и делает ЗКП, что этот результат был честно просчитан.
На втором этапе селектор выбирает индекс $\ell$, и ослепить зашифрованный текст $c_\ell$ (который является шифрованием одного из $а$). Они посылают этот слепой зашифрованный текст $е$, и делает ЗКП честно сгенерированным.
На третьем этапе препаратор вычисляет расшифровку $а$ из $е$ и вывод (значит, для него это результат). Затем он посылает цепочку $b$ со случайностью в порядке перестановки, которую он ранее выбрал.
И, наконец, на последнем шаге средство выбора извлекает простой элемент с тем же индексом $с$ он предварительно ослеп (он может, потому что он знает выбранный им индекс), проверяет его правильность, перешифровывая его (потому что он также получает случайность), а затем выводит соответствующий $b$.
В конце протокола $P$ знает $а$, и $С$ а $b$ которые коррелированы (соответствуют паре $(а_я, б_я)$), И ни $P$, ни $В$ может заставить быть выбрана конкретная пара (если только один честен, пара будет выбрана равномерно случайным образом).