Регистрация Войти
Рейтинг:4
avatar Crypto

Умножение BGW Дженнаро и др.: Почему H(x) имеет именно степень t и почему необходимо $2t + 1 \le n$?

флаг jp
ht332932

С этим вопросом я имею в виду умножение BGW Дженнаро и др. (PDF здесь). Умножение описано на 4-й странице. (Другим источником для меня был «Прагматичное введение в безопасные многосторонние вычисления» п. 43-44)

Краткое изложение процедуры умножения BGW: Чтобы сделать умножение 2 секретных значений $\альфа$ и $\бета$ каждого игрока $P_i$ должен иметь долю $ f _ {\ альфа} (я) $ и $ f _ {\ бета} (я) $ куда $f_{\alpha}$ и $f_{\бета}$ являются случайными полиномами степени t из секретного обмена Шамира. Теперь каждый игрок $P_i$ вычисляет $f_{\alpha}(i) \cdot f_{\beta}$ и отправляет доли этого значения $h_i(j)$ созданный со случайным полиномом степени t $h_i$ (так что $h_i(0) = (f_{\alpha} \cdot f_{\beta})(i)$) верхний слой $P_j$ за $1 \le j \le n$.

Далее в приведенной выше статье описывается, как игроки могут получить случайные доли степени t от стоимости $\альфа\cdot\бета$ (чтобы затем они могли восстановить результат умножения с этими долями): Каждый игрок $P_i$ вычисляет значение $ Н (я) $ из полинома степени t $Ч$ который определяется как:

$$H(x) = \sum_{i=1}^{n} \lambda_i h_i(x)$$

($\lambda_i$s — соответствующие коэффициенты Лагранжа).

$Ч$ является случайным полиномом с

$$H(0) = \sum_{i=1}^{n} \lambda_i h_i(0) = \sum_{i=1}^{n} \lambda_i (f_{\alpha} \cdot f_{\beta })(i) = (f_{\alpha} \cdot f_{\beta})(0) = \alpha \cdot \beta$$

Мой вопрос: Действительно ли H(x) имеет степень t? Не может ли он также быть больше, потому что $n$ точки от разные полиномы степени t $h_i$ за $1 \le i \le n$ используются для интерполяции? Обычно утверждают, что линейные операции над $(т,п)$ общие акции приводят к новым $(т,п)$ акции и потому что $h_i$ функции имеют степень $t$ линейные комбинации значений $h_i{j}$ за $1 \le i \le i$ должно привести к $(т,п)$ также акции. Справедливо ли это и в этом сценарии, поскольку мы всегда комбинируем значения разной степени? $t$ многочлены одновременно $х$ стоимость?

Другой вопрос: Также отмечается, что $t$ должен быть таким, чтобы $2t+1 \le n$. Это действительно необходимо? не будет $t+1 \le n$ достаточно, потому что $Ч(х)$ степень $t$ в любом случае, или информация из 2т+1 акций необходима для правильного построения $Ч(х)$? (Моя гипотеза заключалась в том, что без $2т+1$ Коэффициенты Лагранжа $\лямбда_i$, $Ч(0)$ не будет $\альфа\cdot\бета$)

«Прагматичное вступление» с. 44 говорит, что только с $2t+1 \le n$ у игроков достаточно информации, чтобы определить значение $(f_{\alpha} \cdot f_{\beta})(0)$. Почему это так?

91
0 + 0
Daniel S avatar
флаг ru
Daniel S
Добро пожаловать в криптоСЕ! Я думаю, что вы имеете в виду $2t+1\le n$, а не $2t+1
0
Ответить
флаг jp
ht332932
Спасибо, что указали на это. Именно это я и имел в виду.
0
Ответить
Рейтинг:1
Daniel S avatar Crypto
флаг ru
Daniel S

На ваш первый вопрос: $Ч(х)$ имеет степень не более $t$ при условии, что игроки генерируют $h_i$ степени $t$. $\лямбда_i$ являются константами и поэтому представляют собой линейную комбинацию многочленов степени $t$ и так степени в лучшем случае $t$.

По вашему второму вопросу: да, это необходимо. При умножении долей группа условно строит степень $2т$ полином произведения $q(x)=f_\alpha(x)\cdot f_\beta(x)$ с $2т+1$ коэффициенты. Игрок $я$ знает значение этого условного многочлена $ д (я) $, и мы знаем $д(0)$ можно записать в виде линейной комбинации $n$ из них путем отмены вклада коэффициентов более высокой степени. В частности, мы решаем следующую систему для $\{\lambda_i:1\le i\le n\}$ $$\влево(\начать{матрица} n^{2t} & (n-1)^{2t} & (n-2)^{2t} & \ldots & 2^{2t} & 1\ n ^ {2t-1} & (n-1) ^ {2t-1} & (n-2) ^ {2t-1} & \ldots & 2^{2t-1}& 1\ n^{2t-2} & (n-1)^{2t-2} & (n-2)^{2t-2} & \ldots & 2^{2t-2}& 1\ \vdots & \vdots & \vdots & \ddots & \vdots\ n & (n-1) & (n-2) & \ldotts & 2 & 1\ 1 & 1 & 1 & \ldotts & 1 & 1\ \конец{матрица}\справа)\влево(\начало{матрица} \lambda_{n}\lambda_{n-1}\lambda_{n-2}\vdots\lambda_2\lambda_1\end{matrix}\right)= \left(\begin{matrix} 0\0\0\vdots\0\1\end{matrix}\right) $$ и вывести это для $\лямбда_i$ что мы выздоравливаем $\sum_i\lambda_iq(i)=q(0)$. Чтобы быть разрешимой, эта система должна иметь по крайней мере столько столбцов, сколько строк, чтобы $n\ge 2t+1$. Обратите внимание, что мы можем указать $n-(2t+1)$ принадлежащий $\лямбда_i$ быть равным нулю и по-прежнему иметь разрешимую систему. Побуждая игроков с $\lambda_i\neq 0$ действовать как дилеры, чтобы делиться $ д (я) $ используя степень $t$ многочлен $h_i(x)$, группа может условно построить $H(x)=\sum\lambda_ih_i(x)$ что такое степень $t$ многочлен с $H(0)=q(0)=f_\alpha\cdot f_\beta(0)$.

0 + 0
флаг jp
ht332932
Большое спасибо за ваш полезный ответ. Правильно ли я понимаю, что постоянный член $\lambda_i$ равен базисному многочлену Лагранжа $\delta_i(0) = \prod_{j=1;j \ne i}^{n} \frac{0 - j }{i - j} = \prod_{j=1;j \ne i} \frac{-j}{i-j}$ или определяется иначе?
0
Ответить
Daniel S avatar
флаг ru
Daniel S
Да, эти две формулировки эквивалентны. Это можно доказать с помощью определителей Вандермонда.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.