APSI - 2

上一篇APSI-1 其实就是对开源库README文件的一个翻译加上自己的一点点理解，因为篇幅过大，导致继续编辑有些卡顿，所以新开一篇继续。
前面介绍了APSI的大致技术、优化方法、以及举例说明了主要流程（unbalanced-PSI）。
下面主要介绍labeled-PSI！

Labeled Mode

Basic Idea

label模式和前面讲的没有太大区别，但需要一些额外的解释。receiver除了想要知道其查询项是否在sender的集合中之外，还想知道发送方与这些项关联的数据，即交集数据对应的label。（sender中存储的数据视为key-value）。

换成人话，就是sender中存储的都是key-value型的数据，而receiver中只有key，receiver想通过输入key，得到sender中匹配到的value值。即【带关键词的PIR】。论文和APSI中使用的是{item - lable}表示！

为了理解labled-APSI的工作原理，回顾前面讲到的Basic Idea，在对receiver发过来的加密查询项\(Q\)进行计算时，匹配多项式\(M(x)\)的输出要么是0的加密（匹配上），要么是非0的加密（没有匹配）。在labled-PSI中，sender会创建另外一个多项式\(L(x)\)，即插值多项式，具有以下性质：如果\({(Y_i, V_i)}\)表示sender得数据集，则\(L(Y_i) = V_i\)，收到receiver发送过来的Q，sender计算多项式对\(((M(Q), L(Q))\)，并将结果返回给receiver；receiver解密该结果对，观察第一个值是否为0，如果是，则第二个值即是所需的label！

Large Labels

一个较大的问题，就是所有的密文计算都需要模plain_modulus，但是sender的lable比这个要长的多。对于比较长的item，在Large Items中，首先先讲item通过hash，生成一个大小为（80-128 bit）的hash值【控制item的长度】，然后经过一系列的batch，对其编码。这种方法也适用于解决lable过长的问题。也就是说，lable可以被分解成类似于item的小部分，对于每个部分，我们可以形成一个lable插值多项式，当对所对应的item进行评估时，输出lable的该部分。

这还不是一个令人满意的解决方案，因为我们的item没有固定的大小，而且非常长（最大128位）。lable比item长，lable可以分成多个部分，每一部分的长度为item的长度。对于每个部分，我们可以构造一个单独的标签插值多项式，在加密查询中对它们进行求值，并将每个加密结果返回给receiver。receiver解密结果并连接它们，以恢复匹配项的lable。

Label Encryption

上述方法存在一个必须解决的严重问题。回想一下我们是如何使用OPRF来防止sender的item部分（或全部）泄漏给receiver的：给出一个item\(Y\)，匹配多项式不能直接计算\(Y\)，而是计算\(ItemHash(s, Y)\)，这表示item Y所对应的OPRF值\(OPRF(s, Y)\)的前128 bit，这就意味着标签插值多项式L应该满足\(L(ItemHash(s, Y_i)) = V_i\)对于sender的每一个item \(Y_i\)，然而receiver能够猜出一些\(ItemHash(s, Y_i)\)，就可以查询出其所对应的lable，这是不能接受的，因为receiver是不能知道item \(Y_i\)。

上面的意思在论文中，其实就是将OPRF的值分为两部分，一部分用于计算求交多项式，这里label没有加密，所以不安全。下面讲的是另外一部分用于加密label。
要明白：\(ItemHash(s, Y)\)表示\(OPRF（S，Y）\)的前128bit；插值多项式\(L(ItemHash(s, Y_i)) = V_i\)；

为了解决这个问题，sender使用了一个对称加密函数\(Enc(<input>, <key>, <nonce>)\)使用来自\(OPRF(s, Y_i)\)的输出的另外一部分加密\(label V_i\)。具体来说，加密密钥为\(LabelKey(s, Y_i)，label ：V_i，item：Y_i\)，是256 bit的输出\(OPRF(s, Y_i)\)的剩余128bit。因此发送给receiver的label就变成了\(Enc(V_i, LabelKey(s, Y_i), nonce)\)。

\(LabelKey(s, Y_i)\)表示\(OPRF(s, Y_i)\)的剩余12bit；

还有一些问题，因为receiver一定是想知道些什么nonce【半诚实的receiver】。第一种选择是选择使用常量或空的nonce（没有随机数）。这种情况下，必须注意，对手可能辨别出两个不同的加密label，其中两个label对应的是同一个item，使用的是相同的OPRF的key：s，这样就有可能得到关于label的相关信息。这种情况会发生，因为APSI支持更新item的label。
另一种选择是使用随机生成的长nonce（每次加密都不同）。APSI的实现是随机采样一个nonce，和加密的\(V_i\)拼接在一起。具体来说，sender为每一个\(item Y_i\)随机采样一个nonce，然后计算出插值多项式\(L(ItemHash(s, Y_i)) = nonce\)，然后与加密的\(V_i\)拼接：$$L(ItemHash(s, Y_i)) = nonce | Enc(V_i, LabelKey(s, Y_i), nonce)$$

nonce 理解为随机数吧

receiver从sender那里得到一些加密的label，没有任何作用，除非他知道对应的item \(Y_i\)。此外即使receiver通过猜测\(ItemHash(s, Y_i)\)获得了\(nonce | Enc(V_i, LabelKey(s, Y_i), nonce)\)，在离线攻击中，枚举出所有的item：\(Y_i\)，他仍然无法获得label，因为\(LabelKey(s, Y_i)\)是从\(OPRF(s, Y_i)\)中获得的，而不是\(Y_i\)。

APSI允许sender指定nonce的字节大小，默认的nonce单位16 字节，但是值越小，性能越好！

Partial Item Collisions

还有一个必须要解决的问题：回顾Pracice，sender构造一个大的hash表，并将其分解成多个锯齿状的bin bundles。在label-PSI中，每一个bin bundles不仅包含item的part，也包含对应的label的part，以及标签插值多项式。标签插值多项式不是为整个label创建的，而是对label的part分别创建，即使将整个item分解为part前会加密。

现在看一下发生了什么：item416-part1 和 item12-part1是相同的，如果其所对应的标签label416-part1 和 label12-part1是不同的，则创建一个插值多项式L是不可能的，因为不能针对一个item而输出两个label416-part1 和 label12-part1。【疑惑，插值多项式是插值的item的位置？】

在将item插入bin bundle之前，先检查一下label是否已经出现在相同的位置，就能解决这个问题。如果已经存在，那么该item就不能插入到该bin bundle，而是新建一个bin bundle，再插入。该问题只在label-PSI下存在，会导致比unlabeled-PSI有更差的打包率（items_inserted / theoretical_max）。