超级会员免费看
Mt. Random: 多层随机性信标的全面解析
1. 对抗与通信模型
我们关注抵御恶意静态对手的安全性。这种对手可能会任意偏离协议,但会在执行开始前选定要破坏的参与方。对手最多破坏 $(n - ℓ)/2$ 个参与方,其中 $\ell > 0$ 是一个整数,可视为 $n$ 的一小部分。
为简化,我们假设可访问经过认证的公告板。一旦参与方将消息发布到公告板,该消息就不可更改,并能立即被其他参与方获取,其他参与方还能验证消息的真实性。公告板可用基于区块链的公共账本、公钥基础设施和数字签名替代,但对这种场景下出现的特殊情况进行建模会引入许多非本文重点的技术细节。
我们假设通信是同步的,即一轮中发送(或发布到公告板)的消息保证在下一轮被所有诚实参与方接收。通过标准技术(如等待收到多数有效份额),我们的协议可以扩展到部分同步设置(即存在对手控制但有限的通信延迟)。
2. 打包 Shamir 秘密共享
秘密共享允许将一个秘密分配给 $n$ 个参与方 $P_1, \cdots, P_n$,为每个参与方提供一份份额,只有特定的参与方子集能通过汇集他们收到的份额来重建秘密。
在 $Z_q$($q$ 为素数)上的 $(t, ℓ)$ - 打包 Shamir 秘密共享中,秘密是一个向量 $(s_0, \cdots, s_{\ell - 1}) \in Z_q^{\ell}$。为共享这个秘密,分发者选择 $f \in Z_q[X]_{\leq t + \ell - 1}$,使得对于 $j \in [0, \ell - 1]$ 有 $f(-j) = s_j$,并将评估值 $\sigma_i := f(i)$ 作为份额发送给参与方 $P_i
订阅专栏 解锁全文
扫一扫
1302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
