Shamir秘密共享 与 ElGamal门限解密

Secret sharing scheme

定义

秘密共享方案是可有效计算的是算法组$(G,C)$，定义为

1. $G$：概率算法，形如$({\alpha }_1,\cdots ,{\alpha }_s){\leftarrow }_{R}G(s,t,\alpha )$，其中$0<t\le s$，$\alpha \in S$是秘密，输出的$SK:=\{{\alpha }_1,\cdots ,{\alpha }_s\}$是t-out-of-s sharing of $\alpha$。
2. $C$：确定性算法，形如$\alpha \leftarrow C({\alpha }_1,\cdots ,{\alpha }_t)$，这里的输入是任意的$t$个秘密共享值。

正确性：对于所有可能的$SK$，任意的 $\alpha \in S$，以及所有的大小为$t$的$SK$的子集，我们总是要求$C({\alpha }_1,\cdots ,{\alpha }_t)=\alpha$

安全性：对于子集$S\subseteq [s]$，简记$SK[S]$是由$S$索引的共享秘密子集。我们说秘密共享方案$(G,C)$是安全的，如果对于任意的$\alpha ,{\alpha }^{\prime }\in S$以及任意的$t-1$大小的$S\subseteq [s]$，$G(s,t,\alpha )[S]$的分布与$G(s,t,{\alpha }^{\prime })[S]$的分布不可区分。

Shamir’s secret sharing scheme

Shamir秘密共享方案是算法组$(G_{sh},C_{sh})$，定义为

1. $G_{sh}(s,t,\alpha )$：

   1. 选择$t-1$个随机数$a_1,\cdots ,a_{t-1}{\leftarrow }_R{Z}_q$，定义多项式

   $$f(x):=\alpha +\sum _{i=1}^{t-1}{a}_i\cdot x^i\in Z_q[x]$$

   2. 选择任意的$s$个非零点$x_1,\cdots ,x_s\in Z_q$，计算$y_i\leftarrow f(x_i)\in Z_q$
   3. 定义${\alpha }_i:=(x_i,y_i)\in Z_q^2$，输出$({\alpha }_1,\cdots ,{\alpha }_s)$

2. $C_{sh}({\alpha }_1,\cdots ,{\alpha }_t)$：

   1. 由于$\mathrm{deg}f=t-1$，根据Lagrange Interpolation，$t$个点就可以唯一确定$f(x)$，
      $$f(x):=\sum _{i=1}^t\left(y_i\prod _{j=1,j\ne i}^t(x-x_j)(x_i-x_j{)}^{-1}\right)\in Z_q[x]$$

   2. 由于$\alpha =g(0)$，因此直接计算
      $$\begin{gathered} {\lambda }_i:=\prod _{j=1,j\ne i}^t-x_j(x_i-x_j{)}^{-1} \\ \alpha \leftarrow \sum _{i=1}^t{y}_i\cdot {\lambda }_i\in Z_q \end{gathered}$$
      这里的${\lambda }_i$叫做Lagrange coefficients

   3. 输出秘密值$\alpha$

容易看出，如果固定$x_1,\cdots ,x_s$，那么Shamir秘密共享拥有同态加法、同态标量乘法的性质。

安全性：Shamir秘密共享方案$(G_{sh},C_{sh})$是安全的。易证，在$\alpha ,x_1,\cdots ,x_s$固定的情况下，$(a_1,\cdots ,a_{t-1})$与任意的大小$t-1$的子集$(y_1^{\prime },\cdots ,y_{t-1}^{\prime })$之间是双射（假设$g^{\prime }(x)=\alpha +xg(x)$与$h^{\prime }(x)=\alpha +xh(x)$在这$t-1$个位置的像相同，那么这导致$g(x),h(x)$在这些位置的像相同，但它们的度数至多为$t-2$，这与$g^{\prime }\ne h^{\prime }$矛盾），从而均匀选取$(a_1,\cdots ,a_{t-1})$导致$(y_1^{\prime },\cdots ,y_{t-1}^{\prime })\in Z_q^{t-1}$的分布也是均匀随机的。

Threshold decryption

定义

公钥门限解密方案是可有效计算的算法组${\Sigma }_{th}=(G,E,D,C)$，定义为

1. $G$：概率的 t-out-of-s shared key 生成算法，形如$(pk,s{k}_1,\cdots ,s{k}_s){\leftarrow }_{R}G(s,t)$，输出公钥$pk$，输出共享私钥$SK=\{s{k}_1,\cdots ,s{k}_s\}$。
2. $E$：概率的公钥加密算法，形如$c{\leftarrow }_{R}E(pk,m;r)$
3. $D$​：确定性的解密算法，形如$c_i\leftarrow D(s{k}_i,c)$，这里的$c_i$叫做部分解密值（partial decryptions）
4. $C$：确定性的组合算法，形如$m\leftarrow C(c,c_1,\cdots ,c_t)$，这里的输入是任意的$t$个部分解密值。如果输入$t^{\prime }>t$个部分解密值，可以简单忽略多余的。

正确性：对于所有可能的$(pk,SK)$，任意的$m\in M$，以及所有的大小为$t$的$S$，我们总是要求$C(c,c_1,\cdots ,c_t)=m$

安全性：敌手$A$选取大小为$t-1$的子集$S\subseteq [s]$，将它发送给挑战者。挑战者执行$(pk,s{k}_1,\cdots ,s{k}_s){\leftarrow }_{R}G(s,t)$，发送$pk$和$\{s{k}_i{\}}_{i\in S}$给敌手。然后敌手可以做一系列询问，挑战者固定随机值$b\in \{0,1\}$，

1. Combiner query：敌手第$j$次询问$m_j\in M$，挑战者计算$c_j{\leftarrow }_{R}E(pk,m_j)$和$c_{ji}\leftarrow D(s{k}_i,c_j),\forall i=1,\cdots ,s$，然后将$c_j,c_{j1},\cdots ,c_{js}$回应给敌手。
2. Single encryption query：敌手发送$m_0,m_1\in M$，挑战者计算$c{\leftarrow }_{R}E(pk,m_b)$，将$c$回应给敌手。敌手只能询问一次。

最后敌手输出$b^{\ast }\in \{0,1\}$，令$W_b$代表挑战者选择$b$时敌手输出为$1$的事件，我们定义敌手的优势为
$$thSSadv[A,{\Sigma }_{th}]:=|Pr[W_0]-Pr[W_1]|$$
我们说公钥门限解密方案${\Sigma }_{th}$是语义安全的（semantically secure），如果对于任意的PPT敌手，其优势$thSSadv[A,{\Sigma }_{th}]$的值是可忽略的。

ElGamal threshold decryption

令$G$是素数$q$阶的循环群，$g\in G$是生成元。令$\Sigma =(E_s,D_s)$是定义在$K\times M\times C$上的对称加密方案。令$H:G^2\to K$是Hash函数。那么ElGamal加密方案是算法组${\Sigma }_{EG}=(Gen,Enc,Dec)$，定义如下：

1. $Gen()$：选取$\alpha {\leftarrow }_R{Z}_q$，计算$u\leftarrow g^{\alpha }$，输出私钥$sk:=\alpha$，输出公钥$pk:=u$
2. $Enc(pk,m)$：选取$\beta {\leftarrow }_R{Z}_q$，计算$v\leftarrow g^{\beta }$，并计算共享秘密$w\leftarrow u^{\beta }$和会话密钥$k\leftarrow H(v,w)$，调用对称加密算法$c\leftarrow E_s(k,m)$，输出密文$(v,c)$
3. $Dec(sk,(v,c))$：计算共享秘密$w\leftarrow v^{\alpha }$和会话密钥$k\leftarrow H(v,w)$，调用对称解密算法$m\leftarrow D_s(k,c)$，输出明文$m$

上述描述是对于初始版本的ElGamal方案的变体。在初始版本中，将$k\leftarrow H(v,w)$和$c\leftarrow E_s(k,m)$简化为$c\leftarrow m\cdot w$，将$k\leftarrow H(v,w)$和$m\leftarrow D_s(k,c)$简化为$m\leftarrow c\cdot w^{-1}$，不需要Hash函数来扩展密钥。

ElGamal门限解密方案是算法组${\Sigma }_{thEG}=(G,E,D,C)$，定义为

1. $G(s,t)$：生成$(\alpha ,u)\leftarrow Gen()$，计算$({\alpha }_1,\cdots ,{\alpha }_s){\leftarrow }_R{G}_{sh}(s,t,\alpha )$，输出$pk:=u,s{k}_i:={\alpha }_i$

2. $E(pk,m)$：简单调用$(v,c)\leftarrow Enc(pk,m)$，输出密文$(v,c)$

3. $D(s{k}_i,(v,c))$：令$s{k}_i=(x_i,y_i)$，计算$w_i\leftarrow v^{y_i}$，输出部分解密值$c_i:=(x_i,w_i)\in Z_q\times G$

4. $C((v,c),c_1,\cdots ,c_t)$：令$c_i=(x_i,w_i)$，先利用$x_1,\cdots ,x_t$计算出${\lambda }_1,\cdots ,{\lambda }_t$，然后计算
   $$w\leftarrow \prod _{i=1}^t{w}_i^{{\lambda }_i}\in G$$
   再计算会话密钥$k\leftarrow H(v,w)$，最后解密$m\leftarrow D_s(k,c)$，输出明文$m$

安全性：如果${\Sigma }_{EG}$是语义安全的，那么${\Sigma }_{thEG}$是门限解密语义安全的（threshold decryption semantically secure）。