40、分布式阈值RSA与自适应安全阈值签名方案解析

分布式阈值RSA与自适应安全阈值签名方案解析

1. 分布式筛选协议的鲁棒性

为了抵抗恶意参与者，我们可以采用“和转多项式”算法。当获得 $p$ 的多项式共享后，有 $\sum_{j\in S\setminus{0}} \lambda_{S_{0,j}} = 1$，其中 $\lambda_{S_{0,j}}$ 表示第 $j$ 个服务器的拉格朗日系数。因此，如果 $f(i)$ 表示服务器 $i$ 的多项式份额，服务器 $i$ 可以将其新的多项式份额设置为 $f(i) - 1$。因为若 $p = f(0) = \sum_{j\in S\setminus{0}} \lambda_{S_{0,j}}f(j)$，则：
[
p - 1 = f(0) - 1 = \sum_{j\in S\setminus{0}} \lambda_{S_{0,j}}f(j) - \sum_{j\in S\setminus{0}} \lambda_{S_{0,j}} = \sum_{j\in S\setminus{0}} \lambda_{S_{0,j}}(f(j) - 1)
]
接下来，最大公约数（GCD）协议也可以应用于秘密值 $\phi = p - 1$ 的多项式共享。

2. 引理 1 的证明

已知 $\phi(N) = N - p - q + 1 = (N - 1) - (p - 1) - (q - 1)$，所以 $(N - 1) - \phi(N) = (p - 1) + (q - 1)$。
由此可得：
[
\gcd(N - 1, \phi(N)) = \gcd((N - 1) - \phi(N), \phi(N)) = \gcd(