Giao thức tạo khóa Gennaro & Goldfeder

Khi tôi đi qua âECDSA ngưỡng đa bên nhanh chóng với thiết lập nhanh chóng đáng tin cậy– Bài báo của Gennaro & Goldfeder, 2018, tôi thấy khó hiểu về giao thức tạo khóa (Phần 4.1, trang 10):

Trong Giai đoạn 1, họ tạo một cặp (cam kết, hủy bỏ cam kết) bằng cách sử dụng lược đồ cam kết. Trước đó trong bài báo, họ đã đề cập rằng âtrong thực tế, người ta có thể sử dụng bất kỳ hàm băm an toàn nào h và xác định cam kết x như h = h(x, r), cho một lựa chọn thống nhất r chiều dài TÔI" và cho rằng h hoạt động như một lời tiên tri ngẫu nhiên. Chúng tôi sử dụng phiên bản tiên tri ngẫu nhiên hiệu quả này trong quá trình triển khai của mìnhâ (xem trang 6, dưới cùng). Theo tôi hiểu, họ giảm cam kết đối với HMAC bằng khóa r. chuỗi decommitment trong trường hợp này là gì? Là nó r hoặc là nó x? Chuỗi giải mã hoàn toàn phục vụ mục đích gì?

Trong Giai đoạn 1, chuỗi cam kết được phát đi. Sau đó, trong Giai đoạn 2, chuỗi hủy bỏ được phát sóng. Theo tôi hiểu, việc tách biệt được thực hiện để mọi người thực hiện cam kết của mình trước khi thấy bất kỳ ai không cam kết.

Câu tiếp theo: âHãy y_tôi là giá trị được xác định bởi P_tôiâ. cũng vậy y_tôi = KGD_tôi = r?

Câu tiếp theo: âNgười chơi P_tôi thực hiện một (t, N) Feldman-VSS của giá trị bạn_tôi, với y_tôi dưới dạng âsố tự do trong số mũâ. Trong chia sẻ bí mật đa thức điển hình của bạn (ví dụ: Shamir), bất kỳ giá trị nào bạn đang chia sẻ đều là số hạng tự do trong đa thức. Vì vậy, với tôi điều này có vẻ mâu thuẫn với chính nó khi nói rằng chúng ta đang chia sẻ bạn_tôi và y_tôi đồng thời. Phải chăng âsố hạng tự do trong số mũâ không có nghĩa là số hạng tự do của đa thức? Feldman-VSS có hoạt động khác với Shamir không?

Sau đó, âcác giá trị kết quả x_tôi diện tích (t, N) Chia sẻ bí mật của Shamirâ về chìa khoá bí mật x = $\sum$_tôi bạn_tôiâ. Tại sao? Khóa bí mật này có được ghép nối với khóa chung không y?

Mọi ý kiến ​​sẽ rất được hoan nghênh!

Một chương trình cam kết chung bao gồm hai giai đoạn:

1. giai đoạn cam kết: người gửi mã hóa một tin nhắn thành một giá trị cam kết bằng cách sử dụng hàm một chiều với một số giá trị ngẫu nhiên, chẳng hạn như tung đồng xu r trong bài viết của bạn. Pha này có thể đảm bảo rằng không có người nhận độc hại nào có được bất kỳ thông tin nào về tin nhắn.
2. giai đoạn hủy bỏ cam kết: người gửi nên truyền một số bằng chứng để chứng minh rằng giá trị cam kết ở trên là chính xác.

Ví dụ: giả sử rằng chúng ta có hàm băm an toàn H(x,r)=H($X·h^r$) trong đó X=$g^x$ là khóa công khai, x là giá trị bí mật, r là giá trị ngẫu nhiên, khi đó chúng ta có thể tạo cam kết C= H($g^x·h^r$). Để chứng minh tính đúng đắn của giá trị cam kết C, người gửi nên gửi giá trị hủy bỏ cam kết r= $h^r$ cho người nhận bằng chứng ZK về việc biết r, sau đó người nhận kiểm tra xem C = H(X·R) có được giữ hay không.

Chương trình cam kết ở trên chỉ là một ví dụ không hợp lý. Nhưng theo sự hiểu biết của tôi, các $y_i$ có thể là r Tôi đã nghĩ.