WikiDer > Публично проверяемый обмен секретами

Publicly Verifiable Secret Sharing

В криптография, а секретный обмен схема публично проверяемый (PVSS), если это поддающийся проверке секретный обмен схемы и может ли какая-либо сторона (а не только участники протокола) проверить действительность акций, распространяемых дилером.

В проверяемом совместном использовании секрета (VSS) цель состоит в том, чтобы противостоять злоумышленникам, таким как
(i) дилер отправляет неверные акции некоторым или всем участникам, и
(ii) участники, представившие неверные акции во время протокола реконструкции, см. [CGMA85].
В публично проверяемом совместном использовании секрета (PVSS), введенном Штадлером [Sta96], явная цель состоит в том, чтобы не только участники могли проверять свои собственные общие ресурсы, но и чтобы любой мог убедиться, что участники получили правильные общие ресурсы. Следовательно, это явным образом требуется что (i) можно проверить публично.
— Берри Шенмейкерс. Простая публично проверяемая схема совместного использования секретов и ее применение в электронном голосовании.

Метод, представленный здесь, согласно статье Чуньмин Тан, Динъи Пей, Чжо Лю и Юн Хэ не интерактивен и сохраняет это свойство на протяжении всего протокола.

Инициализация

Схема PVSS диктует процесс инициализации, в котором:

Все параметры системы сгенерированы.
У каждого участника должен быть зарегистрированный открытый ключ.

За исключением процесса инициализации, PVSS состоит из двух фаз:

Распределение

1.Распространение секрета ${displaystyle s}$ акции осуществляется дилером ${displaystyle D}$ , который выполняет следующие действия:

Дилер создает ${displaystyle s_ {1}, s_ {2} ... s_ {n}}$ для каждого участника ${displaystyle P_ {1}, P_ {2} ... P_ {n}}$ соответственно.
Дилер публикует зашифрованный ресурс ${displaystyle E_ {i} (s_ {i})}$ для каждого ${displaystyle P_ {i}}$ .
Дилер также публикует строку ${displaystyle mathrm {proof} _ {D}}$ чтобы показать, что каждый ${displaystyle E_ {i}}$ шифрует ${displaystyle s_ {i}}$

(Примечание: ${displaystyle mathrm {proof} _ {D}}$ гарантирует, что протокол реконструкции приведет к тому же ${displaystyle s}$ .

2. Проверка акций:

Кто-нибудь знает открытые ключи для методов шифрования ${displaystyle E_ {i}}$ , можете проверить акции.
Если одна или несколько проверок терпят неудачу, дилер терпит неудачу и протокол прерывается.

Реконструкция

1. Расшифровка акций:

Участники ${displaystyle P_ {i}}$ расшифровывает свою долю секрета ${displaystyle s_ {i}}$ с помощью ${displaystyle E_ {i} (s_ {i})}$ .

(примечание: здесь можно допустить отказоустойчивость: не обязательно, чтобы все участники успешно расшифровывали ${displaystyle E_ {i} (s_ {i})}$ до тех пор, пока квалифицированный набор участников успешно расшифрует ${displaystyle s_ {i}}$ ).

Выпуск участника ${displaystyle s_ {i}}$ плюс строка ${displaystyle mathrm {proof} _ {P_ {i}}}$ это показывает, что выпущенная доля верна.

2. Объединение акций:

Использование струн ${displaystyle mathrm {proof} _ {P_ {i}}}$ исключить участников, которые недобросовестны или не смогли расшифровать ${displaystyle E_ {i} (s_ {i})}$ .
Реконструкция ${displaystyle s}$ может осуществляться за счет долей любого квалифицированного набора участников.

Протокол Чаума-Педерсена

Предлагаемый протокол, подтверждающий: ${displaystyle log _ {_ {g1}} h_ {1} = log _ {_ {g2}} h_ {2}}$ :

Доказывающий выбирает случайный ${displaystyle rin {oldsymbol {mathrm {Z}}} _ {q ^ {*}}}$
Проверяющий отправляет случайный запрос ${displaystyle cin _ {R} {oldsymbol {mathrm {Z}}} _ {q}}$
Доказывающий отвечает ${displaystyle s = r-cx (mathrm {mod}, q)}$
Проверяющий проверяет ${displaystyle alpha _ {1} = g_ {1} ^ {s} h_ {1} ^ {c}}$ и ${displaystyle alpha _ {2} = g_ {2} ^ {s} h_ {2} ^ {c}}$

Обозначьте этот протокол как: ${displaystyle mathrm {dleq} (g_ {1}, h_ {1}, g_ {2}, h_ {2})}$
Обобщение ${displaystyle mathrm {dleq} (g_ {1}, h_ {1}, g_ {2}, h_ {2})}$ обозначается как: ${displaystyle {ext {dleq}} (X, Y, g_ {1}, h_ {1}, g_ {2}, h_ {2})}$ в то время как: ${displaystyle X = g_ {1} ^ {x_ {1}} g_ {2} ^ {x_ {2}}}$ и ${displaystyle Y = h_ {1} ^ {x_ {1}} h_ {2} ^ {x_ {2}}}$ :

Доказывающий выбирает случайный ${displaystyle r_ {1}, r_ {2} в Z_ {q} ^ {*}}$ и отправляет ${displaystyle t_ {1} = g_ {1} ^ {r_ {1}} g_ {2} ^ {r_ {2}}}$ и ${displaystyle t_ {2} = h_ {1} ^ {r_ {1}} h_ {2} ^ {r_ {2}}}$
Проверяющий отправляет случайный запрос ${displaystyle cin _ {R} {oldsymbol {mathrm {Z}}} _ {q}}$ .
Доказывающий отвечает ${displaystyle s_ {1} = r_ {1} -cx_ {1} (mathrm {mod}, q)}$ , ${displaystyle s_ {2} = r_ {2} -cx_ {2} (mathrm {mod}, q)}$ .
Проверяющий проверяет ${displaystyle t_ {1} = X ^ {c} g_ {1} ^ {s_ {1}} g_ {2} ^ {s_ {2}}}$ и ${displaystyle t_ {2} = Y ^ {c} h_ {1} ^ {s_ {1}} h_ {2} ^ {s_ {2}}}$

Протокол Чаума-Педерсена является интерактивным методом и требует некоторой модификации для использования в неинтерактивном режиме: замена случайно выбранных ${displaystyle c}$ с помощью функции "безопасного хеширования" с ${displaystyle m}$ как входное значение.

Смотрите также

Поддающийся проверке секретный обмен

использованная литература

Маркус Стадлер, Публично проверяемый обмен секретами
Берри Шенмейкерс, Простая публично проверяемая схема совместного использования секретов и ее применение в электронном голосовании, Достижения в криптологии - CRYPTO, 1999, стр. 148–164.

Navigation