Puncte:0

Acțiunile Shamir împărtășesc în secret numere aleatoare distribuite uniform?

drapel br
Ay.

Lăsa $t$ să fie un prag în schema Shamir secret sharing (SSS).

Să presupunem că știm $t'<t$ acțiuni. Să presupunem că ni se oferă niște valori aleatoare alese uniform din același câmp ca cel folosit în SSS.

Întrebare: putem distinge valorile aleatoare de acțiunile cu o probabilitate deloc neglijabilă?

poncho avatar
drapel my
În răspunsuri, găsim trei interpretări potențiale ale scenariului despre care întrebați. Ați putea să vă rafinați răspunsul pentru a enumera care dintre ele a fost de fapt intenționat (sau dacă ați vrut de fapt o a patra interpretare)?
Ay. avatar
drapel br
Ay.
@poncho Mulțumesc pentru răspunsul tău de mai jos! Sigur, voi citi cu atenție răspunsul tău și voi încerca să-mi îmbunătățesc întrebarea. Dacă nu te superi, o voi face în câteva zile. Multumesc din nou.
kodlu avatar
drapel sa
Vezi răspunsul meu actualizat
Puncte:2
drapel my

Să presupunem că știm $t'<t$ acțiuni. Să presupunem că ni se oferă niște valori aleatoare alese uniform din același câmp ca cel folosit în SSS.

Întrebare: putem distinge valorile aleatoare de acțiunile cu o probabilitate deloc neglijabilă?

Depinde.

Acum, există două moduri posibile de a vă interpreta întrebarea (și deși răspunsul este același pentru ambele, logica diferă ușor). Iată modurile în care văd:

  • Aceste $r$ „valorile aleatorii” trebuie considerate dintr-o dată ca acțiuni potențiale; adică adversarului i s-a dat un total de $t' + r$ acțiuni, $t'$ dintre care sunt adevărate acțiuni și $r$ dintre care ar putea fi valori aleatorii sau (în ceea ce privește adversarul) ar putea fi și acțiuni adevărate. Dacă este cazul, urmați logica de mai jos.

  • Aceste $r$ „valorile aleatoare” sunt toate posibilitățile cotei lipsă. Acesta este, $r-1$ dintre ele sunt valori aleatorii (și adversarul știe asta), acea ultimă valoare ar putea fi, de asemenea, o valoare aleatoare sau poate fi o valoare adevărată - adversarul nu știe care și, de asemenea, nu știe care ar putea fi valoare adevarata. Dacă este cazul, urmați logica de mai jos, dar cu $r=1$, și iterați prin diferitele posibilități pentru cota cinstită.

Voi presupune, de asemenea, că atacatorul are unele cunoștințe despre care ar putea fi secretul partajat; s-ar putea să nu știe valoarea exactă, dar s-ar putea să știe că valoarea este una dintr-un set mic de posibilități (sau cel puțin, să știe că există un set mare de valori care nu poate fi).

În acest caz, dacă $t' + r < t$, atunci adversarul nu poate determina nimic; toate aceste acțiuni par aleatorii. Adică, pentru orice valoare a acțiunilor cunoscute și orice valoare a secretului partajat, există posibili coeficienți pentru polinomul necunoscut care ar face ca să conducă la valorile observate (și se dovedește că există un număr egal de posibilități independente de valorile observate, prin urmare adversarul nici măcar nu poate obține nicio informație probabilistică).

Pe de altă parte, dacă $t' + r \ge t$, atunci adversarul are o abordare; el poate lua acțiunile pe care le are (atât cele cunoscute bune, cât și cele cu providență îndoielnică) și să reconstituie ce secret comun ar implica acestea; ar verifica apoi să vadă dacă acel secret împărtășit era posibil. Dacă nu este una dintre valorile posibile, el știe că unele dintre acțiunile pe care le-a folosit au fost incorecte.

drapel ar
Am presupus inițial o a treia interpretare: adversarului i se dau două seturi de valori $t'$, unul dintre ele fiind un subset al acțiunilor generate de schema lui Shamir cu pragul $t > t'$ și celălalt set constând din $t' $ numere aleatoare distribuite uniform; poate adversarul să distingă cele două mulţimi cu probabilitate $> \frac12$? (FWIW, răspunsul la această interpretare a întrebării este în mod evident „nu, nu se poate”, bazat în esență pe același argument pe care îl oferiți mai sus.)
Ay. avatar
drapel br
Ay.
multumesc ambilor pentru raspuns si comentariu! Mă refeream la primul caz (sau al treilea). Cu toate acestea, nu sunt sigur de indistinguirea acțiunilor adevărate de valori aleatorii. Pentru că acțiunile sunt corelate și aleatoritatea lor provine din aceiași coeficienți utilizați pentru toate acțiunile.
poncho avatar
drapel my
@Ay.: Și deci răspunsul meu de „he can iff $t” + r \ge t$” este ceea ce căutai?
Ay. avatar
drapel br
Ay.
@poncho bine practic adversarul nu are toate acțiunile pentru a verifica dacă un subset dintre ele poate duce la secret.
poncho avatar
drapel my
@Ay.: da, iar un număr insuficient de acțiuni (considerând cunoașterea parțială a secretului partajat ca efectiv o partajare suplimentară) pare aleatoriu...
Ay. avatar
drapel br
Ay.
@poncho Ca întotdeauna, ai fost de mare ajutor. Multumesc pentru raspuns si comentarii.
Puncte:2
drapel sa

Fiecare valoare a gradului $t-1$ polinom SSS complet $P$ evaluat la orice $x$ în câmpul finit $F$ este definit peste este distribuit uniform în $F$. Vedea acest raspuns de exemplu.

Acum presupuneți $tâ<t$ acțiunile sunt dezvăluite, spunem că sunt $Sâ=\{(x_1,P(x_1)),\ldots,(x_{tâ},P(x_{tâ}))\}.$

Dacă setul inițial de acțiuni a fost $S$ multimea nevid $T=S\setminus Sâ$ acum determină în mod unic în mod obișnuit un polinom de interpolare Lagrange valid de grad $t-tâ-1$ dat oricare $t-tâ$ puncte $x$ în $K \setminus \{x_1,\ldots,x_{tâ}\}$.

Algoritm distinctiv: Lăsa $k>t-tâ$ și lăsați acțiuni revendicate $$C=\{(x_j,y_j):1\leq j \leq k\}$$ să se acorde. Dacă acestea sunt acțiuni autentice vreuna $t-tâ$ dintre ele vor da același polinom de interpolare Lagrange ca orice alt astfel de submulțime de aceeași dimensiune. Dacă $y_j$ sunt aleatorii, două interpolări Lagrange distincte spun că două sunt susținute $$A=\{x_1,\ldots,x_{t-tâ}\}$$ și pe $$Aâ=\{x_2,\ldots,x_{t-tâ},x_{t-tâ+1}\}$$ va da diferit Polinoame de interpolare Lagrange cu probabilitate $$1-\frac{1}{q}$$ Unde $q$ este dimensiunea câmpului pe care îl folosim.

De fapt, chiar dacă doar un singur acționează $A \bigcup Aâ$ este aleatorie, această proprietate va fi valabilă deoarece cel puțin una dintre interpolări va produce un polinom aleatoriu.

Ay. avatar
drapel br
Ay.
Multumesc pentru raspuns. Cu toate acestea, coordonatele y nu sunt independente (și sunt corelate), deoarece sunt evaluarea unui polinom fix la valori diferite. De asemenea, *aceași* coeficienți sunt *reutilizați* pentru diferite coordonate x. Prin urmare, nu putem argumenta distribuția acțiunilor pentru două coordonate x diferite bazându-ne pe distribuția coeficienților. Iată un exemplu mai simplu; luați în considerare $y_1=r_1. a+r_2$ și $y_2=r_1. b+r_2$, unde $r_i$ este distribuit uniform la întâmplare. Nu putem argumenta că $y_1$ și $y_2$ sunt distribuite independent
kodlu avatar
drapel sa
Comentariul tău nu se mai aplică răspunsului modificat
Ay. avatar
drapel br
Ay.
multumesc pentru raspuns. Cred că, chiar dacă presupunem că o singură acțiune este aleatorie, nu putem presupune că și următoarele acțiuni sunt aleatorii, deoarece restul se va baza pe aleatorietatea utilizată pe prima acțiune (n alte cuvinte, aleatorietatea este reutilizată). Cu toate acestea, ar putea fi mai ușor să argumentezi aleatorietatea, dacă coordonatele x sunt valori aleatorii (pe care nu le presupun)
Puncte:0
drapel us

Nu, nu putem.Știm că SSS este perfect, ceea ce înseamnă că cunoașterea (t-1) sau mai puține acțiuni nu oferă informații despre s - prin urmare despre alte acțiuni -

Ay. avatar
drapel br
Ay.
Multumesc pentru raspuns. Cu toate acestea, a nu dezvălui nimic despre secret nu înseamnă că fiecare acțiune are aceeași distribuție ca o valoare cu adevărat aleatorie. Astfel, răspunsul tău nu pare să răspundă pe deplin la întrebarea mea.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.