OPRF

##PRF Pseudo Random Function，伪随机函数，主要就是用来产生为伪随机数的。 ###伪随机数

###原理 PRF 是一个确定性的函数，记为$F$。 我们称$F$是定义在$（k,X,Y）$上的 PRF，其中 k 是密钥空间，X 是输入空间，Y 是输出空间。 它有两个输入，一个是密钥 k，另一个是数据块 x∈X（称作输入数据块）。它的输出$y=F(k, x) ∈Y$ 也是一个数据块（称作输出数据块）。

对于 PRF，其安全性要求：给定一个随机产生的密钥 k，函数$F (k,.)$应该看上去“像”是一个定义在 X 到 Y 上的随机函数。

####随机函数 给定集合$X$和$Y$，定义在$X$到$Y$上的映射$f：X→Y$： 首先把所有定义在$X$到$Y$上的映射集中起来，形成一个集合。这个集合里的每个元素都是一个类似$f$这样的映射（函数），它们的定义域都是$X$，值域是$Y$。 这个集合记为$Funs[X,Y]$，它就是定义在$X$到$Y$上的所有函数的集合。

很明显，这个集合里一共有$|Y|^{|X|}$个函数，非常大！ 现在，从$Funs[X, Y]$随机选择一个函数。这个函数就是“随机函数”。

需要注意的是，所谓的**“随机函数”强调的是这个函数是随机地被选择出来的**。因此，“随机函数”这个概念和函数的输出是否是随机的没有关系。即使一个函数的输出不是随机的，但只要它被选出的时候是随机选择的，那么它就是“随机函数”。理解这一点非常重要！

###实现

##OPRF Oblivious Pseudorandom Function，不经意伪随机函数。 ###功能 假设Alice有一些输入，Bob有一个$key$。OPRF允许Alice将自己的输入与Bob的$key$结合经过一系列运算转变成相对应的数。 在这个过程中，Alice不能知道Bob的$key$，Bob也不知道最后的结果$F(key,x)$。每一个输入$x_i$都可以计算出一个不同于其他输入的数，这些数就可以被看作伪随机数。

###原理

####基于DH的OPRF

基于DH的OPRF是计算$F_{\alpha}(x)=H'(H(x){\alpha})$，其中$H$是一个在$Z_q*$上的hash函数，可以看作是一个喻言机。具体来说，$G$是一个$q$阶循环群，其中One-More-Gap-Diffie-Hellman(OMGDH)问题是困难的。

那么就有疑问了： （1）如何将item 插入到椭圆曲线上的点？ （2）如何从椭圆曲线上的点中提取$OPRF(k,x)$？ 下面给出一种简单的方法：

该思想来自：Fast Secure Computation of Set Intersection ####基于OT的OPRF 参考：隐私集合求交（PSI）-两方

####基于RSA的OPRF 意思就是： x=h.r^e , y=x^d=(h.r^e)^d z=y.r^{-1}=(h.r^e)^d . r^{-1}=h^d.r^{ed-1} z^e=(h^d.r^{ed-1})^e=h^{ed}.r^{e(ed-1)} ？？ 这个没看太懂，有朋友看懂了可以解惑？

##OPPRF Oblivious Programmable Pseudo-Random Function，可编程的不经意伪随机函数。 参考：隐私集合求交（PSI）-多方

##参考 1、现代密码学3.5--伪随机函数/PRF 2、【现代密码学入门】24. 伪随机函数（PRF）(1)