对可验证秘密共享的简单介绍

一、秘密共享的实践

最近FATE开源社区分享了「基于FATE实现的可验证秘密共享算法」一文(后简称实现),介绍了光大科技在联邦学习技术实践过程中,针对跨机构数据统计这一场景,实践了可验证秘密共享(Verifiable Secret Sharing)的安全多方隐私求和方案,能够在数据不出本地的情况下,对多个机构的数据求和。

按照原文介绍可知,该场景是对Shamir秘密共享 和 可验证秘密共享的综合应用(整体方案参见原文)。

这里对文中涉及的可验证秘密共享做一个简单说明。

二、可验证秘密共享简介

可验证秘密共享(Verifiable Secret Share, VSS)的概念由 Benny Chor、Shafi Goldwasser、Silvio Micali 和 Baruch Awerbuch 于 1985 年首次提出:如果参与方可以使用辅助信息验证其他参与方秘密共享内容的一致性,那么该秘密共享方案就是可验证的。 可验证的秘密共享确保了即使某参与方是恶意的,也必须有一个明确定义的秘密(遵循协议设定),其他参与方稍后可以恢复秘密值。

注:经典的Shamir秘密共享方案中,假参与方是诚实的。

可验证的秘密共享对于安全多方计算来说还是很重要的。 我们知道,安全多方计算通常是通过对输入进行秘密共享并操作共享来计算某些函数完成的。 为了应对可能“捣乱”的参与方,可以对秘密共享的安全性进行增强,额外添加验证操作,防止(或及早发现)这些参与方的偏离协议行为。

下文对Feldman的可验证秘密共享方案进行简单说明。

三、Feldman的可验证秘密共享方案

Feldman VSS是一个常见的可验证秘密共享方案,由 Paul Feldman 提出(参见其论文:「A Practical Scheme for Non-interactive Verifiable Secret Sharing」);它在 Shamir 秘密共享之上结合了同态加密方案。

该方案中首先选取一个素数(q)阶的循环群 G 以及 G 的生成元 g, 这些会公开作为系统参数。 选择适合的循环群G以保证其上离散对数计算的困难性。 通常,可以选择(\mathbb{Z}_p)^*q 阶子群,其中 p,q是素数, 且q整除 p−1

然后处理方生成一个 t 次随机多项式 P,其系数在 Z_q 中选取,且 P(0)=s(即是秘密值)。 n个参与方中的每一个都将收到一个值 P(1), \dots, P(n) \bmod q。 任何 t+1 个秘密分享的持有者都可以使用多项式插值模 q 恢复秘密 s(但任何最多 t 个持有者们都不能恢复秘密值)。

以上基本是Shamir秘密共享方案。为了使这些共享可以验证,参与方需要分发P多项式系数模p作为承诺(commitment)。

比如,P(x)=s+a_1x+a_2x^2+\dots+a_tx^t,那么必须给出的承诺是:

  • c_0=g^s \bmod p
  • c_1=g^{a1}\bmod p
  • ...
  • c_t=g^{a_t}\bmod p

一旦给出这些,任何一方都可以验证他们的得到的秘密分享。 例如,为了验证 v = P(i) \bmod q,如:

g^{v}=c_{0}c_{1}^{i}c_{2}^{i^{2}}\cdots c_{t}^{i^{t}}=\prod _{j=0}^{t}c_{j}^{i^{j}}=\prod _{j=0}^{t}g^{a_{j}i^{j}}=g^{\sum _{j=0}^{t}a_{j}i^{j}}=g^{P(i)}

注意,方案中涉及两个素数,再稍作说明。

需要选择两个素数p,q,满足 q|p-1,他们分别应用在不同的计算上:

  • 使用随机多项式P(x)计算秘密共享的时候使用q,即v_i=P(i)\bmod q

  • 计算承诺的时候使用p,即c_i=g^{coef}\bmod p

四、示例

选择如下参数:

  • p=11,q=5
  • g=3
  • 秘密值为4;选取2阶随机多项式为P(x)=3x^2+2x+4,即s=4,a_1=2,a_2=3 \in \mathbb{Z}_q

则计算一个秘密共享为v_1=P(1)\bmod 5 = 9\bmod 5=4,对应的承诺为

  • c_0 = g^s \bmod p=3^4\bmod 11=4
  • c_1 = g^{a_1} \bmod p=3^2\bmod 11=9
  • c_0 = g^{a_2} \bmod p=3^3\bmod 11=5

可以验证

  • g^v = 3^4\equiv4(\bmod 11)
  • c_0c_1^1c_2^{1^2}=4\times9\times5=180\equiv4(\bmod11)

综上,VSS主要是对共享内容的一致性进行验证,保证其内容是遵循方案协议的;至于参与计算的内容是否真实有效,就不在验证范围内了。

五、其他

对于秘密分享,有很多方案;除了Shamir秘密共享,还有Additive Secret Share、SPDZ、基于中国剩余定理的方案等等。

对于VSS,常见的还有Benaloh方案。

后续再做跟进整理。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 157,612评论 4 361
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 66,814评论 1 290
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 107,427评论 0 239
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,743评论 0 203
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,104评论 3 286
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,455评论 1 214
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,764评论 2 311
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,454评论 0 196
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,159评论 1 239
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,446评论 2 244
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,953评论 1 258
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,294评论 2 252
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,927评论 3 235
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,028评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,784评论 0 193
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,485评论 2 270
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,395评论 2 264

推荐阅读更多精彩内容