Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Diese beiden Gleichungen können durch das Commitment des Gebers an die<br />
Koeffizienten überprüft werden, es muß nämlich für jeden Anteil (si, s ′ i ) gelten,<br />
daß<br />
�t−1<br />
j=0<br />
E ij<br />
j = (g s h s′<br />
�t−1<br />
)<br />
j=1<br />
(g aj h a ′ j) ij<br />
= g s+� t−1<br />
j=1 ajij h s′ + �t−1 j=1 a′ jij = g f(i) h f ′ (i)<br />
= g si h s ′ i (mod q).<br />
Rekonstruktion des Geheimnisses Die Rekonstruktion von s aus den si<br />
verläuft genau wie beim Shamir-Verfahren. Auf diese Weise könnten die Teilnehmer<br />
auch s ′ aus den s ′ i berechnen, aber dies ist keine wertvolle Information.<br />
Anmerkung zur Bedeutung von s ′ Das zweite ” Geheimnis“ s ′ dient dazu,<br />
die informationstheoretische Sicherheit (nach Shannon) von s zu erhalten.<br />
Es wirkt dabei wie ein Blendfaktor. Wenn man diese Forderung nicht erhebt,<br />
kann man das ähnlichere, aber einfachere Verfahren von Feldman [Fel87] verwenden,<br />
in dem g s bekannt wird. Damit ist s nur noch dadurch sicher, daß es<br />
schwierig ist, diskrete Logarithmen zu berechnen. Beispielsweise kann so auch<br />
das niederwertigste Bit von s nicht mehr geheim gehalten werden.<br />
Die Verifizierbarkeit der Teilgeheimnisse hängt davon ab, daß der Geber bei<br />
seinem Commitment nicht betrügen kann. Dazu wäre er in der Lage, wenn er<br />
den diskreten Logarithmus log g h berechnen könnte. In diesem Fall erlangt der<br />
Geber die Möglichkeit, Teilnehmern fehlerhafte Anteile unterzuschieben. Die<br />
Vertraulichkeit des Geheimnisses bleibt davon jedoch unbeeinflußt. Ein Teilnehmer<br />
(oder Außenstehender) kann durch Kenntnis von log g h keine Rückschlüsse<br />
auf das Geheimnis ziehen, daß wie beim reinen Shamir-Verfahren informationstheoretisch<br />
sicher bleibt.<br />
2.4 Weitergehende Eigenschaften von Secret-Sharing-<br />
Verfahren<br />
Abschließend wollen wir noch einmal die bisher vorgestellten und weitere Eigenschaften<br />
von Secret-Sharing-Verfahren zusammenfassen und damit einen Überblick<br />
über die in der Literatur verwendete Terminologie sowie die verschiedenen<br />
Anforderungen an die Verfahren bieten.<br />
• Ein Secret-Sharing-Verfahren heißt perfekt, wenn sich aus der Kenntnis<br />
einer für die Rekonstruktion unzureichender Menge an Teilgeheimnissen<br />
keinerlei Informationen über das Geheimnis ableiten lassen, die man<br />
nicht auch ohne Kenntnis eines einzigen Teilgeheimnisses hätte. Beim � � t<br />
n -<br />
Shamir-Verfahren bedeutet dies, daß trotz t−1 bekannter Stützstellen weiterhin<br />
alle denkbaren Achsenabschnitte des geheimen Polynoms möglich<br />
und gleichwahrscheinlich sind.<br />
13