UC安全（adaptiveではない、つまりadversatyはadaptiveにcorruptすることはない）なOTをCRSモデルで構成。
UC安全であり、round optimalであり、computationが（比較的）少ないというところがcryptoに通った理由なのだろうか？
これまでUC安全なOTはtwo-partyしかないから非効率だった、てことかな。

方式自体はCRSにtrapdoorを埋め込むのは普通。
dual-mode cryptosystem（以下dm）というOTのabstractionを定義している。
まぁぶっちゃけそのままOTだが…ｗ

UC安全なtwo-party protocolだから、simulaterSは色々相反することができる必要がある。
・senderがcorruptされたら、A（Z）が作った暗号文は両方ともdecryptできる。
・receiverがcorruptされたら、A（Z）は復号できないメッセージ情報を失う。

dmは、crsの確率分布が2種類存在して、
それを証明の際に上手く使い分けてreceiverかsenderのどちらかにunconditionalな安全性を保証している。
dmはDDH、QR、lattice関係の3つのassumptionから構成できる、と。

なんでしょね、今回のポイントは。
両方ともcomputationalでいいならadaptive Aに対しても安全性言えそうな気がするんですが。

あと毎回疑問に思うんだが、今回のF_otを例にとると、
記述ではまずsenderが（x_0、x_1）を送って、その後receiverが（b∈{0,1}）を送りx_bを得る。
この順番で記述されているんだが、それだとどうしても証明に納得がいかない。
先にreceiverがbを決めてもいいんではないかい？
ていうか、今回のとかまさにそうだし。receiverはbを決めてpkを作成し、senderに送るわけだから。
だからF_otの記述はおかしいと思うのだが、さすがにcryptoにacceptされたペーパーと俺の頭脳では分が悪すぎるｗ
誰か教えてくれないかなぁ。