Secret-Sharing

Shamir 秘密共享關於門檻值的安全性

  • September 5, 2018

考慮 Shamir 秘密共享方案 (SSSS)。這是完全沒有根據的,但是我的直覺告訴我,k我們設置的門檻值(也就是建構原始秘密所需的股份數量)關於分配的股份總數(n)與整個系統的安全性有著深刻的關係.

我想像有兩種情況會影響安全性的門檻值。

  1. k = n.

  2. 何時k顯著低於n

這是真的嗎?

絕對不會通過少於 $ k $ 分享。這是真的,無論什麼 $ k $ 是,並且對於具有無限計算能力的對手。秘密是理論上隱藏的資訊。

簡而言之,這樣做的原因是,對於每個可能的秘密值,都存在一個多項式來插值它和獲得的所有份額。

每一股都是學位上的一個點 $ k-1 $ 多項式 $ f $ . 秘密也是多項式上的一個點,通常它被認為是一個點 $ (0,S) $ (IE $ f(0)=S $ , 所以多項式的常數項是秘密 $ S $ ).

SSS 使用以下事實:對於每個 $ k $ 點,只存在一個次數多項式 $ k-1 $ 這貫穿了所有這些點。這可以使用 Legrange 插值來顯示。

假設你知道 $ k-1 $ 分享並試圖弄清楚是否 $ S’ $ 是秘密。你自己想想,如果 $ S’ $ 是秘密,那我一定有 $ f(0)=S’ $ . 然後,我總共有 $ k $ 點在 $ f $ ,即 $ k-1 $ 從我所知道的股票中,我假設你明白了 $ (0,S’) $ . 這樣一個 $ f $ 總是存在的,很可能是 SSS 生成的多項式,所以我不能排除 $ S’ $ 作為秘密。

這對於每個值都是正確的 $ S’ $ ,所以我沒有得到關於 $ S $ .

編輯:關於案例的切線 $ k=n $ . 您實際上可以做一些比 SSS 簡單得多的事情。隨機抽樣 $ n-1 $ 位串 $ s_1,\cdots,s_{n-1} $ . 然後讓 $ s_n=S\oplus s_1\oplus\cdots\oplus s_{n-1} $ . 請注意, $ s_i $ 滿足 $ S=s_1\oplus\cdots\oplus s_n $ . 如果任何一個共享是未知的(WLOG,比如說 $ s_n $ 是未知的),那麼 $ s_n $ 在功能上是一個 OTP,可以保護 $ S $ .

引用自:https://crypto.stackexchange.com/questions/62084