Может ли это быть безопасной многосторонней схемой обмена секретами?

Предположим, что $у$ является равномерной случайной величиной, которая определена над полем (или группой или абелевой группой) $Y$. Предположим, что существуют $N=\{1,2,\cdots,i\cdots,N\}$ агенты и только один из них, скажем $я$, знает случайную величину $у$. Она хочет поделиться секретом с другим $|N|-1$ игроки. Таким образом, мы могли бы предположить, что игрок $я$ мог найти $x_1,x_2,\cdots,x_{K}$, куда $К=|Н|-1$, i.i.d. равномерные случайные величины по пространству $Y$ и $a_1,a_2,...,a_k$ ненулевые константы, такие что $$\sum_{j\neq i}^Na_jx_j=y?$$

Таким образом, каждый игрок $j=-i$ будет знать часть a_jx_j и только если все они сделают перекрестную связь и вычислят $a_1x_1\oplus_Ya_2x_2\oplus_Y\cdots\oplus_Ya_kx_k$ потом все вместе научимся $у$. Может ли это быть схема обмена секретами, где однородная случайная величина $Y$ может быть записана как линейная комбинация семейства i.i.d. равномерные случайные векторы, которые также принадлежат $Y$?

Если моя идея не в том, как кто-то может обогатить ее, чтобы она стала полной, и нужно будет применить многостороннее вычисление, чтобы игроки получили секрет $у$ только если они передают всем им свою личную информацию, которую они получили от агента $я$?

В чем может быть слабость такой схемы и как мы можем противостоять ей? Есть ли у этого границы?

P.S. я не знаю, нужно ли писать расчет следующим образом

$$(a_1\otimes_Yx_1)\oplus_Y(a_2\otimes_Yx_2)\oplus_Y\cdots\oplus_Y(a_k\otimes_Yx_k)$$

Вы смотрели на Шамир поделился секретом?

В вашем случае вроде все $К$ игроки должны реконструировать $у$. Я думаю, что это правда, потому что если один игрок $j$ решает не делиться своей ценностью $a_jx_j$, то игроки сложили бы свои значения и получили бы:

$$ \sum_{i\neq j,i=1}^K a_ix_i = y - a_jx_j$$

С $a_jx_j$ является (надеюсь) равномерно случайным, это не дает им никакой информации о $у$.

Похоже, вы включили плеер $я$, кто знает цену $у$непосредственно, в наборе игроков. Из вышеизложенного это означает, что все игроки должны сотрудничать, включая игрока. $я$, восстановить $у$. Но если все игроки решат сотрудничать, им не нужны секретные доли, так как игрок $я$имеет секретное значение. Вместо использования схемы обмена секретами игрок $я$может сначала ничего не отправлять, а потом когда все согласятся восстановить секретное значение $у$, затем игрок $я$можно просто отправить всем значение $у$.

Обмен секретами Шамира может дать вам $t$-снаружи-$К$схема, так что плеер $я$может вычислять значения $x_i$дать каждому игроку так, чтобы если хотя бы $t$игроки сотрудничают, эти игроки могут вычислить значения для $a_i$так что сумма $a_ix_i$для всех взаимодействующих игроков будет равно $у$.

Шамир делится секретом с $т=К$очень похоже на то, что вы описали, с той лишь разницей, что нет $a_i$и $x_i$разрешено быть $0$. Для этой схемы вы должны выбрать равномерно случайный $x_i$для всех $я$кроме $я=К$. Затем установите

$$ x_K = y - \sum_{i=1}^{K-1}x_i$$

Тогда любой набор $К-1$секретные значения равномерно случайны и не зависят от $у$, что, по сути, является лучшей гарантией безопасности, на которую вы можете надеяться.

Из этих значений $x_i$, если вы хотите, чтобы схема напоминала ваше первоначальное предложение, вы можете выбрать случайный ненулевой $x_i'$, и установите $a_i = x_i'^{-1}x_i$. На самом деле каждый игрок может сделать это сам, так что это не повлияет на безопасность. Но я не вижу, какую функциональность он вам дает.