26、拟阵与理想秘密共享的差距

拟阵与理想秘密共享的差距

1. 引言

1.1 理想秘密共享方案与拟阵

近30年前，Shamir和Blakley提出了秘密共享方案，如今该方案在许多加密协议中得到广泛应用。在这些方案中，存在一个有限的参与方集合，以及这些参与方子集的集合A（称为访问结构）。针对A的秘密共享方案是一种由分发者将秘密值的份额分发给参与方的方法，需满足两个条件：一是A中的任何子集都能从其份额中重建秘密；二是不在A中的任何子集在信息论意义上无法揭示关于秘密的任何部分信息。显然，访问结构A必须是单调的，即A中集合的所有超集也都在A中。

Ito、Saito和Nishizeki证明，对于每个单调访问结构都存在秘密共享方案。不过，他们的证明虽具建设性，但得到的方案效率极低，份额的比特长度与秘密的比特长度之比在参与方数量上呈指数级增长。然而，一些访问结构允许使用更短份额的秘密共享方案。

若每个参与者的份额都取自与秘密相同的域，则该秘密共享方案被称为理想的。如前人所证，这是份额域的最优大小。能由理想秘密共享方案实现的访问结构称为理想访问结构。

精确刻画理想访问结构是一个长期未决的问题，它与组合学和信息论有着有趣的联系。Brickell和Davenport证明，每个理想访问结构都由拟阵诱导，这为访问结构成为理想结构提供了必要条件。而Brickell的线性构造给出了充分条件，即如果一个访问结构由某个有限域上可表示的拟阵诱导，那么它就是理想的。但必要条件和充分条件之间存在差距。Seymour证明，由Vamos拟阵诱导的访问结构不是理想的，Matúš也给出了其他由拟阵诱导的非理想访问结构的例子。此外，Simonis和Ashikmin为非Pappus拟阵诱导的访问结构构造了理想秘密共享