RSA-Threshold-Decryption - Institut für Theoretische Informatik

Sei (t, n) ein Shamir-Threshold-Schema [3]. Dieses Schema kann durch eine polynomiale
Funktion ƒ(x) von Grad (t-1) höchstens. ƒ(x) kann durch jede Teilmenge B von „t-
Teilnehmern“ mit der Lagrange Interpolations-Formel wieder rekonstruiert werden:
( ) ( )
( x x j
x x − )
ƒ ƒ mod λ( N )
= ∑ ∏
i i
( x x )
j j , j i i −
P ∈Β P ∈P\ Β ≠ j
(1.1)
Berechnungen modulo λ(N) können durch Anwendung des Chinesischen-Reste-Satzes
erfolgen, da λ(N) = 2.p’.q’.
Multiplikative Inversen von (x
i
- x
j) existieren nur dann, wenn diese teilfremd zu{2, p´, q´}
sind. Diese Bedingung kann für mehr als zwei Teilenehmer nicht erfüllt werden.
Beispielsweise, es ist unmöglich, dass man drei verschiedene Koordinaten
(x
1, x
2, x
3) gleichzeitig wählen kann, die eine ungerade Zahl als Differenz haben. Ausweg
aus diesem Problem ist, sowohl die Funktion ƒ( x
i
) [wobei, i =1,....., n] als auch alle
Differenzen als gerade Zahlen (x i
- x j
) [wobei, i ≠ j ] darzustellen. Somit können alle
Berechnungen mit ganzen Zahlen erfolgen, die als Vektoren dargestellt werden können, wie
folgt:
a = (0 mod 2, a mod p´, a mod q´)
Daraus folgt, dass alle [wobei, i = 1,…, n] ungerade sein müssen. Aus diesem Grund muss das
Geheimnis als ƒ(-1) statt des üblichen Wertes
Wir betrachten den Nenner für (1.1)
∏
1
( xi
−x
j )
∏
= ∏
Pj∈P\
Β,
j ≠i
( xi
−x
j )
Pj∈Β, j≠i P j∈ P , j ≠i
( x
i
−x
j
)
Wir setzen
α
i
j∈
, j≠i( xi −x
j )
= ∏ P P und sehen, dass es nicht von der momentan aktive
Menge der Teilnehmer abhängt und es vom Dealer im Moment der Verteilung berechnet
werden kann.
So kann (1.1) als:
dargestellt werden.
ƒ( x )
ƒ ( x ) = ( − ) ( − ) mod λ( N )
∑
∏
i
i x
j , j i j , j i
j
i
i x j x x
α P ∈P\ Β ≠ P ∈Β ≠ j
P ∈Β
∏
2