Schoenmakers的PVSS方案:

已于 2023-12-07 18:19:28 修改
阅读量121 收藏 1
点赞数 1
分类专栏: 密码学 文章标签: 密码学
于 2023-12-07 18:11:31 首次发布
原文链接:https://www.cnblogs.com/isakovsky/p/17728451.html
版权

目录

初始化:

参与者:

分发者:

秘密分发:

公开可验证:

验证任意一个加密的秘密碎片的有效性:

参与者还原秘密碎片:

秘密重构:

参与者

其他人

秘密重构:

引用链接:密码协议学习笔记(8.1):秘密分享 秘密分享的背景与概念

注意,该方案分发的秘密只能是循环群(如椭圆曲线)上的随机元素

初始化:

设参与者数量为h,门限值为t,

设p为大素数,G为p阶循环群,在其上计算离散对数问题是困难的,因此,对于随机选择的两个生成元g,ℎ,任何人都难以计算离散对数log_{g}h

选定哈希函数H:{\{0,1\}}^{*}\rightarrow [0,p-1]

参与者

P_{i}选择x_{i}\epsilon [0,p-1],要求gcd(x_{i},\phi (p))=1,计算z_{i}=x_{i}^{-1}\:mod\:\phi (p).

将(x_{i},z_{i})作为P_{i}自己的私钥。将y_{i}=h^{x_{i}}作为公钥广播出去。

分发者:

分发者Deliver选取随机数s\epsilon [0,p-1],计算S=h^{s},作为要分发的秘密

秘密分发:

分发者Deliver执行如下操作以构造,并以加密的秘密碎片的形式分发秘密碎片:

1.选取函数

p(x)=\sum_{i=0}^{t-1}\alpha _{i}x^{i}

其中\alpha _{0}=s

2.将x=1,x=2,...,x=n分别代入,计算得p(1),p(2),...,p(n)

3.对所有i\epsilon [1,n],计算

s_{i}=h^{p(i)}

4.对所有i\epsilon [1,n],使用参与者的公钥y_{i}\:\:,计算并公开加密的秘密碎片Y_{i},其中

Y_{i}=y_{i}^{p(i)}

公开可验证:

为了达到加密的秘密碎片的公开可验证,Deliver需要进行以下操作:

1.对所有i\epsilon [0,t-1],计算并公开多项式p(x)的每个系数\alpha _{i}分别对应的公共承诺C_{i},其中

C_{j}=g^{\alpha _{j}}

2.对所有i\epsilon [1,n],通过公共承诺计算出对每个成员P_{i}私人承诺X_{i}。其中

X_{i}=\prod_{j=0}^{t-1}(C_{j})^{i^{j}}

       =\prod_{j=0}^{t-1}(g^{\alpha _{j}})^{i^{j}}

   =g^{\sum_{j=0}^{t-1}\alpha _{j}\cdot i^{j}}

=g^{p(i)}       

但私人承诺可以不必直接公开,实际上,公共承诺与私人承诺是等价的,因为任何人都可以通过公开的公共承诺,计算对某个成员的私人承诺.

3.对所有i\epsilon [1,n],选取随机数w_{i} \epsilon [0,p-1]

4.对所有i\epsilon [1,n],计算

a_{i}=g^{w_{i}}

5.对所有i\epsilon [1,n],计算

b_{i}=y_{i}^{w_{i}}

6.计算公共质询值

c=H(X_{1},X_{2},...\:,X_{n},Y_{1},Y_{2},...\:,Y_{n},a_{1},a_{2},...\:,a_{n},b_{1},b_{2},...\:,b_{n})

7.对所有i\epsilon [1,n],计算对成员P_{i}应答

r_{i}=w_{i}-p(i)c

8.PROOF_{D}=(c,r_{1},r_{2},...,r_{n})作为知识证据公开

验证任意一个加密的秘密碎片Y_{i}的有效性:

1.使用公共承诺自行计算出所有的私人承诺

X_{i}=\prod_{j=0}^{t-1}(C_{j})^{i^{j}}=g^{p(i)}

2.观察X_{i}=g^{p(i)},Y_{i}=y_{i}^{p(i)},因为的X_{i},Y_{i}底数g,y_{i}均是已知的,只需要比较它们的指数是否相同,但由于离散对数问题的难解性,进行这样的比较需要借助知识证据PROOF_{D},并且绕几个弯:

        1.计算所有的

a_{i}^{'}=g^{r_{i}}(X_{i}^{'})^{c}

 =g^{r_{i}}X_{i}^{c}

                   =g^{w_{i}-p(i)c}(g^{p(i)})^{c}

=g^{w_{i}}   

=a_{i}     

        2.然后计算

c^{'}=H(X_{1}^{'},X_{2}^{'},...\:,X_{n}^{'},Y_{1},Y_{2},...\:,Y_{n},a_{1}^{'},a_{2}^{'},...\:,a_{n}^{'},b_{1}^{'},b_{2}^{'},...\:,b_{n}^{'})

        若c^{'}=c,则接受deliver所有输出为有效。

        不考虑哈希碰撞,显然c^{'}=c当且仅当Deliver正确运行了协议.

参与者还原秘密碎片s_{i}:

收到加密的秘密碎片后,P_{i}分别需要使用自己的私钥z_{i}计算

s_{i}=Y_{i}^{z_{i}}

以还原秘密碎片,实际上

s_{i}=Y_{i}^{z_{i}}

            =(y_{i}^{p(i)})^{z_i}

                  =((h^{x_{i}})^{p(i)})^{z_{i}}

                   =h^{p(i)}\:\:mod\:p

秘密重构:

碎片有效性检查(零知识证明):

参与者

每个参与者P_{i}除了向其他的参与者提交自己的秘密碎片s_{i}以外,还需要公布一个知识证据PROOF_{P_{i}},在不透露x_{i}的前提下证明

y_{i}=h^{x_{i}},Y_{i}=s_{i}^{x_{i}}

的指数均是x_{i}.

为此,P_{i}进行如下操作:

  1. 选取一个随机数w_{p_{i}}\epsilon\: [0,p-1],
  2. 计算a_{p_{i}}=h^{w_{​{}_{p_{i}}}},\:b_{p_{i}}=s_{i}^{w_{​{}_{p_{i}}}}
  3. 计算c_{p_{i}}=H(y_{i},Y_{i},a_{P_{i}},b_{p_{i}})
  4. 计算r_{p_{i}}=w_{p_{i}}-x_{i}c
  5. 知识证据PROOF_{P_{i}}=(c_{p_{i}},r_{p_{i}})和秘密碎片s_{i}一同发送给其他参与秘密重构的成员
其他人

其他人收到后,按如下的方式进行验证:

        1.计算

a'_{p_{i}}=h^{r_{p_{i}}}y_{i}^{c_{p_{i}}}=h^{w_{p_{i}}-x_{i}c_{p_{i}}}(h^{x_{i}})^{c_{p_{i}}}=h^{w_{p_{i}}}

b'_{p_{i}}=s_{i}^{r_{p_{i}}}Y_{i}^{c_{p_{i}}}=s_{i}^{w_{p_{i}}-x_{i}c_{p_{i}}}(s_{i}^{x_{i}})^{c_{p_{i}}}=s_{i}^{w_{p_{i}}}

        2.计算

c'_{p_{i}}=H(y_{i},Y_{i},a'_{P_{i}},b'_{p_{i}})

        3.判断c'_{p_{i}}=c_{p_{i}}是否成立,若成立则接受,若不成立,则说明成员P_{i}试图拿着虚假的秘密碎片白嫖别人的秘密碎片,中止此次重构.

秘密重构:

在验证t份秘密碎片s_{i}均有效后,使用以下类似Lagrange插值的方法还原秘密:

\prod_{i=1}^{t}s_{i}^{\lambda _{i}}

其中\lambda _{i}=\prod _{0\leq j\leq t-1,j\neq i}(\frac{j}{j-i})

\prod_{i=1}^{t}s_{i}^{\lambda _{i}}=\prod_{i=1}^{t}(h^{p(i)})^{\lambda _{i}}=h^{\sum_{i=1}^{t}p(i)\cdot \lambda _{i}}

观察指数部分,实际上就是Lagrange插值公式在 x = 0 时的值,因此

\prod_{i=1}^{t}s_{i}^{\lambda _{i}}=h^{p(0)}=h^{s}

至此,重构出了秘密h^{s}

2301_76956210
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用双线性配对的可公开验证的秘密共享方案
02-23
基于椭圆曲线上的双线性对,构造了一种非交互式,简单且有效的公开可验证秘密共享(PVSS),这具有Schoenmakers的PVSS的所有优点[15]。 此外,在计划的股份分配阶段,仅使用双线性配对的双线性,任何人都可以验证参与者是否在不实施交互式或非交互式协议且没有构造所谓的使用Fiat-Shamir技术的股份见证的情况下收到了正确的股份。 随后,在方案的秘密阶段重建中,任何人都可以使用相同的方法来验证释放的份额。 由于PVSS不需要实现非交互式协议并构造见证以防止恶意播放器,因此可以减少通信的开销。 最后,PVSS是没有经销商(或没有受信任的中心)的案件的扩展。 提出了分布式公共可验证秘密共享(DPVSS),这也减少了通信开销。 分析表明,这些方案比其他方案更安全,更有效,并且在特殊情况下可能更适用。
西门子PVSS
02-05
西门子WINCC OA 上组态ONVIF 摄像头,实现视频嵌入,和视频联动。
西门子WinCC的OA PVSS简介.pdf
10-25
西门子WinCC的OA PVSS简介pdf,西门子WinCC的OA PVSS简介:配方管理中可以设置参数集和设定值列表。在配方管理中,可使用任何类型,任何数 量的配方,具有访问控制,还可以根据实时过程数据创建配方。用户界面简单易用,可以使用 CSV 格式导入/ 导出配方。
WINCC OA中文手册
03-16
WINCC OA 及PVSS V3.9 中文手册.非常给力文档 WINCC OA中文手册
西门子SCADA系统PVSS / SIMATIC WinCC.pdf
09-13
西门子SCADA系统PVSS / SIMATIC WinCCpdf,西门子SCADA系统PVSS / SIMATIC WinCC开放架构:作为 SIMATIC HMI 产品系列的一员,西门子 SCADA 系统 PVSS / SIMATIC WinCC Open Architecture (WinCC OA) 专注于在客户定制化方面有着高要求、大型和复杂应用中,以及具有特定的系统要求和功能要求的项目中。
PVSS与S7的连接的组态步骤
01-07
适合于西门子工控学习者,学习西门子S7-300和S7-400的,pvss、SCADA
full_coverage_path_planner:全面覆盖路径规划提供了一个move_base_flex插件,该插件可以规划将完全覆盖给定区域的路径
03-21
作者:Yury Brodskiy,Ferry Schoenmakers,Tim Clephas,Jerrel Unkel,Loy van Beek,Cesar lopez 维护者:塞萨尔·洛佩兹(Cesar Lopez), 隶属:Nobleo Projects BV,荷兰埃因霍温 Full Coverage Path Planner...
PVSS Oracle 数据库归档的组态步骤.pdf
06-06
WINCC OA AND PVSS Oracle 数据库归档的组态步骤说明文档
PVSS-Oracle-数据库归档的组态步骤
03-16
PVSS-Oracle-数据库归档的组态步骤
PVSS视频监控
06-06
PVSS视频监控组态测试
初识西门子Wincc OA——超大型/分布式SCADA
智能制造之家
06-09 4495
写在前面 前面有一篇文章已经介绍了西门子的Wincc(一文带你了解西门子Wincc),对于不熟悉的小伙伴,可以区分出TIA Portal Wincc, Wincc Classic,还有Wincc OA的不同,对于大多数小伙伴来说,也许接触更多的是前面两者,关于WinccOA ,接触的比较少,今天我们就来讲一讲Wincc OA 本文为了照顾不熟悉的小伙伴,还是放图吧,由下图可以看出,三者在产品定位和应用领域存在明显差别(估计在那篇文章中很多人没仔细看),具体小编就不详述了,小编今天主要讲下Wincc OA~
verifiable secret sharing可验证的秘密共享
mutourend的博客
09-23 6520
参考资料: [1] 1991年论文《non-interactive and information-theoretic secure verifiable secret sharing》 [2] 1979年论文《How to share a secret》 [3] 1997年论文《A Practical Scheme for Non-interactive Verifiable Secret Sh...
密码学基础:搞懂Hash函数SHA1、SHA-2、SHA3(1)
认真搞搞汽车MCU
08-05 1068
Hash函数是一种单向密码体制,把任意长度的输入经过变换得到一个固定长度的输出,同时它还具备单向性,只能从明文到密文,不能逆向,正是由于Hash函数的单向性和输出长度固定的特性,使得其广泛应用在数据完整性验证和数字签名等领域。常见Hash函数基本采用迭代结构,接收输入消息M,将其拆分为n个固定长度分组,如果最后一个数据块不满足要求,则需进行填充;该算法重复使用压缩函数f,进行计算得到最终输出,如下图所示:图 1 Hash函数过程。
英语写作中“严格的”“启发式的”rigorous、heuristic的用法
michel_2010的博客
08-08 151
In modern cryptography, security analysis is heuristic, while formal security proof is rigorous.(在现代密码学中,安全性分析是启发式的,而形式化安全性证明是严格的。英语科技论文写作中,与“严格”rigorous 对应的是“启发式的”heuristic,例如rigorous/heuristic analysis (proof )(严格的/启发式的)分析(证明)。
密码学知识点02
最新发布
2302_77186925的博客
08-11 486
密码学知识点02.对称加密
密码学基础 -- RSA加密、签名填充模式解析(终极图解版)
认真搞搞汽车MCU
08-06 1099
填充模式OAEP(Optimal Asymmetric Encryption Padding),仅用于加解密。
密码学】网络攻击类型:拒绝服务DoS攻击和中间人MITM攻击
qq_39780701的博客
08-07 1072
网络攻击类型非常多,本文先介绍两个常见的攻击:DoS和MITM。我试着从攻击的定义、攻击原理和举例说明等多角度来将他们讲清楚。
密码学知识点01
2302_77186925的博客
08-11 433
密码学知识点01.密码学概述
solidity 数学和密码学函数
suannai11的博客
08-07 268
计算 (x + y) % k,加法会在任意精度下执行,并且加法的结果即使超过 2**256 也不会被截取。计算 (x * y) % k,乘法会在任意精度下执行,并且乘法的结果即使超过 2**256 也不会被截取。从 0.5.0 版本的编译器开始会加入对 k!= 0 的校验(assert)。从 0.5.0 版本的编译器开始会加入对 k!= 0 的校验(assert)。计算输入的 Keccak-256 哈希值。计算输入的 RIPEMD-160 哈希值。
信息安全协议:保障在线礼物交换的加密技术
在本资料中,LectureNotes《CryptographicProtocols》(第1.32版,发布于2018年2月6日)由Berry Schoenmakers教授编写,旨在介绍在春季学期进行教学时使用的加密技术方法论,特别是针对那些对密码学原理感兴趣的学生...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值