Trên thực tế, có hai điều riêng biệt sẽ được thảo luận w.r.t. giấy:
Các chi tiết về cách áp dụng một $\text{GF}(2)$-affine cho một biến được chia sẻ SSS.
Tính đúng đắn của sơ đồ nhân SSS mới được đề xuất trong bài báo.
Giấy Về việc sử dụng chia sẻ bí mật của Shamir để chống lại
Phân tích kênh phụ được đề cập bởi Kodlu gợi ý rằng có một lỗ hổng trong 2.Cảm ơn vì đã tìm thấy điều đó, Kodlu!
Liên quan đến câu hỏi ban đầu về 1., bài báo Trục trặc bậc cao Triển khai miễn phí AES bằng cách sử dụng Giao thức tính toán đa bên an toàn của Roche và Prouff giải thích cách áp dụng $\text{GF}(2)$chức năng -affine trong ngữ cảnh của SSS hơn $\text{GF}(2^8)$. Để thuận tiện và vì nó trang nhã, tôi sẽ sao chép nó ở đây với một số chi tiết được điền vào:
Quan sát quan trọng là như sau:
Yêu cầu: Không tí nào $\text{GF}(2)$chức năng -affine trên $\text{GF}(2^n)$ là duy nhất của hình thức $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$, ở đâu $\text{Frob}: y\mapsto y^2$ là Frobenius, và $a_k\in\text{GF}(2^n)$.
Bằng chứng: Từ $\text{Gal}(\text{GF}(2^n)/\text{GF}(2))=\{\text{Frob}^k\}_{k=0,\ldots,n- 1}$, đây là trường hợp đặc biệt của thực tế là đối với bất kỳ mở rộng Galois nào $L/K$, $\text{Gal}(L/K)$ là một $L$-cơ sở của $\text{End}_K(L)$. Điều này lại xuất phát từ (a) thực tế là $\text{dim}_K(L)=|\text{Gal}(L/K)|$, vì thế $\dim_L\text{Hom}_K(L,L)=\text{dim}_L\text{Hom}_K(K^{|\text{Gal}(L/K)|},L)=|\ văn bản{Gal}(L/K)|$, và (b) thực tế là các phần tử của $\text{Gal}(L/K)$ là $L$- Độc lập tuyến tính, là trường hợp đặc biệt của tính độc lập tuyến tính của các ký tự.
Với yêu cầu, việc áp dụng $\text{GF}(2)$chức năng -affine trên $\text{GF}(2^n)$ đối với cổ phiếu SSS làm giảm việc áp dụng các chức năng của biểu mẫu $y\mapsto b y^{2^k}$ cho một số $b\in \text{GF}(2^n)$. Ở đây, người ta quan sát thấy rằng mọi thứ trở nên đơn giản hơn bằng cách giả sử bộ điểm đánh giá SSS công khai $\{\alpha_i\}$ ổn định dưới $\text{Frob}$, trong trường hợp đó là chia sẻ SSS $(\alpha_i, y_i)$ của $x$ chuyển đổi thành chia sẻ SSS $(\alpha_{\pi^k(i)}, b y_i^{2^k})=(\alpha_i, b y_{\pi^{-k}(i)}^{2^k})$ của $b x^{2^k}$ cho hoán vị $\pi$ xác định bởi $\text{Frob}(\alpha_i) = \alpha_{\pi(i)}$. Như là $\text{Frob}$-tập con ổn định của $\text{GF}(2^n)$ có thể được xây dựng dựa trên quan sát rằng $\text{GF}(2^n)\setminus\bigcup_{k|n}\text{GF}(2^k)$ phân hủy thành $\text{Frob}$-quỹ đạo có kích thước $n$, do đó theo quy nạp có $\text{Frob}$-quỹ đạo có kích thước $k|n$ cho tất cả $k|n$.
Vì vậy, đặt tất cả lại với nhau, áp dụng $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$ đến một biến được chia sẻ SSS $(\alpha_i,y_i)$ với $\text{Frob}$-ổn định $\{\alpha_i\}$ tương tự về mặt đại số với việc áp dụng nó theo cách chia sẻ, nhưng người ta phải thêm một hoán vị cho các chia sẻ: Cái mới $i$-th chia sẻ $a_{-1} + \sum_{k=0}^{n-1} a_{k} \text{Frob}^k(y_{\pi^{-k}(i)})$, ở đâu $\pi$ là hoán vị trên $\{\alpha_i\}$ gây ra bởi $\text{Frob}$.
