Secret-Sharing

我們如何評估一個組而不是一個域中的多項式?(橢圓曲線上可驗證的秘密共享)

  • October 16, 2019

我試圖了解我們如何擁有建立在秘密共享(建立在有限域之上)和雙線性映射(建立在橢圓曲線組之上)的密碼方案。

這方面的一個例子是秘密共享方案中的配對的公共可驗證性中的第 4 節,其中可公開驗證的秘密共享是使用雙線性映射作為正確性證明獲得的。該問題計劃的相關部分是:

  1. 設置: $ q $ 是一個素數並且 $ h $ 生成一個組 $ G $ 有秩序的 $ q $ . 每個參與者發佈公鑰 $ h_i = h^{d_i} $ , 在哪裡 $ d_i $ 是一個隨機數 $ F^*_q $ .
  2. 分佈:莊家選擇一個隨機的次數多項式 $ t -1 $ 有係數, $ \alpha_j $ 在 $ F_q $ : $ P(x) = \sum^{t-1}_{j=0} \alpha_j x^j $ 並發布加密共享: $ Y_i = h_i^{P(i)} $ .

並公佈對係數的承諾 $ C_j = g^{\alpha_j} $ . 3. 驗證:驗證過程中的一個步驟涉及計算 $ X_i = \prod_{j=0}^{t-1} {C_j^{i}}^j = g^{ \sum^{t-1}_{j=0} \alpha_j i^j} $ 然後評估雙線性方程是否 $ e(X_i,h_i) = e(g,Y_i) $ 持有。

那麼問題是:

這怎麼可能?雙線性圖的使用意味著使用橢圓曲線組,同時計算 $ X_i $ 涉及加法、乘法和求冪,即它需要一個欄位。但是由於我們在計算時已經過渡到曲線點組 $ Y_i $ 和 $ C_j $ 我們將失去乘法和冪運算,對嗎?我在這裡想念什麼?

這對我來說是正確的。多項式不在橢圓曲線組中求值 $ G $ , 但在 $ F_q $ (在哪裡 $ q $ 是順序 $ G $ ),這是一個欄位,因為 $ q $ 是一個素數。

為了更清楚,我在您給出的等式中添加了括號:$$ X_i = \prod_{j=0}^{t-1} (C_j)^{{i}^j} = \prod_{j=0}^{t-1} (g^{\alpha_j})^{ i^j}= (g)^{ \sum^{t-1}_{j=0} \alpha_j i^j} $$您可以看到多項式在指數中被評估,這就是為什麼它在 $ F_q $ .

如果使用橢圓曲線表示法(讓 $ P $ 成為 EC 組的生成器 $ G $ , IE $ g $ 在上述等式中):

$$ X_i = \sum_{j=0}^{t-1} ({i}^j\cdot C_j) = \sum_{j=0}^{t-1} ({i}^j\cdot a_j\cdot P)= (\sum_{j=0}^{t-1} a_j\cdot {i}^j )\cdot P $$

引用自:https://crypto.stackexchange.com/questions/75118