78、多层级随机信标技术解析

多层级随机信标技术解析

1. 对抗与通信模型

在考虑安全问题时，我们主要针对恶意静态对手。这种对手可能会任意偏离协议，但在协议执行开始前就确定要攻击的参与方。对手最多能控制 $(n - ℓ)/2$ 个参与方，其中 $\ell$ 是一个大于 0 的整数，通常认为它是 $n$ 的一小部分。

为了简化分析，我们假设存在一个经过认证的公告板。一旦某个参与方在公告板上发布消息，该消息就不可更改，并且其他所有参与方都能立即获取，同时还能验证消息的真实性。这样的公告板可以由基于区块链的公共账本、公钥基础设施和数字签名来替代。

我们采用同步通信模型，即一轮中发送（或发布到公告板）的消息，保证在下一轮被所有诚实的参与方接收。通过标准技术，我们的协议也可以扩展到部分同步的环境中，例如等待接收到大多数有效份额。

2. 打包 Shamir 秘密共享

秘密共享是一种将秘密分配给 $n$ 个参与方 $P_1, \cdots, P_n$ 的方法，每个参与方会得到一个份额。只有特定的参与方子集才能通过汇集他们收到的份额来重建秘密。

在 $(t, ℓ)$ - 打包 Shamir 秘密共享中，秘密是一个向量 $(s_0, \cdots, s_{\ell - 1}) \in Z_q^{\ell}$（$q$ 为素数）。为了共享这个秘密，分发者会选择一个多项式 $f \in Z_q[X]_{\leq t + \ell - 1}$，使得 $f(-j) = s_j$（$j \in [0, \ell - 1]$），并将 $σ_i := f(i)$ 作为份额发送给参与方 $P_i$。这里假设 $q \geq n + \ell$，以确保秘密的评估点 $-j$ 和份额的