На самом деле есть две отдельные вещи, которые нужно обсудить. бумага:
Подробности о том, как подать заявку $\text{ГФ}(2)$-аффинная функция к общей переменной SSS.
Корректность предложенной в статье новой схемы SSS-умножения.
Бумага Об использовании раскрытия тайны Шамиром против
Анализ побочных каналов упомянутый Кодлу предполагает, что в 2 есть недостаток.Спасибо, что нашел это, Кодлу!
Что касается первоначального вопроса о 1., статья Реализация AES без сбоев более высокого порядка с использованием безопасных протоколов многосторонних вычислений Roche and Prouff объясняет, как применять $\text{ГФ}(2)$-аффинная функция в контексте SSS над $\text{GF}(2^8)$. Для удобства и потому, что это элегантно, я воспроизведу его здесь с некоторыми заполненными деталями:
Важнейшее наблюдение состоит в следующем:
Требовать: Любой $\text{ГФ}(2)$-аффинная функция на $\text{GF}(2^n)$ однозначно имеет вид $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$, куда $\text{Frob}: y\mapsto y^2$ это Фробениус и $a_k\in\text{GF}(2^n)$.
Доказательство: С $\text{Gal}(\text{GF}(2^n)/\text{GF}(2))=\{\text{Frob}^k\}_{k=0,\ldots,n- 1}$, это частный случай того, что для любого расширения Галуа $L/K$, $\text{Гал}(Л/К)$ является $L$-базис $\text{Конец}_K(L)$. Это, в свою очередь, следует из (а) того факта, что $\text{тусклый}_K(L)=|\text{Gal}(L/K)|$, следовательно $\dim_L\text{Hom}_K(L,L)=\text{dim}_L\text{Hom}_K(K^{|\text{Gal}(L/K)|},L)=|\ текст{Гал}(L/K)|$, и (b) тот факт, что элементы $\text{Гал}(Л/К)$ находятся $L$-линейная независимая, которая является частным случаем линейная независимость символов.
С иском, заявлением $\text{ГФ}(2)$-аффинные функции на $\text{GF}(2^n)$ к SSS-акциям сводится к применению функций вида $y\mapsto b y^{2^k}$ для некоторых $b\in \text{GF}(2^n)$. Здесь замечено, что все становится проще, если предположить, что установлен общедоступных баллов оценки SSS $\{\alpha_i\}$ быть стабильным под $\text{Фроб}$, и в этом случае совместное использование SSS $(\alpha_i, y_i)$ из $х$ трансформируется в SSS-шеринг $(\alpha_{\pi^k(i)}, b y_i^{2^k})=(\alpha_i, b y_{\pi^{-k}(i)}^{2^k})$ из $б х^{2^к}$ для перестановки $\пи$ определяется $\text{Frob}(\alpha_i) = \alpha_{\pi(i)}$. Такой $\text{Фроб}$-стабильные подмножества $\text{GF}(2^n)$ можно построить, исходя из наблюдения, что $\text{GF}(2^n)\setminus\bigcup_{k|n}\text{GF}(2^k)$ разлагается на $\text{Фроб}$-орбиты размером $n$, поэтому индуктивно существуют $\text{Фроб}$-орбиты размером $k|n$ для всех $k|n$.
Итак, собирая все вместе, применяя $a_{-1} + \sum_{k=0}^{n-1} a_k \text{Frob}^k$ к общей переменной SSS $(\alpha_i,y_i)$ с $\text{Фроб}$-стабильный $\{\alpha_i\}$ алгебраически похож на его применение к акциям, но нужно добавить перестановку к акциям: новый $я$-я доля $a_{-1} + \sum_{k=0}^{n-1} a_{k} \text{Frob}^k(y_{\pi^{-k}(i)})$, куда $\пи$ это перестановка на $\{\alpha_i\}$ индуцированный $\text{Фроб}$.
