Предположим, мы знаем $t'<t$ акции. Предположим, что нам даны некоторые случайные значения, равномерно выбранные из того же поля, что и поле, используемое в SSS.
Вопрос: можем ли мы отличить случайные значения от долей с незначительной вероятностью?
Это зависит.
Теперь есть два возможных способа интерпретировать ваш вопрос (и хотя ответ одинаков для обоих, логика немного отличается). Вот способы, которые я вижу:
Эти $г$ «случайные значения» следует рассматривать все сразу как потенциальные доли; то есть противнику было дано всего $т'+г$ акции, $t'$ из которых являются истинными долями, и $г$ из которых могут быть случайными значениями или (с точки зрения противника) также могут быть истинными долями. Если это так, следуйте приведенной ниже логике.
Эти $г$ «случайные значения» — это все возможности отсутствующей доли. Это, $r-1$ из них являются случайными значениями (и противник это знает), это последнее значение также может быть случайным значением, а может быть истинным значением - противник не знает, какое, и он также не знает, какое может быть истинным значением. истинное значение. Если это так, следуйте приведенной ниже логике, но с $г=1$, и перебрать различные возможности честной доли.
Я также предполагаю, что злоумышленник имеет некоторое представление о том, каким может быть общий секрет; он может не знать точное значение, но он может знать, что это значение является одним из небольшого набора возможностей (или, по крайней мере, знать, что существует большой набор значений, которыми оно не может быть).
В том случае, если $t'+r<t$, то противник ничего не может определить; все эти доли выглядят случайными. То есть для любых значений известных долей и любого значения общего секрета существуют возможные коэффициенты к неизвестному многочлену, которые привели бы к наблюдаемым значениям (и оказывается, что существует равное количество возможностей, не зависящих от наблюдаемые значения, следовательно, противник не может получить даже никакой вероятностной информации).
С другой стороны, если $t'+r\get$, то у противника есть подход; он может взять имеющиеся у него акции (как заведомо хорошие, так и с сомнительным провидением) и реконструировать, какую общую тайну они подразумевают; Затем он проверит, возможен ли этот общий секрет. Если это не одно из возможных значений, он знает, что некоторые доли, которые он использовал, были неправильными.