Protocolul de generare a cheilor Gennaro și Goldfeder

Pe măsură ce trec prin âECDSA de prag rapid pentru mai multe părți cu configurare rapidă fără încredereâ lucrare de Gennaro & Goldfeder, 2018, sunt împiedicat de protocolul de generare a cheilor (Sect. 4.1, p.10):

În faza 1, ei creează o pereche (angajament, dezangajare) folosind o schemă de angajament. Mai devreme în lucrare, ei menționează că „în practică se poate folosi orice funcție hash sigură H și definiți angajamentul față de X la fel de h = H(X, r), pentru o alegere uniformă r de lungime λ și presupune că H se comportă ca un oracol aleatoriu. Folosim această versiune eficientă de oracol aleatoriu în implementarea noastrăâ (vezi p.6, jos). După cum am înțeles, reduc angajamentul față de un HMAC cu o cheie r. Care este șirul de dezagajare în acest caz? Este r sau este X? Ce scop servește șirul de dezagajare?

În faza 1, șirul de angajament este difuzat. Apoi, în Faza 2, se difuzează șirul de decontare. După cum am înțeles, separarea se face astfel încât toată lumea să își ia angajamentul înainte de a vedea dezangajarea cuiva.

Următoarea propoziție: âLet y_i fie valoarea dezangajată de P_iâ. La fel și y_i = KGD_i = r?

Următoarea propoziție: âJucătorul P_i efectuează o (t, n) Feldman-VSS a valorii u_i, cu y_i ca âtermen liber din exponentâ. În partajarea secretă a polinomului tipic (de exemplu, Shamir), indiferent de valoarea pe care o împărtășiți este termenul liber din polinom. Așa că mie mi se pare că se contrazice spunând că împărtășim u_i și y_i in acelasi timp. „termen liber în exponent” nu înseamnă termenul liber al polinomului? Feldman-VSS funcționează diferit de Shamir?

Apoi, âvalorile rezultate X_i sunt un (t, n) Partajarea secretă a lui Shamir cheie secreta X = $\sum$_i u_iâ. De ce? Această cheie secretă este asociată cu cheia publică y?

Orice comentarii ar fi binevenite!

O schemă generală de angajament constă în două faze:

1. faza de angajament: expeditorul criptează un mesaj la o valoare de angajament utilizând funcție unidirecțională cu unele valori aleatorii, cum ar fi aruncarea monedelor r în postarea ta. Această fază se poate asigura că niciun receptor rău intenționat nu obține informații despre mesaj.
2. faza de dezangajare: expeditorul trebuie să transmită niște dovezi pentru a demonstra că valoarea angajamentului de mai sus este corectă.

De exemplu, presupunând că avem o funcție hash sigură H(x,r)=H($X·h^r$) unde X=$g^x$ ca cheie publică, x este valoarea secretă, r este o valoare aleatorie, atunci putem genera un angajament C= H($g^x·h^r$). Pentru a demonstra corectitudinea valorii de angajament C, expeditorul trebuie să trimită valoarea de dezangajare R= $h^r$ la receptor cu o dovadă ZK de cunoaștere a lui r, apoi receptorul verifică dacă C = H(X·R) este menținut.

Schema de angajament de mai sus a fost doar un exemplu nefondat. Dar, după înțelesul meu, $y_i$ poate că R Am crezut.