Là phần tiếp theo của phần trước của tôi bưu kiện Tôi đang viết một cái mới liên quan đến sơ đồ chia sẻ bí mật. Tôi sẽ chỉ trích dẫn ở đây câu trả lời vì tôi muốn đặt câu hỏi về nó.
$\textbf{Trả lời:}$ Thành thật mà nói, tôi không quen thuộc 100% với cách trình bày ban đầu trong RB89, nhưng họ đã giới thiệu một số kỹ thuật đã được sử dụng trong nhiều bài báo tiếp theo và ngày nay có một loại phiên bản đơn giản hóa (theo thuật ngữ hiện đại) của bí mật mạnh mẽ -chương trình chia sẻ ở đó. Ví dụ: bạn có thể tìm thấy mô tả cấp cao ở trang 3 đây.
Tóm lại mục đích là lấy bí $s\in\mathbb{F}$ và phân phối nó giữa $n$ tiệc tùng $P_1,\ldots,P_n$ để sau này, các bên có thể tái tạo lại bí mật này cho nhau, đồng thời đảm bảo rằng ngay cả khi một số $t$ đảng tham nhũng với $t<n/2$ gửi các giá trị không chính xác, các bên trung thực (tức là không bị hỏng) vẫn có thể lấy được bí mật cơ bản. Điều này đạt được như sau:
Người chia bài sử dụng chia sẻ bí mật Shamir truyền thống để lấy phần bí mật $(s_1,\ldots,s_n)$. Nếu $t<n/2$, thì những chia sẻ này cung cấp phát hiện lỗi, có nghĩa là một bên nhận được những cổ phiếu này, trong đó $t$ trong số chúng có thể bị sửa đổi do hành vi đối nghịch, có thể tìm ra bí mật có bị giả mạo hay không, nhưng trong trường hợp có sai sót, bên được cho không thể "sửa chúng" để tạo lại bí mật chính xác. Điều này là không đủ để chia sẻ bí mật mạnh mẽ.
Các đại lý lấy mẫu các cặp ngẫu nhiên thống nhất $(\alpha_{ij},\beta_{ij})\in\mathbb{F}^2$ và tính toán $\tau_{ji} = \alpha_{ij}\cdot s_j + \beta_{ij}$ cho mỗi cặp $i,j\in[n]$ (đây $[n] = \{1,\ldots,n\}$). Như chúng ta sẽ thấy, mục tiêu của dữ liệu bổ sung này là để đảm bảo rằng bên nhận không chỉ có thể phát hiện xem các chia sẻ có bị giả mạo hay không mà còn thực sự nhận dạng những cái không chính xác, do đó lọc ra những cái đúng, dẫn đến bí mật đúng được xây dựng lại.
Đại lý gửi $\sigma_i = (s_i, \{(\alpha_{ij},\beta_{ij})\}_{j\in[n]}, \{\tau_{ij}\}_{j\in[n ]})$ cho mỗi bên $P_i$. Nói cách khác: mỗi $P_i$ nhận được một phần $s_i$ cộng với một cặp chìa khóa $(\alpha_{ij},\beta_{ij})$ cho nhau. Thêm vao Đoa, $P_i$ nhận được một "phiên bản xác thực của $s_i$" bằng cách sử dụng các khóa của bên kia.
Hãy nói rằng một bữa tiệc $P_j$ được cho là để tìm hiểu bí mật. Để đạt được điều này, các bên $P_i$ vì $i\in[n]\setminus\{j\}$ gửi $P_j$ giá trị của họ $(s_i',\tau_{ij}')$ (nếu $P_i$ là trung thực, sau đó $s_i' = s_i$ và $\tau_{ij}' = \tau_{ij}$, nhưng một bên tham nhũng có thể gửi các giá trị không chính xác), và $P_j$ kiểm tra, sử dụng chìa khóa riêng của mình $(\alpha_{ji},\beta_{ji})$, điều đó $\tau_{ij}' = \alpha_{ji}\cdot s_i' + \beta_{ji}$.
Như một bài tập, người ta có thể kiểm tra xem nếu $s_i'\neq s_i$, thì xác suất mà phương trình này đúng là nhiều nhất $1/|\mathbb{F}|$ (điều này tận dụng thực tế là $P_i$ không biết chìa khóa $(\alpha_{ji}, \beta_{ji})$, là ngẫu nhiên), vì vậy, miễn là trường đủ lớn, $P_j$ sẽ có thể lọc ra những chia sẻ sai và do đó xây dựng lại bí mật từ những chia sẻ đúng còn lại.
Điều này bằng cách nào đó giúp bạn với những câu hỏi cụ thể mà bạn có? Vui lòng gửi bất kỳ nhận xét nào nếu bạn cần làm rõ theo hướng nhất định.
$\textbf{Câu hỏi:}$ Thông thường, nhiều vấn đề xác định $s$ như một biến ngẫu nhiên được phân phối đồng đều trên một trường $\mathbb{F}$. Các đại lý, dựa trên câu trả lời phân phối này $s$ giữa $n$ các bữa tiệc và mọi bữa tiệc $i$ học $s_i$. Người chơi $i$ học $\sigma_i = (s_i, \{(\alpha_{ij},\beta_{ij})\}_{j\in[n]}, \{\tau_{ij}\}_{j\in[n ]})$, ở đâu $(\alpha_{ij},\beta_{ij})$ biểu thị một cặp chìa khóa cho mỗi bên khác $j\neq i$. Hơn nữa, $(\alpha_{ij},\beta_{ij})\in\mathbb{F}^2$ là các cặp ngẫu nhiên thống nhất và tính toán $\tau_{ji} = \alpha_{ij}\cdot s_j + \beta_{ij}$. Câu hỏi của tôi là làm thế nào chúng ta có thể đảm bảo rằng với mọi biến ngẫu nhiên thống nhất $s_i$ trên $\mathbb{F}$, chúng ta có thể tìm thấy một cặp biến ngẫu nhiên khác $(\alpha_{ij},\beta_{ij})\in\mathbb{F}^2$ như vậy mà $s_j=(\tau_{ij}-\beta_{ij})\cdot\alpha_{ij}^{-1}$? Cụ thể, có một số kết quả từ lý thuyết xác suất đảm bảo rằng chúng ta có thể viết mọi biến ngẫu nhiên $s_i$ thành một công thức tương đương như là sự kết hợp của các biến ngẫu nhiên khác nếu $+$ và $\cdot$ được định nghĩa trên $\mathbb{F}$?