精品国产久久久久,青青草黄色视频

一、秘密共享的實(shí)踐

最近FATE開源社區(qū)分享了「基于FATE實(shí)現(xiàn)的可驗(yàn)證秘密共享算法」一文（后簡稱實(shí)現(xiàn)），介紹了光大科技在聯(lián)邦學(xué)習(xí)技術(shù)實(shí)踐過程中，針對跨機(jī)構(gòu)數(shù)據(jù)統(tǒng)計(jì)這一場景，實(shí)踐了可驗(yàn)證秘密共享（Verifiable Secret Sharing）的安全多方隱私求和方案，能夠在數(shù)據(jù)不出本地的情況下，對多個(gè)機(jī)構(gòu)的數(shù)據(jù)求和。

按照原文介紹可知，該場景是對Shamir秘密共享和可驗(yàn)證秘密共享的綜合應(yīng)用（整體方案參見原文）。

這里對文中涉及的可驗(yàn)證秘密共享做一個(gè)簡單說明。

二、可驗(yàn)證秘密共享簡介

可驗(yàn)證秘密共享（Verifiable Secret Share, VSS）的概念由 Benny Chor、Shafi Goldwasser、Silvio Micali 和 Baruch Awerbuch 于 1985 年首次提出：如果參與方可以使用輔助信息驗(yàn)證其他參與方秘密共享內(nèi)容的一致性，那么該秘密共享方案就是可驗(yàn)證的。可驗(yàn)證的秘密共享確保了即使某參與方是惡意的，也必須有一個(gè)明確定義的秘密（遵循協(xié)議設(shè)定），其他參與方稍后可以恢復(fù)秘密值。

注：經(jīng)典的Shamir秘密共享方案中，假參與方是誠實(shí)的。

可驗(yàn)證的秘密共享對于安全多方計(jì)算來說還是很重要的。我們知道，安全多方計(jì)算通常是通過對輸入進(jìn)行秘密共享并操作共享來計(jì)算某些函數(shù)完成的。為了應(yīng)對可能“搗亂”的參與方，可以對秘密共享的安全性進(jìn)行增強(qiáng)，額外添加驗(yàn)證操作，防止（或及早發(fā)現(xiàn)）這些參與方的偏離協(xié)議行為。

下文對Feldman的可驗(yàn)證秘密共享方案進(jìn)行簡單說明。

三、Feldman的可驗(yàn)證秘密共享方案

Feldman VSS是一個(gè)常見的可驗(yàn)證秘密共享方案，由 Paul Feldman 提出（參見其論文：「A Practical Scheme for Non-interactive Verifiable Secret Sharing」）；它在 Shamir 秘密共享之上結(jié)合了同態(tài)加密方案。

該方案中首先選取一個(gè)素?cái)?shù)( $q$ )階的循環(huán)群 $G$ 以及 $G$ 的生成元 $g$ ，這些會(huì)公開作為系統(tǒng)參數(shù)。選擇適合的循環(huán)群 $G$ 以保證其上離散對數(shù)計(jì)算的困難性。通常，可以選擇 $(\mathbb{Z}_p)^*$ 的 $q$ 階子群，其中 $p，q$ 是素?cái)?shù)，且 $q$ 整除 $p?1$ 。

然后處理方生成一個(gè) $t$ 次隨機(jī)多項(xiàng)式 $P$ ，其系數(shù)在 $Z_q$ 中選取，且 $P(0)=s$ （即是秘密值）。 $n$ 個(gè)參與方中的每一個(gè)都將收到一個(gè)值 $P(1), \dots, P(n) \bmod q$ 。任何 $t+1$ 個(gè)秘密分享的持有者都可以使用多項(xiàng)式插值模 $q$ 恢復(fù)秘密 $s$ （但任何最多 $t$ 個(gè)持有者們都不能恢復(fù)秘密值）。

以上基本是Shamir秘密共享方案。為了使這些共享可以驗(yàn)證，參與方需要分發(fā) $P$ 多項(xiàng)式系數(shù)模 $p$ 作為承諾（commitment）。

比如， $P(x)=s+a_1x+a_2x^2+\dots+a_tx^t$ ，那么必須給出的承諾是：

$c_0=g^s \bmod p$
$c_1=g^{a1}\bmod p$
...
$c_t=g^{a_t}\bmod p$

一旦給出這些，任何一方都可以驗(yàn)證他們的得到的秘密分享。例如，為了驗(yàn)證 $v = P(i) \bmod q$ ，如：

$g^{v}=c_{0}c_{1}^{i}c_{2}^{i^{2}}\cdots c_{t}^{i^{t}}=\prod _{j=0}^{t}c_{j}^{i^{j}}=\prod _{j=0}^{t}g^{a_{j}i^{j}}=g^{\sum _{j=0}^{t}a_{j}i^{j}}=g^{P(i)}$