Secret-Sharing

Shamir 的秘密分享與 Asmuth-Bloom 計劃

  • March 12, 2018

我需要使用秘密共享方案,但我真的不知道如何決定使用哪一個,Shamir 或 Asmuth-Bloom(使用 CRT)。

在這兩種情況下,恢復秘密的複雜性似乎都是線性的,並且兩種方案都是完全安全的。

誰能給出論據,為什麼我們應該選擇其中一個?

Shamir 的方案與 Asmuth 和 Bloom 的方案之間存在一個理論差異。

Shamir 可以以資訊安全的方式完成;具體來說,如果非常量多項式係數是以隨機方式選擇的(即,從與攻擊者可以看到的任何其他內容不相關的均勻機率分佈中選擇),那麼份額數小於門檻值的人將無法獲得有關共享秘密。這是因為,對於共享秘密的任何潛在值,存在與該秘密值一致的相同數量的可能秘密係數 - 如果我們假設這些係數是統一選擇的,則攻擊者沒有標準可以說一組的係數更可能是另一個。

相比之下,Asmuth 和 Bloom 的方案確實洩露了一些機率資訊。現在,共享秘密的任何特定值都是可能的;然而,共享秘密的不同值具有不同數量的可能秘密值 $ \alpha $ . 假設攻擊者知道機率分佈 $ \alpha $ 從中提取,然後他可以為共享秘密的值分配不同的機率,如果他選擇的話。

Asmuth 和 Bloom 的方案確實洩露了一些機率資訊,而 Shamir 的方案並沒有,嗯,這似乎是更喜歡 Shamir 的好理由(特別是因為,正如 Louis 所說,從實際的角度來看,Shamir 的方案實際上更容易)

一段時間前,我也不得不做出這個決定,並對這兩種方案進行了比較研究。Shamir 的方案用於門檻值秘密共享領域的大部分工作。這是因為這兩種方案都需要素數的首要原因。Asmuth-Bloom 的方案要求 $ n+1 $ ( $ n $ 正如路易斯的回答中提到的那樣,是股數)大於秘密並遵循特殊序列的素數。這使得該方案比 Shamir 慢 n 倍。

我們可以列出這些因素來說明為什麼 Shamir 的方案優於 Asmuth-Bloom 的方案。

  • Asmuth-Bloom 的方案要求 $ n $ 比沙米爾的素數更多
  • Asmuth-Bloom 的方案並不理想,因為共享的長度是秘密的 n 倍,而 Shamir 方案的共享大小最多是秘密的長度。
  • Asmuth-Bloom 中使用的隨機參數的機率分佈有助於獲取有關秘密的資訊
  • 選擇隨機參數和素數可能很棘手。一個簡單的實現可能會陷入無限循環來查找這些數字。

引用自:https://crypto.stackexchange.com/questions/34317