5. Проверяемые схемы разделения секрета как конфиденциальное вычисление функции

   1. Описание проверяемой схемы разделения секрета

Для вышеприведенных определений проверяемой схемы разделения секрета ПРСи обобщенных моделей противника, сбоев, взаимодействия и вычислений синтезируем схему разделения секрета, которая являлась бы работоспособной в протоколах конфиденциальных вычислений.

Рассматривается полностью синхронная сеть взаимодействующих процессоров в условиях проявления By-сбоев.Противник представляется как активный динамическийt-противник. Взаимодействие процессоров осуществляется посредством конфиденциальных каналов связи. Кроме того, существует широковещательный канал связи.

Схема проверяемого разделения секрета, рассматриваемая как схема конфиденциального вычисления функции, значение которой является распределенный среди процессоров проверенный на корректность и затем восстановленный и проверенный секрет, обозначается как ПРСК.

Пусть сеть Nсостоит изnпроцессоровP₁,P₂,...,P_n-1,P_n, гдеP_n– дилерДсетиN. Множество секретов обозначается черезS, размерность этого множестваS=l. Множество случайных параметров, используемых всеми процессорами сети, обозначается черезR, размерностьR=. ЧерезWобозначается рабочее пространство параметров сети.

Требуется вычислить посредством выполнения протокола P=(РзПр,ВсПр) функциюf(x),гдеf– представляется в виде композиции двух функцийgh. Пусть функцияg:(SⁿRⁿW)W, а функцияh:WS.

Проверяемая схема разделения секрета ПРСК называется t-устойчивой, если протокол разделения секрета и проверки правильности разделенияРзПри протокол восстановления секретаВсПрявляютсяt-устойчивыми. Функцияfявляется конфиденциально вычислимой, если конфиденциально вычислимы функцииgиh.

t-Устойчивая верифицируемая схемаразделения секретаПРСК– есть пара протоколовРзПриВсПр, при реализации которых выполняются следующие условия.

Условие полноты.Пусть событиеA₁заключается в выполнении тождества

f(w₁,...,w_n-1,s)=

=g((w₁,...,w_n-1,sr),(,...,))=((s₁,...,s_n-1,w_n),(,...,)).

h((s₁,...,s_n-1),(,...,))=((s,s,...,s,w_n),(,...,)).

Тогда для любой константы c>0 и для достаточно большихn вероятностьProb(A₁)>1-n^-c.

Условие корректности.Пусть событиеA₂заключается в выполнении тождества

f(w₁,...,w_n-1,s)=

=g((w₁,...,w_n-1,sr),(,...,))=((s₁,...,s_n-1,w_n),(,...,)).

h((s₁,...,s_n-1),(,...,))=((u₁,...,u_j,...,u_n-1,w_n),(,...,)),

где u_j=s дляjGиG– разрешенная коалиция процессоров.

Тогда для любой константы c>0, достаточно большихn, для границыt^*<tи любого алгоритмаПрот вероятностьProb(A₂)<n^-c.

Условие конфиденциальности.

Функция g((w₁,...,w_n-1,sr),(,...,))=((s₁,...,s_n-1,w_n),(,...,)) – конфиденциально вычислима.

Функция h((s₁,...,s_n-1),(,...,))=((u₁,...,u_j,...,u_n-1,s),(,...,)) – конфиденциально вычислима.

Свойство полноты означает, что если все процессоры РзПриВсПрследуют предопределенным вычислениям, тогда любая коалиция несбоящих процессоров может восстановить секретs. Свойство корректности означает, что при действияхt-противникаПрот, любая разрешенная коалиция изnпроцессоров сети может корректно разделить, восстановить и проверить секрет. Свойство конфиденциальности вытекает из свойства конфиденциальности функцииgиh.

Схема ПРСК

Предлагаемая схема ПРСК [GM], является (n/3-1)-устойчивой и использует схему разделения секрета Шамира.

Пусть n=3t+4 и все вычисления выполняются по модулю большого простого числаp>n. Из теории кодов с исправлением ошибок известно, что если мы вычисляем полиномfстепениt+1 вn-1различных точкахi, гдеi=1,...,n-1, тогда по данной последовательностиs_i=f(i), можно восстановить коэффициенты полинома за время, ограниченное некоторым полиномом, даже еслиtэлементов в последовательности произвольно изменены. Это вариант кода Рида-Соломона, известный как код Берлекампа-Велча (см., например, [КС]). Пусть далееK– параметр безопасности иK/nозначаетK/n.