Вопросы о секретном обмене

Я хотел бы задать несколько вопросов о схеме обмена секретами Шамира и. Для начала я начну со следующей теоремы, определяющей интуицию всей теоремы.

$\textbf{Теорема:}$ Позволять $р$ быть простым, и пусть $\{(x_1,y_1), . . . ,(x_{t+1},y_{t+1})\}\subseteq\mathbb{Z}_p$ быть набором точек, $x_i$ значения все разные. Тогда есть уникальная степень-$t$ многочлен $ф$ с коэффициентами от $\mathbb{Z}_p$ что удовлетворяет $y_i \equiv_p f(x_i)$ для всех $я$ (Я бы добавил к теореме, где $s=f(0)$).

Как мы уже знаем в $к$ снаружи $n$ схема разделения секрета, каждый агент разделяет секрет на $n$ части однако только $к=т+1$ части (многочлена степени $t$) необходимы, если мы хотим вычислить секрет. Предположим, что $f$ полиномиальная функция такая, что

$$f(x)=a_tx^t+a_{t-1}x^{t-1}+\cdots+a_1x+a_0=s+\sum_{i=1}^ta_ix^i,\quad\text{ такие, что $y_i \equiv_p f(x_i)$ и $s=f(0)$}\quad (1)$$

1. Когда мы говорим, что дилер делится секретом, означает ли это, что каждый игрок берет пару $(x_i,f(x_i))$ такой, что $y_i \equiv_p f(x_i)$ от $n$-пары, а именно $i=1,2,3...,n$? Если у нас больше пар точек, чем нужно по теореме для построения полиномиальной функции $(1)$ что станет с остальными? Я не понимаю.
2. Все эти $t+1$ пары выбираются случайным образом для восстановления секрета на этапе реконструкции или они вступают в сговор? Может ли кто-нибудь показать математические формулировки того, что $f$ выбран для реконструкции $s$ на основании теоремы?

Если хочешь $к$ пользователи могут реконструировать $s$ и не меньшее количество пользователей, чтобы иметь возможность узнать что-либо о секрете, необходимо иметь полином $f$ степени $k-1.$

Дилер дает ровно одну акцию $(x_i,f(x_i))$ пользователю $я,$ за $i=1,2,\ldots,n$.

Это все, что получает пользователь. На самом деле не имеет значения, какой пользователь получает какую долю.

Так долго как $p-1\geq n,$ $n$ пользователей можно поддерживать. Позволять $S=\{x_1,\ldots,x_n\}$ быть точками, которые определяют используемые в настоящее время акции.

«Оставшиеся акции» можно будет использовать позже, если присоединятся новые люди, так что, возможно, неплохо иметь $р$ заметно больше, чем $n,$ текущее количество пользователей.

Обратите внимание, что мы предполагаем, что дилер является доверенной третьей стороной и что пользователи фактически предоставят правильную долю, когда дилер попросит об этом, в противном случае ничего не будет работать, и необходимы более сложные схемы.

Это также применимо, если $к$ пользователи могут сами собраться для реконструкции, они не должны врать о своих акциях и если точно один из $к$ пользователи нечестны, он может узнать доли остальных пользователей, что означает, что остальные не могут правильно вычислить секрет, но он может, если оставшиеся $к-1$ пользователи честны.

Хотя я не уверен в этом, и это не полный ответ, и я надеюсь, что если кто-нибудь увидит, что я пишу, он / она сможет это проверить. Если игроки $n$, $(к,п)$ схема обмена секретами означает, что я разделю $s$ в $n$ части, такие, что многочлен $f$ является полиномиальной функцией степени $t$ который принимает в качестве входных данных $s$ и $t$ и с процессом $y_i\equiv_p f(x_i)$ возвращает t+1 пар. В эквивалентном выражении

$$\left\{f(s,t)|\text{$s=f(0)$ и $y_i\equiv_p f(x_i)$ для $i=\{1,2,...,t+ 1\}$}\справа\}$$

Но остальные расщепляющиеся части $s$ которые считаются $j=n-(t+1)$ куда $t<2n-1$ Я также понимаю, как они используются. Я имею в виду, что за этим стоит причина... которую я не могу понять....