Безопасные многосторонние вычисления стали проще — вопросы

Схема, на которую я ссылаюсь, взята из этого бумага.

Секрет $s\in D$ получается путем разбиения s на случайную сумму. Имеем (на самом деле линейное) для любого $к$ это $к$-снаружи-$к$ схема обмена секретами: выберите $kâ1$ акции, скажем $s_1,s_2,â¯,s_{Kâ1}$ от $Д$ и разреши $s_k=sâ\sum_{i=1}^{kâ1}s_i$ куда $s_i$ обозначает $я$-ая доля.

$\textbf{Лемма:}$ Вышеуказанная схема является $к$-снаружи-$к$ схема обмена секретами.

$\textbf{Доказательство:}$ Все доли вместе взятые, очевидно, определяют секрет, отсюда и совокупность всех $к$ игроки квалифицированы. Любой набор $к-1$ игроки, скажем $p_i$ пропавших без вести невежественны, потому что эти $к-1$ акции $(s_1,s_2,\cdots,s_{i-1},s_{i+1},\cdots,s_{k})$ независимы и равномерно случайны, не зависят от $s$. Это следует из того, что при любом фиксированном $s$ и любая фиксированная отсутствующая доля $s_i$, отображение из $(s_1,s_2,\cdots,s_{k-1})$ к $(s_1,s_2,\cdots,s_{i-1},s_{i+1},\cdots,s_{k})$ является один к одному. Акции можно смоделировать, создав набор однородных и независимых акций.

Позволять $к$ — количество максимальных наборов в секретной структуре $\Сигма$, а именно $\Sigma=\{T_1,T_2,\cdots,T_k\}$ и разреши $T_i^c=P-\{T_i\}$, является дополнением $T_i$ и $P$ весь набор агентов. Таким образом, мы можем реализовать простую следующую проверяемую схему обмена секретами, которая имеет два измерения: совместное измерение и реконструкцию.

$\textbf{Общий параметр:}$

1. Поделись секретом $s$ по схеме г. $к$-снаружи-$к$ совместное использование секрета, как в лемме.
2. За каждую акцию $s_i$: Каждая пара игроков в $P-\{T_i^c\}$ проверить (по защищенному каналу) принятые ими значения для $s_i$ дать согласие. Если обнаруживается какое-либо несоответствие, игроки жалуются, используя (возможно, имитацию) трансляции.
3. Дилер транслирует все акции, по которым были предъявлены претензии, и игроки принимают эти доли. Если дилер отказывается от какой-либо из этих трансляций, протокол прерывается.

$\textbf{Реконструировать измерение:}$

1. Все игроки отправляют все свои доли (в двустороннем порядке) всем другим игрокам. Никакой трансляции не требуется.
2. Каждый игрок восстанавливает (локально) каждую из k долей $s_1,...,s_k$ и складывает их, чтобы получить секрет $s = s_1 \oplus s_2\oplus\cdots\oplus s_k$.

Реконструкция доли $s_i$ (то же самое для каждого игрока): Пусть $v_j$ за $j \in T_i^c$ быть значением (для $s_i$ ) отправлено игроком $p_j$ . Возьмите уникальное значение $v$ такой, что существует $А\в\Дельта$ с $v_j=v$ для всех $j\in T_i^c - A$.

у меня есть следующие вопросы

1. Приведенная выше лемма означает, что если вы пропустите одну акцию из $к$ части акций, которые распределяются, вы не можете узнать с?
2. Лемма утверждает, что: «Доли можно смоделировать, создав набор однородных и независимых долей». Основано ли это предложение на каком-то известном результате линейной алгебры?
3. Может ли кто-нибудь объяснить немного больше пули $2$ формировать разделяемое измерение протокола и реконструкцию доли $s_i$ из измерения реконструкции протокола?
4. Можно ли использовать эту схему в $t$-снаружи-$к$ схема обмена секретами?