Intercambio de secretos verificable públicamente

En criptografía , un esquema de intercambio de secretos es públicamente verificable (PVSS) si es un esquema de intercambio de secretos verificable y si cualquier parte (no solo los participantes del protocolo) puede verificar la validez de las acciones distribuidas por el distribuidor.

En el intercambio de secretos verificables (VSS), el objetivo es resistir a los actores maliciosos, como
(i) un distribuidor que envía acciones incorrectas a algunos o todos los participantes, y
(ii) participantes que envían acciones incorrectas durante el protocolo de reconstrucción, cf. [CGMA85].
En el intercambio de secretos verificables públicamente (PVSS), como lo introdujo Stadler [Sta96], es un objetivo explícito que no solo los participantes puedan verificar sus propias acciones, sino que cualquiera pueda verificar que los participantes recibieron las acciones correctas. Por lo tanto, se requiere explícitamente que (i) pueda verificarse públicamente.
— Berry Schoenmakers. Un sistema sencillo y públicamente verificable de intercambio de secretos y su aplicación a la votación electrónica.

El método presentado aquí según el artículo de Chunming Tang, Dingyi Pei, Zhuo Liu y Yong He no es interactivo y mantiene esta propiedad durante todo el protocolo.

Inicialmente

El esquema PVSS dicta un proceso de inicialización en el que:

Se generan todos los parámetros del sistema.
Cada participante debe tener una clave pública registrada.

Excluyendo el proceso de inicialización, el PVSS consta de dos fases:

Distribución

1. La distribución de las acciones secretas la realiza el distribuidor , que hace lo siguiente: ${\estilo de visualización s}$ ${\estilo de visualización D}$

El distribuidor crea para cada participante respectivamente. $s_{1},s_{2}...s_{n}$ ${\ Displaystyle P_ {1}, P_ {2}... P_ {n}}$
El distribuidor publica la acción cifrada para cada uno . $Estilo de visualización E_{i}(s_{i})}$ $Estilo de visualización P_{i}}$
El distribuidor también publica una cadena para mostrar que cada uno está encriptado. $\mathrm {prueba} _{D}$ $Estilo de visualización E_{i}}$ $estilo de visualización s_{i}}$

(nota: garantiza que el protocolo de reconstrucción dará como resultado el mismo . $\mathrm {prueba} _{D}$ ${\estilo de visualización s}$

2. Verificación de las acciones:

Cualquiera que conozca las claves públicas para los métodos de cifrado puede verificar los recursos compartidos. $Estilo de visualización E_{i}}$
Si una o más verificaciones fallan, el distribuidor falla y el protocolo se cancela.

Reconstrucción

1. Descifrado de las acciones:

Los participantes descifran su parte del secreto utilizando . $Estilo de visualización P_{i}}$ $estilo de visualización s_{i}}$ $Estilo de visualización E_{i}(s_{i})}$

(nota: aquí se puede permitir la tolerancia a fallos: no se requiere que todos los participantes logren descifrar siempre que un conjunto calificado de participantes logre descifrar ). $Estilo de visualización E_{i}(s_{i})}$ $estilo de visualización s_{i}}$

La liberación del participante más una cadena muestra que la parte liberada es correcta. $estilo de visualización s_{i}}$ $\mathrm {prueba} _{P_{i}}$

2. Puesta en común de las acciones:

Usando las cadenas para excluir a los participantes que son deshonestos o no pudieron descifrar . $\mathrm {prueba} _{P_{i}}$ $Estilo de visualización E_{i}(s_{i})}$
La reconstrucción se puede realizar a partir de las acciones de cualquier conjunto calificado de participantes. ${\estilo de visualización s}$

Protocolo Chaum-Pedersen

Un protocolo propuesto que demuestra : $\log _{_{g1}}h_{1}=\log _{_{g2}}h_{2}$

El probador elige un número aleatorio $r\in {\boldsymbol {\mathrm {Z} }}_{q^{*}}$
El verificador envía un desafío aleatorio $c\in _ {R}{\boldsymbol {\mathrm {Z} }}_{q}$
El probador responde con $s=r-cx(\mathrm {mod} \,q)$
El verificador comprueba y $\alpha _{1}=g_{1}^{s}h_{1}^{c}$ $\alpha _{2}=g_{2}^{s}h_{2}^{c}$

Denotemos este protocolo como: Una generalización de se denota como: donde como: y : $\mathrm {dleq} (g_{1},h_{1},g_{2},h_{2})$
$\mathrm {dleq} (g_{1},h_{1},g_{2},h_{2})$ ${\text{dleq}}(X,Y,g_{1},h_{1},g_{2},h_{2})$ $X=g_{1}^{x_{1}}g_{2}^{x_{2}}$ $Y=h_{1}^{x_{1}}h_{2}^{x_{2}}$

El probador elige un número aleatorio y lo envía . $r_{1},r_{2}\en Z_{q}^{*}$ $t_{1}=g_{1}^{r_{1}}g_{2}^{r_{2}}$ $t_{2}=h_{1}^{r_{1}}h_{2}^{r_{2}}$
El verificador envía un desafío aleatorio . $c\in _ {R}{\boldsymbol {\mathrm {Z} }}_{q}$
El proverbio responde con , . $s_{1}=r_{1}-cx_{1}(\mathrm {mod} \,q)$ $s_{2}=r_{2}-cx_{2}(\mathrm {mod} \,q)$
El verificador comprueba y $t_{1}=X^{c}g_{1}^{s_{1}}g_{2}^{s_{2}}$ $t_{2}=Y^{c}h_{1}^{s_{1}}h_{2}^{s_{2}}$

El protocolo Chaum-Pedersen es un método interactivo y necesita algunas modificaciones para poder usarse de forma no interactiva: reemplazar la función hash segura elegida aleatoriamente como valor de entrada. ${\estilo de visualización c}$ ${\estilo de visualización m}$

Referencias

Markus, intercambio de secretos verificables públicamente
Be1999, págs.