安全多方计算之使用秘密分享求逆

秘密分享

假设有$n$个用户$P_1,P_2,\cdots ,P_n$. 秘密分享是说，有一个分享者将秘密$s$分为$n$份，分发给$n$个用户。这样，每一个用户得到的，只是一个随机数，不能得到任何有关于$s$的信息。但是，多个用户的秘密分享份额可以重构秘密$s$. 一个实际的秘密分享方案是Shamir门限秘密分享。

分享者在使用$s$构造一个$t-1$次的秘密多项式$f(x)=s+c_{1}x+x_2{x}^2+\cdots +c_{t-1}{x}^{t-1}$，其中$c_i$是随机数。 然后在$n$个不同的点$x_i,i=1,2,\cdots ,n$求值，得到$f(x_i)$，$f(x_i)$就是用户$P_i$的分享份额。

Shamir门限方案在用户少于$t$个的时候无法重建秘密，但是当用户大于等于$t$个的时候，可以通过插值得到唯一的$f(x)$从而恢复秘密$s$. Shamir门限方案具有加法同态和乘法同态，也就是用户可以在重建秘密$s_1,s_2$的情况，可以通过在一些交互，计算出$s_1+s_2$和$s_1\times s_2$的值。具体可以参考[1].

求逆算法

秘密分享通常是在有限域${\mathbb{Z}}_p$中运算,其中$p$是一个素数。 在很多安全多方计算中，我们需要求一个数的逆元。一个数$a$的逆元是说 $ab\equiv 1\mathrm{mod}p$. 我们可以使用扩展的欧几里得算法求逆。

逆元存在的条件是$gcd(a,p)=1$，所以由贝祖定理，有$ab+kp=1$，也就是$ab\mathrm{mod}p=1$.
在使用欧几里得算法求$a,p$的最小公因数的时候，我们就可以同步求出$b$的值，也就是$a$的逆元。在[2]中有详细的描述和代码实现。

同态求逆

现在我们来讨论用户如何在具有秘密份额时，同态计算逆元的秘密分享而不需要重建秘密。

论文[3]中给出了一种方案，通过随机数掩膜和交互来计算逆元。

假设秘密为$s$，用户$P_i$的分享值为$(x_i,y_i)$，其中$y_i=f(x_i)$. 所有运算都在${\mathbb{Z}}_p$中进行。我们需要求 $t$ 满足 $st\mathrm{mod}p=1$.

第一步，$P_i$产生一个随机数$r_i$，然后将$r_i$使用秘密分享，分享给每一个用户。即构造秘密多项式$R_i(x)=r_i+c_{1,i}x+c_{2,i}+\cdots +c_{t-1,i}{x}^{t-1}$. 然后计算$R_i(x_j)$并发给$P_j,j=1,2,\cdots ,n$.

第二步，利用秘密分享的同态加，将所有的$r_i$加起来，得到$r^{\prime }={\sum }_{i=1}^n{r}_i$. 也就是，$P_i$将计算新的分享值$z_i={\sum }_{j=1}^n{R}_j(x_i)$.

第三步，利用秘密分享的同态乘，计算$r^{\prime }s$的秘密分享值。也就是$P_i$计算$k_i=z_i{y}_i$.

第四步，利用$k_i$重建$r^{\prime }s$，由于$r^{\prime }$是一个谁都不知道的随机数，所以$r^{\prime }s$不会泄露任何关于$s$的信息。

第五步，如果$r^{\prime }s$为0，那么重复第一至第四步。当然这里的$s$不能为0，否则，$r^{\prime }s$就一直为0，用户就知道了$s$为0. 然后使用扩展欧几里得算法求 $r^{\prime }s$的逆元$(r^{\prime }s{)}^{-1}$。并将这个逆元分享给所有的用户。这里的重建$r^{\prime }s$和计算逆元，可以由其中一个用户计算得到。然后将计算结果$(r^{\prime }s{)}^{-1}$广播给所有用户。

第六步，每一个用户$P_i$计算最后的结果$b_i=(r^{\prime }s{)}^{-1}{z}_i$. 显然，使用多项式插值后得到的结果$b=(r^{\prime }s{)}^{-1}{r}^{\prime }=s^{-1}$.

参考文献

[1] http://t.csdnimg.cn/SeMnv
[2] http://t.csdnimg.cn/CufYW
[3] Bar-Ilan, Judit, and Donald Beaver. “Non-cryptographic fault-tolerant computing in constant number of rounds of interaction.” Proceedings of the eighth annual ACM Symposium on Principles of distributed computing. 1989.