超级会员免费看
可加同态 UC 承诺的复杂性
1. 协议概述
在承诺方案中,存在发送方(Ps)和接收方(Pr)。协议ΠHCOM的承诺(Commit)阶段,当发送方Ps要对γ条消息进行承诺时,其初始部分的执行方式在图的左侧有所展示。对于所有的j ∈ J(J = {T + 1, …, T + γ + 1})和i ∈ [n],接收方Pr对于编码向量rj的码字tj的每个条目,恰好持有两个份额中的一个。
打开(Open)过程描述了发送方Ps如何打开之前承诺值的线性组合。具体步骤如下:
1. 设C为要打开的索引集合,αc(c ∈ C)为相应的系数。
2. 发送方计算r0 = ∑c∈C αc·r0c,r1 = ∑c∈C αc ·r1c,以及c0 = ∑c∈C αc ·c0c,并将这些值发送给接收方。
3. 接收方收到这三个值后,计算码字t ← C(r0 + r1),并从c0和t计算出c1。
4. 接收方还计算w = ∑c∈C αc · wc,并验证r0、r1、c0和c1是否与这些值一致。如果一切匹配,则接收r0 + r1作为打开的值。
如果发送方Ps在ΠHCOM的承诺阶段诚实行为,那么该方案是UC安全的,并且由于代码C的线性和加法秘密共享的线性,它也是可加同态的。但如果发送方Ps被恶意破坏,接收方Pr持有的份额可能不是有效码字,此时在承诺时承诺的值就未定义。
2. 优化措施
2.1 与[CDD + 15]的对比
[CDD + 15]描述了两种承诺方案,基本方案和同态版本。在这两种方案中,为处理发送正确份额的问题,要求底层代码C(参数为[n, k, d])的最小距离d ≥ 2s + 1,这样承诺的值总是被
订阅专栏 解锁全文
扫一扫
749
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
