目前針對同態秘密共享中非法值的解決方案有哪些?
有一個關於同態秘密共享的常見範例,專注於電子投票。假設我們在秘密共享系統中使用 Shamir 方案,參與者生成一個多項式,其 a0 為 +1(是)、0(棄權)或 -1(否),然後將計算出的 n 個點分配給出納員。每個櫃員都會計算每個點的總和,並公佈結果。每個人都可以計算得到的多項式,它等於選民生成的所有多項式的總和。然後揭示的秘密是每個+1、0或-1的總和。
該系統的漏洞之一是惡意玩家可以生成 a0 = 7893 的多項式。如果 a0 值超出 {-1,+1} 範圍,它將破壞最終結果。目前解決這個問題的方法有哪些?換句話說……如何確保 a0 在 a 和 b 之間,而不暴露其值?
這是沙米爾秘密計劃的“已知漏洞”。雖然眾所周知它在資訊理論上是安全的,但這裡的安全性意味著隱私。Shamir 的方案沒有真實性屬性——單方可以通過修改單個共享來更改輸出。
最近有人建議增加“秘密分享”的概念,以賦予它真實性的概念。這可以被視為類似於“加密”的原語(僅提供隱私)如何被增強為“認證加密”(提供隱私和真實性)。
我在由 Phil Rogaway 提出的RealWorldCrypto 2020 演講 Adept Secret Sharing中看到了這個提議(儘管 Mihir Bellare 和 Wei Dai 被列為共同作者/共同貢獻者)。不過,這次談話似乎還沒有公之於眾的論文/幻燈片。談話本身可在此處獲得。我不記得談話的全部內容,但結論是類似於獲得私人 + 真實秘密共享的通用轉換,但隱私變成了計算性的(而不是資訊論的)。
不過,這可能對您的目的不起作用——這樣的方案可能不再是同態的(雖然我不記得目前談話的細節)。那麼人們在實踐中會做什麼呢?我相信“標準”Shamir 的秘密共享和非互動式零知識 (NIZK) 證明的某種組合 $ a_0\in (a,b) $ . 這稱為“範圍證明”(例如,參見this)。