[学习随记] Linear Secret Sharing Scheme(LSSS)

写在前面

Share Conversion Pseudorandom Secret-Sharing and Applications to Secure Computation 有点读不下去了，所以一直没更新。打算看点概括性的东西，于是就有了以下内容。

1. Reed-Solomon编码

RS编码有两个主要的参数 $n,t(t<n)$，它可以检测出 $n-t-1$ 个错误，可以纠正 $\frac{n-t-1}{2}$ 个错误，具体编码方式如下。
首先选择一个有限域 ${\mathbb{F}}_q(q>n)$，考虑 ${\mathbb{F}}_q[x]$ 上所有次数不超过$t$的元素组成的集合：
P = { f 0 + f 1 ⋅ X + ⋯ + f t ⋅ X t ∣ f i ∈ F q , 1 ≤ i ≤ t } \mathbb{P} = \{f_0 + f_1 \cdot X + \cdots + f_t \cdot X^t | f_i \in \mathbb{F}_q, 1\leq i \leq t\} P={f0​+f1​⋅X+⋯+ft​⋅Xt∣fi​∈Fq​,1≤i≤t}如果将 $\mathbb{P}$ 中的元素作为码字，则一共有 $q^{t+1}$ 个码字。但事实上，码字通过一个 $n$ 元组定义：
C = { ( f ( 1 ) , f ( 2 ) , ⋯   , f ( n ) ∣ f ∈ P ) } \mathbb{C} = \{(f(1), f(2), \cdots, f(n) | f\in \mathbb{P})\} C={(f(1),f(2),⋯,f(n)∣f∈P)}如果将 $f$ 看作消息，$c\in \mathbb{C}$ 看作码字，那么该方法使用 $n\cdot {\log }_{2}q$ bits表示了 $t\cdot {\log }_{2}q$ bits 的信息，是存在冗余的。这种冗余正是用来检测和纠正错误的，此处不给出详细说明。

2. LSSS

这个东西感觉定义比较迷，我按自己理解写一写。
$\mathcal{P}$ 是参与方集合且 $\#\mathcal{P}=n$，${\mathbb{F}}_q$ 是一个有限域，$M\in {\mathbb{F}}_q^{m\times d}$ 是一个矩阵，称为共享份额生成矩阵（share-generating matrix），$v\text{v}v\in {\mathbb{F}}_q^{d\times 1}$ 是一个列向量， χ : { 1 , ⋯   , m } → { 1 , ⋯   , n } \chi : \{1, \cdots, m\} \to \{1, \cdots, n\} χ:{1,⋯,m}→{1,⋯,n} 是一个映射。
对于秘密 $s$，找到列向量 $k\text{k}k\in {\mathbb{F}}_q^{d\times 1}$ 使得 $s={v\text{v}v}^T\cdot k\text{k}k$，然后生成共享份额 $s\text{s}s=(s_1,\cdots ,s_m)=M\cdot k\text{k}k$。对于每一个共享份额 $s_i,1\le i\le m$，$s_i$ 由 $P_j\in \mathcal{P},j=\chi (i)$ 持有。

• 如何理解 $d$：在门限秘密共享中，可以理解为门限值 + 1
• 如何理解 $v\text{v}v$：一个固定的列向量，和可以恢复出秘密的用户集合（Qualified Set）有关
• 怎么做到秘密恢复：对于用户集合 $A$，$M_A$ 定义为由 $M$ 中第 $i$ 行（$\chi (i)=j,P_j\in A$）组成的子矩阵，设 $M_A$ 共有 $r$ 行。如果 $M_A$ 的行向量“包含”了 $v\text{v}v$，则秘密可以被成功恢复。所谓“包含”，就是说存在列向量 ${x\text{x}x}_A^T\in {\mathbb{F}}^{r\times 1}$，使得 ${v\text{v}v}^T={x\text{x}x}_A^T\cdot M_A$。 从而 ${x\text{x}x}_A^T\cdot {s\text{s}s}_A={x\text{x}x}_A^T\cdot (M_A\cdot k\text{k}k)={v\text{v}v}^T\cdot k\text{k}k=s$。其中 ${s\text{s}s}_A$ 是由 $A$ 中用户掌握的共享份额
• 如何理解线性和分享：秘密 $s$ 实际上是 $k\text{k}k$ 的行向量的线性组合，而共享份额 $M\cdot k\text{k}k$ 也是 $k\text{k}k$ 的行向量的线性组合。所谓线性，指的是秘密是共享份额的线性组合；所谓分享，指的是将一个线性组合（${v\text{v}v}^T\cdot k\text{k}k$）拆分成多个线性组合 $M\cdot k\text{k}k$

在这种定义下，很容易在本地计算秘密$s,s^{\prime }$的线性函数：

1. 加法：$s+s^{\prime }$的秘密分享为$s\text{s}s+s^{\prime }\text{s′}{s}^{\prime }=M\cdot (k\text{k}k+k^{\prime }\text{k′}{k}^{\prime })$
2. 数乘：$\alpha \cdot s,\alpha \in {\mathbb{F}}_p$的秘密分享为$\alpha \cdot s\text{s}s=M\cdot (\alpha \cdot k\text{k}k)$

接下来以SSS和Replicated SS为例对LSSS的定义进行简单的说明和理解。

2.1 Shamir SS

$$\begin{array}{rl}M& =\left(\begin{array}{cccc}1& 1& \cdots & 1^t\\ 1& 2& \cdots & 2^t\\ ⋮& & & ⋮\\ 1& n& \cdots & n^t\end{array}\right)\in {\mathbb{F}}_q^{n\times (t+1)}\\ v\text{v}v& =(1,0,\cdots ,0)\in {\mathbb{F}}_q^{t+1}\end{array}$$映射 $\chi (i)=i$。对于秘密$s$, $k\text{k}k=(s,a_0,\cdots ,a_t{)}^T$，其中$a_0,\cdots ,a_t$为多项式系数。

• 当$|A|\le t$时，$rank\left(\genfrac{}{}{0ex}{}{M_A}{\mathbf{v}}\right)=|A|+1>rank(M_A)=|A|$，${x\text{x}x}_A^T\cdot M_A=v\text{v}v$无解，秘密不可被恢复
• 当$|A|>t$时，$rank\left(\genfrac{}{}{0ex}{}{M_A}{\mathbf{v}}\right)=t+1=rank(M_A)$，${x\text{x}x}_A^T\cdot M_A=v\text{v}v$有唯一解，秘密可被恢复

2.2 Replicated SS

一个(1, 3)-RSS方案（3参与方，门限值为1）的参数如下：
$$\begin{array}{rl}M& =\left(\begin{array}{ccc}0& 1& 0\\ 0& 0& 1\\ 1& 0& 0\\ 0& 0& 1\\ 1& 0& 0\\ 0& 1& 0\end{array}\right)\in {\mathbb{F}}_q^{6\times 3}\\ v\text{v}v& =(1,1,1)\in {\mathbb{F}}_q^3\end{array}$$映射 $\chi (i)=\lceil \frac{i}{2}\rceil$。秘密 $s$ 首先被分为三个加法共享值 $s=s_1+s_2+s_3$，从而 $k\text{k}k=(s_1,s_2,s_3{)}^T,s\text{s}s=M\cdot k\text{k}k=(s_2,s_3,s_1,s_3,s_1,s_2{)}^T$。根据映射 $\chi$，$P_1$ 获得 $(s_2,s_3)$，$P_2$ 获得 $(s_3,s_1)$，$P_3$ 获得 $(s_1,s_2)$。任意一个参与方无法恢复 $s$，任意两个参与方可以恢复 $s$。

2.3 Multiplicative SS

对于一个LSSS方案，给定 $s$ 和 $s^{\prime }$ 两个秘密的共享份额$({s\text{s}s}_1,\cdots ,{s\text{s}s}_n),({s\text{s}s}_1^{\prime },\cdots ,{s\text{s}s}_n^{\prime })$，如果存在向量$({v\text{v}v}_1,\cdots ,{v\text{v}v}_n)$满足：

1. $|{v\text{v}v}_i|=|{s\text{s}s}_i\otimes {s\text{s}s}_i^{\prime }|,1\le i\le n$
2. $s\cdot s^{\prime }={\sum }_{i=1}^n{v\text{v}v}_i\cdot ({s\text{s}s}_i\otimes {s\text{s}s}_i^{\prime })$

其中$\otimes$为舒尔乘积（Schur product），那么该方案是一个乘性LSSS方案。

• 乘性Shamir SS：当$t<\frac{n}{2}$时，SSS显然具有乘法性质——多项式相乘之后的次数严格小于$n$
• 乘性Replicated SS：以2.2中的方案为例
  $$\begin{gathered} {s\text{s}s}_1\otimes {s\text{s}s}_1^{\prime }=(s_2\cdot s_2^{\prime },s_2\cdot s_3^{\prime },s_3\cdot s_2^{\prime },s_3\cdot s_3^{\prime }) \\ {s\text{s}s}_2\otimes {s\text{s}s}_2^{\prime }=(s_3\cdot s_3^{\prime },s_3\cdot s_1^{\prime },s_1\cdot s_3^{\prime },s_1\cdot s_1^{\prime }) \\ {s\text{s}s}_3\otimes {s\text{s}s}_3^{\prime }=(s_1\cdot s_1^{\prime },s_1\cdot s_2^{\prime },s_2\cdot s_1^{\prime },s_2\cdot s_2^{\prime }) \end{gathered}$$
  取${v\text{v}v}_1=(1,1,1,0),{v\text{v}v}_2=(1,1,1,0),{v\text{v}v}_3=(1,1,1,0)$，则：
  $$\begin{array}{rl}& \sum _{i=1}^3{v\text{v}v}_i\cdot ({s\text{s}s}_i\otimes {s\text{s}s}_i^{\prime })\\ =& (s_2\cdot s_2^{\prime }+s_2\cdot s_3^{\prime }+s_3\cdot s_2^{\prime })\\ +& (s_3\cdot s_3^{\prime }+s_3\cdot s_1^{\prime }+s_1\cdot s_3^{\prime })\\ +& (s_1\cdot s_1^{\prime }+s_1\cdot s_2^{\prime }+s_2\cdot s_1^{\prime })\\ =& (s_1+s_2+s_3)\cdot (s_1^{\prime }+s_2^{\prime }+s_3^{\prime })\\ =& s\cdot s^{\prime }\end{array}$$