LSSS线性秘密共享方案详细构造方法与原理解释

关于LSSS线性秘密共享方案详细构造方法与原理解释

1.LSSS定义

LSSS英文精确定义如下：
翻译后：

一个关于参与者集合$\mathrm{P}$关于秘密分享方案$\Pi$在$Z_p$上是线性的，则需要满足以下条件：
1.每一个参与者的分享份额(见2点)构成$Z_p$上的一个向量；
2.存在一个关于$\Pi$的秘密生成矩阵$M$，这个矩阵有$m$行$d$列，对于$i=1,2,....m$，$M$的第$i$行$M_i$被一个参与者$\rho (i)$标识，$\rho$是一个从 { 1 , 2 , . . . , m } \{1,2,...,m\} {1,2,...,m}映射到$\mathrm{P}$(参与者集合)的一个函数。给一个列向量$\vec{v}=(s,r_2,...,r_d)$,其中$s\in Z_p$是需要共享的秘密，$r_2,r_3,...,r_d$是随机选取的。$M\vec{v}$表示$\Pi$对秘密$s$的$m$个分享份额，${\lambda }_i=(M\vec{v}{)}_i$是属于参与者$\rho (i)$的分享份额。

初步感知一下$M$是$m$行$d$列的，$\vec{v}$是$d$行$1$列的，$M\vec{v}$则是$m$行$1$列的，每一行的一个值就是每个对应的参与者的分享份额。

2.Access Tree转化为LSSS矩阵方法

下面讲如何将访问树(access tree，构造参见KP-ABE那一篇)转化为分享生成矩阵。前面一篇讲过访问树叶子节点代表属性，非叶节点表示与或门，约定$(1,0,0,...,0)$是目标向量。
构造方式如下：

(a).根节点标识为向量$(1)$,全局计数器$c=1$,自上而下构建其他节点。
(b).如果节点x是一个被向量$v$标记的与门，则将x的一个子节点标记为$v|1$(|表示连接)，另一个节点标记为$(0,0,...,0)|-1$,$(0,...0)长度为c$，然后c加1.
©.如果节点x是被向量v标记的或门，则x子节点也为$v$.最后所有节点被标记，当叶子节点长度不等时，用0填充至相同长度。
叶子节点各向量即为LSSS分享生成矩阵各行向量。
举例$(AAND(DOR(BANDC)))$

按照定义(a)设定根节点AND为$(1)$，c=1。根据定义(b),根节点左边节点A为$(1,1)$，右边或门节点为(0,-1).根据定义©右边或门的子孙节点D和AND节点为$(0,-1)$.根据定义(b)节点B和节点C为$(0,-1,1)$和$(0,0,-1)$.
最终得到分享生成矩阵为：
$$\left(\begin{array}{ccc}1& 1& 0\\ 0& -1& 1\\ 0& 0& -1\\ 0& -1& 0\end{array}\right)$$

3.LSSS算法正确性证明

证明一下算法正确性：
$$\lambda =M\cdot \nu ,M:(m,d),\vec{v}=(s,r_2,...,r_d)$$

$$\sum _{i\in I}{\omega }_i{M}_i=(1,0,...,0)$$
$$即可写为M^T\cdot \omega =(1,0,...,0),\omega 作列向量，这里讲的是存在这些\omega 。没有给具体求法$$
$$\sum _{i\in I}{\omega }_i{\lambda }_i=s$$
$$即可写为{\lambda }^T\cdot \omega =s$$
$$\nu M^T\cdot \omega =s,因为M^T\cdot \omega =(1,0,...,0)，均为i\in I,则得到了我们的秘密s$$