當攻擊者擁有 t-1 個共享時，Shamir 的密碼共享的秘密共享有多安全？

我正在設計協議以使用 Shamir 的秘密共享在k方之間共享隨機生成的**n長密碼。我知道除了密碼的大小之外，僅共享不會向攻擊者透露有關原始密碼的太多資訊。我現在的解決方案是使用常量模式將每個密碼擴展到 512 位。

當攻擊者擁有 t-1 份額並且知道拉伸模式時，這對暴力攻擊有多安全？有沒有更好的方法來混淆原始密碼大小？用對稱密碼加密密碼會更好嗎，比如說 AES256-CTR 和隨機密鑰K，然後用 SSS 算法拆分該密鑰？

Shamir 秘密共享是理論上安全的資訊。只要攻擊者知道的少於 $ t $ 分享。所以，即使有 $ t-1 $ 共享，攻擊者仍然對這個秘密一無所知。所以給出了蠻力攻擊 $ t-1 $ 共享是不可能的，即使是擁有無限計算資源的攻擊者也無法破解這個秘密。

對秘密使用確定性（但攻擊者知道）變換以使其為 512 位，然後秘密共享該值對於保護秘密的長度是很好的。

是的，您可以使用像 AES-256 這樣的對稱密碼來加密秘密，儘管您仍然需要填充秘密以隱藏長度。然後您可以與 SSS 共享加密密鑰。然而，這確實失去了資訊理論的安全性，因為 AES 在理論上不是資訊安全的。然而，在實踐中，我不認為這是一個主要問題。

引用自：https://crypto.stackexchange.com/questions/31150