Рейтинг:1

Разделить закрытый ключ без знания держателем закрытого ключа осколков ключа?

флаг kz

Возможно ли разделить закрытый ключ на осколки и распределить осколки среди держателей ключей таким образом, чтобы (1) для восстановления закрытого ключа требовалось k из n осколков ключа и (2) владелец закрытого ключа не знал, что это за осколки ключа ?

Я думаю о ситуации, когда нескольким держателям ключей доверяют хранить в секрете свой осколок ключа. Затем, если происходит утечка осколка ключа, мы хотим знать, кто виноват во всем. В этом сценарии, если первоначальный владелец закрытого ключа также знает осколки ключа, мы не можем знать, кто слил осколки ключа.

Alan Reed avatar
флаг kz
Цель воссоздания закрытого ключа — расшифровать секрет, который ранее был зашифрован. Не ищет схему подписи с несколькими подписями.
kelalaka avatar
флаг in
ключевое слово [без дилера] (https://crypto.stackexchange.com/search?q=%5Bsecret-sharing%5D+no+dealer), как этот [обмен секретами Шамира без дилера](https:// crypto.stackexchange.com/q/84143/18298) и этот [Обмен секретами - без дилера, модифицируемый, проверяемый] (https://crypto.stackexchange.com/q/13185/18298)
Рейтинг:3
флаг es

Позволять $Е$ быть безопасной эллиптической кривой, и $G$ является базовой точкой с порядком $\ell$.

  • $(п,п)$ схема:

    $n$ каждый из держателей ключей случайным образом выбирает закрытый ключ $x_i$, вычислить открытый ключ $X_i = [x_i]G$ и хеш-обязательство $H(X_i)$.

    Владельцы ключей сначала обмениваются хеш-обязательствами, и только после того, как все хэш-обязательства будут переданы, они делятся своими открытыми ключами друг с другом.

    Затем секрет шифруется с использованием ECIES с общим открытым ключом. $\sum_{i=1}^n X_i$.

    Затем секрет может быть расшифрован только в том случае, если все держатели ключей соберутся вместе, чтобы объединить свои закрытые ключи для создания общего закрытого ключа. $$\sum_{i=1}^n x_i \bmod \ell$$ соответствующий совместному открытому ключу.

    Если кто-то сливает свой закрытый ключ, можно легко проследить, какому открытому ключу соответствует этот закрытый ключ.

  • $(п,к)$, $к$-пороговая схема:

    Для каждого возможного выбора $к$ из $n$ приватные ключи (количество полных возможностей будет биномиальным коэффициентом$\binom{n}{k}$), зашифровать секрет с помощью совместного открытого ключа, образованного суммированием этой комбинации открытых ключей.

Координатор может быть использован для сокращения количества коммуникаций, необходимых между сторонами.Все сообщения, отправляемые координатору, должны быть подписаны хорошо зарекомендовавшим себя общедоступным коммуникационным ключом каждого владельца закрытого ключа (это не тот же самый открытый ключ, который создается для каждого владельца закрытого ключа во время этой схемы). Ретранслируемая информация (такая как ретранслируемые обязательства и ретранслируемые открытые ключи) сохраняет подпись стороны, которая ее создала, так что получатели не должны доверять координатору.

Ключевой этап согласования протокола потребует в общей сложности $5n$ коммуникации следующим образом:

  1. Координатор генерирует сообщение $м$ содержащий одноразовый номер, который идентифицирует этот конкретный вызов протокола и отправляет $м$ каждому владельцу закрытого ключа. Все сообщения, переданные любой стороной после этого момента, должны включать $м$ так что сообщения не могут быть смешаны и согласованы между вызовами протокола. Все держатели закрытых ключей должны помнить каждый использованный одноразовый номер, чтобы избежать предоставления двух разных ответов для одного и того же значения одноразового номера (на одном и том же этапе протокола).

  2. Все держатели закрытых ключей отправляют свои обязательства координатору

  3. Координатор передает набор обязательств каждому держателю приватного ключа

  4. Каждый владелец закрытого ключа передает свой открытый ключ координатору

  5. Координатор передает набор открытых ключей каждому держателю закрытого ключа.

Когда владелец секрета готов зашифровать секрет, он будет зашифрован совместным открытым ключом и передан всем $n$ владельцев закрытых ключей, что требует дальнейшего $n$ коммуникации. Как и во всех предыдущих шагах, сообщение $м$ содержащий одноразовый номер, включен для того, чтобы связать эту связь с этим конкретным вызовом протокола.

kelalaka avatar
флаг in
Кроме того, для этого требуется анализ затрат на связь, как [Марк сделал здесь] (https://crypto.stackexchange.com/a/84214/18298).
kelalaka avatar
флаг in
В этом случае у вашей схемы есть доверенный центр. Если вы посмотрите на ответ Марка, пока секретный ключ не понадобится для построения, нет держателя секрета. Все держатели одинаковые. Это требует распределения всех коммитов... Разве это не противоречит вашей первой (n,n)-схеме?
knaccc avatar
флаг es
@kelalaka Хорошо, я подробно рассказал, как протокол будет работать для решения этой проблемы.
Aman Grewal avatar
флаг gb
Для схемы $(n, k)$ обмен секретом Шамира может иметь больше смысла, чем шифрование секрета ключами $\binom{n}{k}$.
knaccc avatar
флаг es
@AmanGrewal знаете ли вы о протоколе Shamir Secret Sharing без дилера, который гарантирует, что публично проверяемые обязательства по каждой акции известны?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.