Có bất kỳ lợi thế để sử dụng $\bmod q$ trên phương pháp ngây thơ (không sử dụng modulo)? Nếu có, đó có phải là tính bảo mật hoặc độ phức tạp tính toán hay bất kỳ vấn đề nào khác không?
Đúng; làm việc $\bmod q$ có lợi thế thực tế là các cổ phiếu có độ dài giới hạn; tính toán cổ phần trong $\mathbb{Z}$ có thể yêu cầu chúng tôi gửi các giá trị khá dài (vì các giá trị ở đó không có giới hạn trên).
Tuy nhiên cũng có những lo ngại về bảo mật:
Tiết lộ cổ phần trong $\mathbb{Z}$ rò rỉ thông tin; ví dụ, giả sử ai đó biết chia sẻ $(x, y)$ vì $x=2$ tương ứng với một bí mật $z$. Đó là, anh ta được trao một giá trị $y = a_n2^n + a_{n-1} 2^{n-1} + ... + a_12^1 + z$. Bây giờ, các số hạng không đổi đều chẵn; do đó nếu họ thấy rằng $y$ là số lẻ, điều đó có nghĩa là $z$ cũng phải là số lẻ; nghĩa là, chúng tôi vừa rò rỉ lsbit. Mở rộng quan sát này cho thấy rằng một phần $(x, y)$ tiết lộ giá trị của $z \bmod x$. Một quan sát tương tự cho thấy rằng hai cổ phiếu $(x_0, y_0)$, $(x_1, y_1)$ cũng tiết lộ $z \bmod x_0 - x_1$. Điều này trái ngược với Chia sẻ bí mật Shamir tiêu chuẩn, không có rò rỉ như vậy.
Shamir giả định rằng các hệ số bí mật $a_n, a_{n-1}, ..., a_1$ được chọn thống nhất. Tuy nhiên, hóa ra là không thể chọn ngẫu nhiên thống nhất từ một tập hợp kích thước $\aleph_0$ (tập hợp các số nguyên), nghĩa là, bất kỳ phương pháp lựa chọn nào cũng nhất thiết phải sai lệch. Và, tùy thuộc vào phân phối là gì, sự thiên vị này cũng sẽ rò rỉ thêm thông tin.
BTW: Chia sẻ bí mật của Shamir không nhất thiết phải được thực hiện theo số nguyên tố lớn; nó có thể được thực hiện trên bất kỳ trường hữu hạn nào. Trong thực tế, chúng ta thường sử dụng các trường đặc trưng chẵn, chẳng hạn như $GF(2^8)$ hoặc $GF(2^{128})$; bảo mật là như nhau, nhưng nó có lợi thế thực tế là mọi thứ phù hợp với một số byte nguyên.
