«общий» вариант забывчивой передачи 1 из N

В традиционном 1 из n ОТ, мы предполагаем Алиса имеет массив $A=\{x_1,{\cdots},x_n\}$ и Боб имеет $idx=i\in\{1,{\cdots},n\}$. После прохождения ТО Боб наклоняется $x_i$ и ничего больше, Алиса ничего не узнает о $я$.

Так, мой вопрос: есть ли "общий" вариант забывчивой передачи 1 из N?

Мы считаем, что массив и запрошенный индекс являются общим секретом между Алиса и Боб (например., аддитивный обмен секретами). Это, Алиса содержит долю массива $A_{Алиса}$ и доля запрашиваемого индекса $idx_{Алиса}$; Боб содержит долю массива $A_{Боб}$ и запрошенный индекс $idx_{Боб}$. После прохождения ТО Алиса получает $[x_{idx}]_{Алиса}$ и Боб получает $[x_{idx}]_{Боб}$, куда $([x_{idx}]_{Алиса}+[x_{idx}]_{Боб})modN=x_{idx}$.

Обновлять:

По мотивам документа CCS2021 Забывчивые линейные групповые действия и приложения, в разделе 5.1 они предлагают протокол «Забывчивый выбор» (называемый «общим» вариантом ОТ), основанный на перестановке. Но перед каждым выбором мы должны сделать перестановку в массиве. Поэтому я предложил вопрос выше: существуют ли другие протоколы для бессознательного выбора элемента из общего массива по общему индексу?

Алиса выбирает список равномерно случайных закрытых ключей $\{а_я\}$. Она вычисляет список соответствующих открытых ключей $\{А_я\}$ как $\{a_iG\}$. Затем она объявляет список соответствующих хэшей открытого ключа. $\{P_i\}$ рассчитывается как $\{хэш(A_i)\}$.

$G$ является известной базовой точкой на кривой, и $хеш()$ является криптографически безопасной хеш-функцией.

Боб делает то же самое, чтобы у Боба были закрытые ключи. $\{b_i\}$, имеет открытые ключи $\{B_i\}$, и объявляет хэши открытого ключа $\{Q_i\}$.

На этом этапе Алиса и Боб могут принять решение о сотрудничестве для определения списка общих секретов Диффи-Хеллмана. $\{S_i\}$ как $\{a_iB_i\}$ или же $\{b_iA_i\}$. Однако они этого не делают.

Без ограничения общности, если Алиса хочет узнать общий секрет по индексу $j$ без обнаружения Боба $j$ или общий секрет:

Алиса выбирает равномерно случайный ослепляющий фактор $г$, и отправляет $X=rA_j+jH$ к Бобу. $Ч$ является второй известной базовой точкой на кривой, где $ч$ неизвестно такое, что $hG==H$.

Боб отправляет обратно Алисе список $\{Z_i\}$ = $\{b_i(X-iH)\}$.

Алиса теперь может только разлепить и узнать общий секрет $S_j$ путем расчета $r^{-1}Z_j$. Она не может ничего узнать ни о каком другом общем секрете, потому что $Ч$ Компонент списка ответов Боба аннулируется только по одному конкретному индексу.

Поскольку этот секрет Диффи-Хеллмана $S_j$ будет равно $a_jB_j$, Алиса затем может проверить, что хэш Боба $Q_j$ совпадения путем проверки $Q_j\overset{?}{=}хэш(a_j^{-1}S_j)$.

Хотя я бы не назвал это общим вариантом ОТ, предложенная вами функциональность действительно может быть реализована с помощью одного вызова 1-из-$(|\mathbb{F}|^n\cdot n)$ ОТ, поскольку ОТ завершено. Здесь $\mathbb{F}$ это поле $А$записи.
Во-первых, рассмотрим двухстороннюю функциональность, в которой Боб получает функцию $ф(х,у)$, $х$ удерживается Алисой и $у$ Боб. Позволять $а,б$ быть входами Алисы и Боба соответственно. Алиса устанавливает массив $А$ такой, что $A[i] = f_i(a) = f(a,i)$. Затем они используют OT, где Боб получает $A[b] = f_b(a) = f(a,b)$ как требуется.
Теперь о вашей функциональности. Пусть Алиса выберет случайный $г$, и рассмотрим функцию $$f\left(\left(A_{Алиса}, idx_{Алиса}\right), \left(A_{Боб}, idx_{Боб}\right)\right) = A_{Alice}[idx_{Alice} + idx_{Боб}] + A_{Боб}[idx_{Алиса} + idx_{Боб}] - r$$ Я опустил модуль для простоты.
Как описано выше, они используют один вызов OT, чтобы позволить Бобу получить $[x_{idx}] -r$. Вместе с $г$ что Алиса держит, у них есть секретный обмен $[x_{idx}]$.
Я бы не назвал это общим ОТ, потому что это совсем другое. Например, Алиса и Боб играют одинаковую роль, тогда как в обычном ОТ у них разные роли (у одного есть массив, у другого — выбор записи).