深入学习区块链的隐私保护（四）秘密共享

秘密共享是指将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。秘密共享的概念最早由著名密码学家Shamir【1】和Blakley【2】于1979年分别基于拉格朗日插值法、多维空间点的性质给出了各自的方案。他们的方案由两个算法组成，秘密份额的分配算法和秘密的恢复算法。秘密份额的分配算法是将秘密分为若干子份，并将每个子份发送给不同参与者。秘密的恢复算法是指当参与者收集到足够多的子份后，可以调用该算法恢复出原始秘密。

Shamir和Blakley的方案都是基于参与者诚实的假设下进行设计的，这种假设在现实生活中无法得到满足。Chor等人于1985年提出了可验证秘密分享的概念【3】，用以解决分发者欺骗问题。可验证秘密分享在秘密分享的基础上增加了一个验证算法，即参与秘密共享的成员可以通过公开变量验证自己所拥有的子秘密的正确性。可验证秘密分享通过其验证算法是否需要参与者之间的交互分为两类：交互式的和非交互式的。交互式的可验证秘密共享方案包括【4-6】等，非交互式的可验证秘密共享方案包括【7-9】等。在可验证秘密共享中只有参与者自己可以验证自己收到的秘密份额是否正确，这使得可验证秘密共享的应用在一定程度上受到限制。因此公开可验证的秘密共享方案被提出\cite{ref14}，即任何人都可以验证份额的正确性。随后，Schoenmakers【11】提出了一个构造简单、安全性和效率较高的公开可验证的秘密共享方案，该方案的安全性依赖于离散对数问题和Diffie-Hellman问题。

首先介绍经典的秘密共享方案-Shamir门限秘密共享，假设需要分享的秘密为 $s$ ，参与者的个数为 $n$ ，当参与者收集到至少 $k$ 个子份额后可恢复秘密，过程如下：

秘密份额的分配算法：秘密的拥有者随机选择一个经过点 $(0,s)$ 的 $k-1$ 次多项式 $f(x)$ ，其中 $f(x)=s+a_{1}x+\cdots+a_{k}x^{k-1}$ 。然后，计算每个参与者 $i\in\{1,\dots, n\}$ 的秘密份额 $(i,s_{i})$ ，其中 $s_{i}=f(i)=s+a_{1}i+\cdots+a_{k}i^{k-1}$ 。最后，将计算的秘密份额发送给各个参与者。
秘密的恢复算法：当参与者收集到 $k$ 个秘密份额 $(x_{1},y_{1}),\dots,(x_{k},y_{k})$ 后，使用插值公式计算 $f(x)=\sum_{i=1}^{k}y_{i}\prod_{j=1,j\neq i}^{k}\frac{x-x_{j}}{x_{i}-x_{j}}$ ，计算秘密 $s=f(0)=\sum_{i=1}^{k}y_{i}\prod_{j=1,j\neq i}^{k}\frac{x_{j}}{x_{j}-x_{i}}$ 。

接下来介绍Schoenmakers提出的公开可验证的秘密共享方案，该秘密分享方案使用了一个非交互式证明方案 $DLEQ(g_{1},h_{1},g_{2},h_{2})$ ，用来证明如下论据：证明者在不公开 $a$ 的前提下，证明 $h_{1}=g_{1}^{a}$ 和 $h_{2}=g_{2}^{a}$ 是使用同一个值 $a$ 生成的，即 $\log_{g_{1}}h_{1}=\log_{g_{2}}h_{2}$ 。

生成证据算法：证明者随机选取 $w\in Z_{q}$ ，计算 $a_{1}=g_{1}^{w}$ 和 $a_{2}=g_{2}^{w}$ 。然后计算 $c=H(h_{1},h_{2},a_{1},a_{2})$ ， $r=w-ac \; mod\; q$ ，证据 $\pi =(g_{1},h_{1},g_{2},h_{2},c,r)$ 。
验证证据算法：验证者在收到 $\pi =(g_{1},h_{1},g_{2},h_{2},c,r)$ 后，计算 $a_{1}=g_{1}^{r}h_{1}^{c}$ 和 $a_{2}=g_{2}^{r}h_{2}^{c}$ ，计算 $c^{'}=H(h_{1},h_{2},a_{1},a_{2})$ ，如果 $c^{'}==c$ ，则验证通过，即相信证明者的论据。

假设 $G_{q}$ 表示为一个阶为 $q$ 的群，其中 $q$ 为大素数。选取 $g$ ， $G$ 为相互独立的生成元，即没人知道如何由 $g$ 生成 $G$ 。参与者的个数为 $n$ ，参与者 $i$ 的私钥为 $x_{i}\in Z_{q}$ ，对应的公钥为 $y_{i}=G^{x_{i}}$ 。秘密的拥有者选取 $s\in Z_{q}$ ，计算秘密 $S=G^{s}$ 。Schoenmakers公开可验证的秘密共享方案如下：

秘密份额的分配算法：秘密的拥有者随机选择一个经过点 $(0,s)$ 的 $k-1$ 次多项式 $f(x)$ ，其中 $f(x)=b_{0}+b_{1}x+\cdots+b_{k}x^{k-1}$ ， $b_{0}=s$ 。然后，计算每个参与者 $i\in\{1,\dots, n\}$ 的秘密份额 $(i,y_{i}^{s_{i}})$ 和 $X_{i}=g^{s_{i}}$ ，其中 $s_{i}=f(i)=b_{0}+b_{1}i+\cdots+b_{k}i^{k-1}$ 。令 $Y_{i}=y_{i}^{s_{i}}$ ，为每一对 $X_{i}$ 和 $Y_{i}$ ，调用 $DLEQ$ 算法，生成公开可验证的证据 $\pi_{i}=(g,nil,G,Y_{i},c_{i},r_{i})$ 。并且发布公开的承诺 ${\{C_{j}|C_{j}=g^{b_{j}},j=0,\dots,k\}}$ 。
秘密份额的验证算法：任何人都可以通过 $\pi_{i}$ 对碎片 $(i,y_{i}^{s_{i}})$ 进行合法性验证，验证者计算 $X_{i}=\prod_{j=0}^{k}C_{j}^{i^{j}}$ ，其中 $C_{j}^{i^{j}}=g^{b_{j}i^{j}}$ 。将 $X_{i}$ 放入 $\pi_{i}$ ，此时 $\pi_{i}=(g,X_{i},G,Y_{i},c_{i},r_{i})$ ，对 $\pi_{i}$ 进行 $DLEQ$ 验证，若通过，则该碎片合法。
秘密份额的解密算法：参与者 $i$ 使用私钥 $x_{i}$ 对秘密份额 $(i,Y_{i})$ 进行解密，计算 $S_{i}=G^{f(i)}=Y_{i}^{\frac{1}{x_{i}}}$ ，并且为了证明 $S_{i}$ 确实是由 $Y_{i}$ 生成，即需要证明参与者知道私钥 $x_{i}$ ，并且 $y_{i}=G^{x_{i}}$ 和 $Y_{i}=S_{i}^{x_{i}}$ 使用了该私钥。因此调用 $DLEQ(G,y_{i},S_{i},Y_{i})$ ，生成证据 $\pi_{i}^{S}$ 。
秘密的恢复算法：当某个参与者收集到足够多的正确秘密份额 $S_{i}$ （正确秘密份额的判断是对证据 $\pi_{i}^{S}$ 进行验证），该参与者通过如下计算恢复出秘密值 $G^{s}=\prod_{i=1}^{k}S_{i}^{\lambda _{i}}=\prod_{i=1}^{k}(G^{f(i)})^{\lambda _{i}}=G^{\sum_{i=1}^{k}f(i)\lambda _{i}}=G^{f(0)}$ ，其中 $\lambda _{i}=\prod_{j=1,j\neq i}^{k}\frac{j}{j-i}$ 。

参考文献：

【1】Shamir A. How to share a secret[J]. Communications of the ACM, 1979, 22(11): 612-613.

【2】Blakley G R. Safeguarding cryptographic keys[C]//1979 International Workshop on Managing Requirements Knowledge (MARK). IEEE, 1979: 313-318.

【3】Chor B, Goldwasser S, Micali S, et al. Verifiable secret sharing and achieving simultaneity in the presence of faults[C]//26th Annual Symposium on Foundations of Computer Science (sfcs 1985). IEEE, 1985: 383-395.

【4】Ben-Or M, Goldwasser S, Wigderson A. Completeness theorems for non-cryptographic fault-tolerant distributed computation[M]//Providing Sound Foundations for Cryptography: On the Work of Shafi Goldwasser and Silvio Micali. 2019: 351-371.

【5】Chaum D, Crépeau C, Damgard I. Multiparty unconditionally secure protocols[C]//Proceedings of the twentieth annual ACM symposium on Theory of computing. 1988: 11-19.

【6】Rabin T, Ben-Or M. Verifiable secret sharing and multiparty protocols with honest majority[C]//Proceedings of the twenty-first annual ACM symposium on Theory of computing. 1989: 73-85.

【7】Feldman P. A practical scheme for non-interactive verifiable secret sharing[C]//28th Annual Symposium on Foundations of Computer Science (sfcs 1987). IEEE, 1987: 427-438.

【8】Pedersen T P. Non-interactive and information-theoretic secure verifiable secret sharing[C]//Annual international cryptology conference. Springer, Berlin, Heidelberg, 1991: 129-140.

【9】Gennaro R, Rabin M O, Rabin T. Simplified VSS and fast-track multiparty computations with applications to threshold cryptography[C]//Proceedings of the seventeenth annual ACM symposium on Principles of distributed computing. 1998: 101-111.

【10】Stadler M. Publicly verifiable secret sharing[C]//International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 1996: 190-199.

【11】Schoenmakers B. A simple publicly verifiable secret sharing scheme and its application to electronic voting[C]//Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 1999: 148-164.

深入学习区块链的隐私保护（四）秘密共享相关推荐

【转】区块链的隐私保护方案介绍
区块链的账本是具有分布式的特点,需要多个节点参与账本的存储与验证,而这容易导致人们对账本隐私的担忧.尤其是金融行业对隐私保护会更加注重.隐私问题成为区块链应用落地的主要障碍之一.本文将介绍现有区块链应 ...
企业收集客户数据属违规？区块链的隐私保护计算可以防止
在 19 世纪,美国工业界的巨头们通过利用他们对石油和钢铁等有形资源的控制而声名鹊起.今天,企业巨头试图通过收集消费者数据来获得更高的财富.但是现在,与那时一样,积累此类资源的好处伴随着重大的商业风险 ...
基于区块链的隐私保护数据共享
摘要: 区块链是近年来出现了一项分布式共识技术,基于区块链共识协议结合智能合约技术可实现去中心化的数据共享.隐私保护是数据共享中的关键特性,原生区块链没有解决隐私保护问题.利用数字摘要匹配算法提出了 ...
区块链真的能保护隐私吗？
思考这一年,我看过不少媒体的报道,基本言必谈区块链能力之一 --隐私保护.作为区块链从业者,我一方面很好奇那些文字背后的严肃技术:一方面也很怀疑区块链在隐私保护方向的具体价值.我们当然知道隐私保护很 ...
【论文】联邦学习区块链论文集（一）
1.\color{#FF0000} 1.1. Blockchained On-Device Federated Learning 关键词:联邦学习.区块链.延迟分析主要贡献: 1)用区块链网络来代替 ...
区块链交易隐私如何保证？华为零知识证明技术实战解析
摘要:本文通过介绍华为如何在同态加密及零知识证明框架的集成介绍来介绍了一些对金融领域交易隐私保护的思路,通过代码结和应用场景描述了zksnark如何集成到现有联盟链体系保护交易隐私. 本文分享自华为云 ...
隐私保护和数据安全：区块链的隐私问题、零钞：基于zkSNARK的完美混币池、Hawk：保护合约数据私密性、Coco框架、Baby Zoe
第十章文章目录第十章一.区块链的隐私问题 1.化名和匿名 2.去匿名攻击:交易表分析二.零钞:基于zkSNARK的完美混币池 1.零知识证明 2.零钞的运行原理三.Hawk:保护合约数据私密 ...
区块链的隐私怎样保护？
近年来,随着整个数字现金市场的快速发展,区块链技术已经为公众所熟知,并寄予厚望.它被认为是下一代互联网的核心技术之一.区块链的技术属性也有望在限制隐私侵犯方面"发挥作用".区块链通 ...
2021北京大学暑期课程：区块链与隐私计算
2021年度北京大学应用数学专题讲习班,课程之一:Blockchain, Privacy-Preserving Computation, Theory and Algorithm(区块链与隐私计算的理 ...
三万文字透视前瞻：区块链及隐私计算在传统企业中的技术认知与进阶思考
作者 :招商局集团数字化中心山金孝声明:文章仅代表作者个人观点,与任何组织或公司无关前言区块链是一种分布式网络数据管理技术,其利用密码学和分布式共识协议保证网络传输与访问安全,并实现数据多 ...

深入学习区块链的隐私保护（四）秘密共享

深入学习区块链的隐私保护（四）秘密共享相关推荐

最新文章

热门文章