En criptografía , un protocolo de transferencia olvidada ( OT ) es un tipo de protocolo en el que un remitente transfiere una de muchas piezas de información potencialmente a un receptor, pero no sabe qué parte (si la hay) se ha transferido.
La primera forma de transferencia inconsciente fue introducida en 1981 por Michael O. Rabin . 1 De esta forma, el remitente envía un mensaje al receptor con probabilidad 1/2, mientras que el remitente ignora si el receptor recibió o no el mensaje. El esquema de transferencia inconsciente de Rabin se basa en el criptosistema RSA . Shimon Even , Oded Goldreich y Abraham Lempel 2 desarrollaron más tarde una forma más útil de transferencia olvidada llamada transferencia olvidada 1-2 o "transferencia olvidada 1 de 2" con el fin de crear protocolos para el cálculo multipartito seguro.. Se generaliza a "1 de ninguna transferencia olvidada", donde el usuario obtiene exactamente un elemento de la base de datos sin que el servidor sepa qué elemento se consultó y sin que el usuario sepa nada sobre los otros elementos que no se recuperaron. La última noción de transferencia olvidada es un fortalecimiento de la recuperación de información privada , en la que la base de datos no se mantiene privada.
El trabajo posterior ha revelado que la transferencia inconsciente es un problema fundamental e importante en la criptografía. Se considera uno de los problemas críticos en el campo, por la importancia de las aplicaciones que se pueden construir en base a él. En particular, es completo para el cálculo multipartito seguro : es decir, dada una implementación de transferencia olvidada, es posible evaluar de forma segura cualquier función computable en tiempo polinomial sin ninguna primitiva adicional. 4
En el protocolo de transferencia inconsciente de Rabin, el remitente genera un módulo público RSA N = pq donde p y q son números primos grandes , y un exponente e relativamente primo a λ(N) = ( p − 1)( q − 1). El remitente encripta el mensaje m como m e mod N .
Si el receptor encuentra que y no es ni x ni − x módulo N , el receptor podrá factorizar N y, por lo tanto, descifrar m e para recuperar m (ver encriptación Rabin para más detalles). Sin embargo, si y es x o − x mod N , el receptor no tendrá información sobre m más allá de la encriptación de la misma. Como todo residuo cuadrático módulo N tiene cuatro raíces cuadradas, la probabilidad de que el receptor aprenda m es 1/2.
En un protocolo de transferencia inconsciente 1-2, Alice, el remitente, tiene dos mensajes m 0 y m 1 y quiere asegurarse de que el receptor solo aprenda uno. Bob, el receptor, tiene un bit b y desea recibir m b sin que Alice aprenda b . El protocolo de Even, Goldreich y Lempel (que los autores atribuyen parcialmente a Silvio Micali ) es general, pero se puede instanciar mediante el cifrado RSA de la siguiente manera.