Veřejně ověřitelné sdílení tajemství - Publicly Verifiable Secret Sharing

v kryptografie, a tajné sdílení schéma je veřejně ověřitelné (PVSS), pokud se jedná o a ověřitelné sdílení tajemství Pokud některá strana (nejen účastníci protokolu) může ověřit platnost akcií distribuovaných prodejcem.

Při ověřitelném sdílení tajemství (VSS) je cílem odolat škodlivým hráčům, jako je
i) prodejce zasílající nesprávné akcie některým nebo všem účastníkům a
ii) účastníci předkládající nesprávné akcie během rekonstrukčního protokolu, srov. [CGMA85].
Ve veřejně ověřitelném sdílení tajných informací (PVSS), které zavedl Stadler [Sta96], je výslovným cílem, aby nejen účastníci mohli ověřit původní akcie, ale aby kdokoli mohl ověřit, zda účastníci obdrželi správné akcie. Proto je výslovně požadováno že (i) lze veřejně ověřit.
— Berry Schoenmakers. Jednoduchý veřejně ověřitelný systém sdílení tajemství a jeho aplikace na elektronické hlasování.

Zde zavedená metoda podle příspěvku od Chunming Tang, Dingyi Pei, Zhuo Liu a Yong He je neinteraktivní a udržuje tuto vlastnost v celém protokolu.

Inicializace

Schéma PVSS určuje proces inicializace, ve kterém:

Jsou generovány všechny parametry systému.
Každý účastník musí mít zaregistrovaný veřejný klíč.

Kromě procesu inicializace se PVSS skládá ze dvou fází:

Rozdělení

1. Rozdělení tajemství ${displaystyle s}$ akcie provádí prodejce ${displaystyle D}$ , který dělá následující:

Obchodník vytváří ${displaystyle s_ {1}, s_ {2} ... s_ {n}}$ pro každého účastníka ${displaystyle P_ {1}, P_ {2} ... P_ {n}}$ resp.
Dealer publikuje šifrovaný podíl ${displaystyle E_ {i} (s_ {i})}$ pro každého ${displaystyle P_ {i}}$ .
Dealer také zveřejní řetězec ${displaystyle mathrm {proof} _ {D}}$ ukázat, že každý ${displaystyle E_ {i}}$ šifruje ${displaystyle s_ {i}}$

(Poznámka: ${displaystyle mathrm {proof} _ {D}}$ zaručuje, že výsledkem bude protokol rekonstrukce ${displaystyle s}$ .

2. Ověření akcií:

Každý, kdo zná veřejné klíče pro metody šifrování ${displaystyle E_ {i}}$ , může ověřit akcie.
Pokud jedno nebo více ověření selže, prodejce selže a protokol je přerušen.

Rekonstrukce

1. Dešifrování akcií:

Účastníci ${displaystyle P_ {i}}$ dešifruje svůj podíl na tajemství ${displaystyle s_ {i}}$ použitím ${displaystyle E_ {i} (s_ {i})}$ .

(poznámka: zde lze povolit odolnost proti chybám: není nutné, aby všichni účastníci uspěli v dešifrování ${displaystyle E_ {i} (s_ {i})}$ pokud je kvalifikovaná skupina účastníků úspěšně dešifrovatelná ${displaystyle s_ {i}}$ ).

Uvolnění účastníka ${displaystyle s_ {i}}$ plus řetězec ${displaystyle mathrm {proof} _ {P_ {i}}}$ to ukazuje, že uvolněná sdílená položka je správná.

2. Sdružování akcií:

Pomocí řetězců ${displaystyle mathrm {proof} _ {P_ {i}}}$ vyloučit účastníky, kteří jsou nepoctiví nebo se jim nepodařilo dešifrovat ${displaystyle E_ {i} (s_ {i})}$ .
Rekonstrukce ${displaystyle s}$ lze provést z akcií jakékoli kvalifikované skupiny účastníků.

Chaum-Pedersenův protokol

Navrhovaný protokol prokazující: ${displaystyle log _ {_ {g1}} h_ {1} = log _ {_ {g2}} h_ {2}}$ :

Prover si vybere náhodně ${displaystyle rin {oldsymbol {mathrm {Z}}} _ {q ^ {*}}}$
Ověřovatel odešle náhodnou výzvu ${displaystyle cin _ {R} {oldsymbol {mathrm {Z}}} _ {q}}$
Prover reaguje s ${displaystyle s = r-cx (mathrm {mod}, q)}$
Ověřovatel zkontroluje ${displaystyle alpha _ {1} = g_ {1} ^ {s} h_ {1} ^ {c}}$ a ${displaystyle alpha _ {2} = g_ {2} ^ {s} h_ {2} ^ {c}}$

Označte tento protokol jako: ${displaystyle mathrm {dleq} (g_ {1}, h_ {1}, g_ {2}, h_ {2})}$
Zobecnění ${displaystyle mathrm {dleq} (g_ {1}, h_ {1}, g_ {2}, h_ {2})}$ je označen jako: ${displaystyle {ext {dleq}} (X, Y, g_ {1}, h_ {1}, g_ {2}, h_ {2})}$ zatímco: ${displaystyle X = g_ {1} ^ {x_ {1}} g_ {2} ^ {x_ {2}}}$ a ${displaystyle Y = h_ {1} ^ {x_ {1}} h_ {2} ^ {x_ {2}}}$ :

Prover si vybere náhodně ${displaystyle r_ {1}, r_ {2} v Z_ {q} ^ {*}}$ a pošle ${displaystyle t_ {1} = g_ {1} ^ {r_ {1}} g_ {2} ^ {r_ {2}}}$ a ${displaystyle t_ {2} = h_ {1} ^ {r_ {1}} h_ {2} ^ {r_ {2}}}$
Ověřovatel odešle náhodnou výzvu ${displaystyle cin _ {R} {oldsymbol {mathrm {Z}}} _ {q}}$ .
Prover reaguje s ${displaystyle s_ {1} = r_ {1} -cx_ {1} (mathrm {mod}, q)}$ , ${displaystyle s_ {2} = r_ {2} -cx_ {2} (mathrm {mod}, q)}$ .
Ověřovatel zkontroluje ${displaystyle t_ {1} = X ^ {c} g_ {1} ^ {s_ {1}} g_ {2} ^ {s_ {2}}}$ a ${displaystyle t_ {2} = Y ^ {c} h_ {1} ^ {s_ {1}} h_ {2} ^ {s_ {2}}}$

Protokol Chaum-Pedersen je interaktivní metoda a je třeba ji upravit neinteraktivním způsobem: Nahrazení náhodně vybraných ${displaystyle c}$ funkcí „bezpečného hash“ s ${displaystyle m}$ jako vstupní hodnota.

Viz také

Ověřitelné sdílení tajemství

Reference

Markus Stadler, Veřejně ověřitelné sdílení tajemství
Berry Schoenmakers, Jednoduchý veřejně ověřitelný systém sdílení tajemství a jeho aplikace na elektronické hlasování „Pokroky v kryptologii - CRYPTO, 1999, s. 148–164