一.加法同态
Shamir 秘密共享天然具有加法同态性质,即对于多个(t,n)Shamir 秘密共享生成的秘密份额相加是对应秘密值和的秘密份额,并且此过程中的门限值始终为t(d个t-1次多项式相加其结果依然是t-1次),因此t个对应秘密值和的秘密份额可以恢复对应秘密值。
MPC协议之BGW算法中的加法运算巧妙利用了此加法同态性质实现了秘密值和的安全多方计算。
初始化阶段
d个秘密分发者分别选取t-1多项式,分别为n个参与者进行秘密份额分发:
F ( x ) j = s j + F 1 j j x + . . . + F ( t − 1 ) j x t − 1 , j = 1 , . . d F(x)_j = s_j + F_{1j}jx + ... + F_{(t-1)j}x^{t-1},j=1,..d F(x)j=sj+F1jjx+...+F(t−1)jxt−1,j=1,..d
份额分发阶段
d个秘密分发者分别为n个参与者进行秘密份额分发
设参与者Pi从d个秘密分发者收到的d个秘密份额为 ( i , F ( i ) j ) , j = 1 , . . d (i, F(i)_j),j=1,..d (i,F(i)j),j=1,..d
秘密重构阶段
s 1 + s 2 + , . . . , + s d = ∑ i = 1 t + 1 ( F ( i ) 1 + F ( i ) 2 + , . . . , + F ( i ) d ) ∏ j = 1 , j ! = i t + 1 − i i − j s_1+s_2+,...,+s_d = \sum_{i=1}^{t+1}{(F(i)_1+F(i)_2+,...,+F(i)_d)\prod_{j=1,j!=i}^{t+1}{\frac{-i}{i-j}}} s1+s2+,...,+sd=i=1∑t+1(F(i)1+F(i)2+,...,+F(i)d)j=1,j!=i∏t+1i−j−i
二.乘法同态
Shamir 秘密共享具有受限的乘法同态性质,其受限来自于d个t-1次多项式相乘其结果是d(t-1)次多项式,根据拉格朗日插值定理需要d(t-1)+1个秘密份额才能恢复,如果d(t-1)+1> n (n为参与者数量),显然n个人全部参与都无法恢复。所以必须要满足d(t-1) + 1 <= n Shamir 秘密共享才具有乘法同态性质
…
…