Протокол генерации ключей Дженнаро и Голдфедера

Когда я прохожу черезБыстрая многосторонняя пороговая ECDSA с быстрой настройкой без довериястатья Дженнаро и Голдфедера, 2018 г., я споткнулся на протоколе генерации ключей (раздел 4.1, стр. 10):

На этапе 1 они создают пару (фиксация, списание) с использованием схемы фиксации. Ранее в статье упоминалось, что «на практике можно использовать любую безопасную хэш-функцию». ЧАС и определить приверженность Икс как час = ЧАС(Икс, р), для равномерно выбранного р длины Я" и предположим, что ЧАС ведет себя как случайный оракул. Мы используем эту эффективную версию случайного оракула в нашей реализации» (см. стр. 6 внизу). Насколько я понимаю, они снижают приверженность к HMAC с ключом р. Какова строка списания в этом случае? Это р либо это Икс? Какой цели вообще служит декоммитированная строка?

На этапе 1 передается строка обязательства. Затем, на этапе 2, передается строка отмены. Насколько я понимаю, разделение делается для того, чтобы каждый взял на себя обязательство, прежде чем увидеть чье-то отступление.

Следующее предложение: «Пусть у_я быть значением, декоммитированным п_я. Так же у_я = КГД_я = р?

Следующее предложение: «Игрок п_я выполняет (т, н) Фельдман-ВСС значения ты_я, с у_я как «свободный член в показателе степени». В вашем типичном разделении полиномиального секрета (например, Shamir) любое значение, которое вы разделяете, является свободным членом в полиноме. Так что мне кажется, что это противоречит само себе, говоря, что мы разделяем ты_я и у_я в то же время. Разве «свободный член в показателе степени» не означает свободный член полинома? Фельдман-ВСС работает иначе, чем Шамир?

Затем «результирующие значения Икс_я площадь (т, н) Секретный обмен Шамиром Секретный ключ Икс = $\сумма$_я ты_я. Почему? Этот секретный ключ связан с открытым ключом у?

Любые комментарии будут очень кстати!

Общая схема обязательств состоит из двух этапов:

1. Фаза фиксации: отправитель шифрует сообщение до значения фиксации, используя односторонняя функция с некоторыми случайными значениями, такими как подбрасывание монеты р в вашем посте. Этот параметр может гарантировать, что ни один злоумышленник не получит никакой информации о сообщении.
2. Фаза отмены: отправитель должен передать некоторые доказательства, подтверждающие правильность приведенного выше значения фиксации.

Например, предположив, что у нас есть безопасная хеш-функция H(x,r)=H($X·h^r$) где Х=$г^х$ в качестве открытого ключа, x — секретное значение, r — случайное значение, то мы можем сгенерировать обязательство C= H($g^x·h^r$). Чтобы доказать правильность значения фиксации C, отправитель должен отправить значение списания р= $h^r$ получателю с ZK-доказательством знания r, затем получатель проверяет, выполняется ли C = H(X·R).

Приведенная выше схема обязательств была просто неудачным примером. Но в моем понимании, $y_i$ может быть р Я думал.