Intercambio de secretos verificables

En criptografía , un esquema de intercambio de secretos es verificable si se incluye información auxiliar que permite a los jugadores verificar que sus acciones son consistentes. Más formalmente, el intercambio de secretos verificable garantiza que, incluso si el distribuidor es malicioso, existe un secreto bien definido que los jugadores pueden reconstruir más tarde. (En el intercambio de secretos estándar, se supone que el distribuidor es honesto). ^[1] El concepto de intercambio de secretos verificable (VSS) fue introducido por primera vez en 1985 por Benny Chor , Shafi Goldwasser , Silvio Micali y Baruch Awerbuch . ^[2]

En un protocolo VSS, el jugador distinguido que desea compartir el secreto se denomina "distribuidor". El protocolo consta de dos fases: una fase de intercambio y una fase de reconstrucción.

Reparto: inicialmente, el crupier mantiene el secreto como entrada y cada jugador tiene una entrada aleatoria independiente. La fase de reparto puede constar de varias rondas. En cada ronda, cada jugador puede enviar mensajes privados a otros jugadores y también puede transmitir un mensaje. Cada mensaje enviado o transmitido por un jugador está determinado por su entrada, su entrada aleatoria y los mensajes recibidos de otros jugadores en rondas anteriores.

Reconstrucción: En esta fase cada jugador proporciona su vista completa de la fase de compartición y se aplica una función de reconstrucción que se toma como salida del protocolo.

Una definición alternativa dada por Oded Goldreich define VSS como un protocolo multipartito seguro para calcular la funcionalidad aleatoria correspondiente a algún esquema de intercambio de secretos (no verificable). Esta definición es más sólida que las otras definiciones y es muy conveniente de usar en el contexto de la computación multipartita segura general.

El intercambio de secretos verificable es importante para la computación multipartidaria segura . La computación multipartidaria se logra generalmente compartiendo en secreto las entradas y manipulándolas para calcular alguna función. Para manejar adversarios "activos" (es decir, adversarios que corrompen nodos y luego los hacen desviarse del protocolo), el esquema de intercambio de secretos debe ser verificable para evitar que los nodos que se desvían del protocolo se salgan del protocolo.

El plan de Feldman

Un ejemplo comúnmente utilizado de un esquema VSS simple es el protocolo de Paul Feldman, ^[3] que se basa en el esquema de intercambio de secretos de Shamir combinado con cualquier esquema de cifrado que satisfaga una propiedad homomórfica específica (que no necesariamente es satisfecha por todos los esquemas de cifrado homomórficos ).

La siguiente descripción da una idea general, pero no es segura tal como está escrita. (Tenga en cuenta, en particular, que el valor publicado g ^s filtra información sobre el secreto s del distribuidor ).

En primer lugar, se elige públicamente como parámetro del sistema un grupo cíclico G de orden primo q , junto con un generador g de G . El grupo G debe elegirse de forma que sea difícil calcular logaritmos discretos en este grupo. (Normalmente, se toma un subgrupo de orden q de ( Z / p Z ) ^× , donde q es un primo que divide a p − 1 .)

El distribuidor calcula entonces (y mantiene en secreto) un polinomio aleatorio P de grado t con coeficientes en Z q , de modo que P (0) = s , donde s es el secreto. Cada uno de los n accionistas recibirá un valor P (1), ..., P ( n ) módulo q . Cualquier accionista t + 1 puede recuperar el secreto s utilizando la interpolación polinómica módulo q , pero cualquier conjunto de como máximo t accionistas no puede. (De hecho, en este punto cualquier conjunto de como máximo t accionistas no tiene información sobre s .)

Hasta aquí, este es exactamente el esquema de Shamir. Para que estas acciones sean verificables, el distribuidor distribuye los compromisos según los coeficientes de P módulo q . Si P ( x ) = s + a ₁x + ... + a _t x ^t , entonces los compromisos que deben entregarse son:

c ₀ = g ^s ,
c ₁ = g ^{a ₁} ,
...
c _t = g ^{a _t} .

Una vez que se dan estos datos, cualquier parte puede verificar su parte. Por ejemplo, para verificar que v = P ( i ) módulo q , la parte i puede verificar que

$g^{v}=c_{0}c_{1}^{i}c_{2}^{i^{2}}\cdots c_{t}^{i^{t}}=\prod _{j=0}^{t}c_{j}^{i^{j}}=\prod _{j=0}^{t}g^{a_{j}i^{j}}=g^{\sum _{j=0}^{t}a_{j}i^{j}}=g^{P(i)}$ .

Este esquema es, en el mejor de los casos, seguro contra adversarios con limitaciones computacionales, a saber, la imposibilidad de calcular logaritmos discretos. Pedersen propuso más tarde un esquema ^[4] en el que no se revela información sobre el secreto ni siquiera con un distribuidor con poder computacional ilimitado.

El plan de Benaloh

Una vez que se distribuyen n acciones a sus titulares, cada titular debería poder verificar que todas las acciones son colectivamente t -consistentes (es decir, cualquier subconjunto t de n acciones producirá el mismo polinomio correcto sin exponer el secreto).

En el esquema de compartición secreta de Shamir, las participaciones son t -consistentes si y sólo si la interpolación de los puntos produce un grado polinomial como máximo d = t − 1 . $s_{1},s_{2},...,s_{n}$ $(1,s_{1}),(2,s_{2}),...,(n,s_{n})$

Con base en esa observación, se puede demostrar que el protocolo de Benaloh permite a los accionistas realizar la validación requerida y al mismo tiempo verificar la autenticidad e integridad del distribuidor.

Una segunda observación es que, dado que el grado de la suma de dos polinomios F y G es menor o igual a t , o bien los grados de F y G son menores o iguales a t , o bien los grados de F y G son mayores que t . Esta afirmación es evidente debido a la propiedad homomórfica de la función polinómica, ejemplos:

Caso 1:

Estilo de visualización f_{1}=3x

, ,

Estilo de visualización f_{2}=11x^{6}}

{\estilo de visualización t=6}

caso 2:

Estilo de visualización f_{1}=18x^{7}}

, ,

f_{2}=-18x^{7}

{\estilo de visualización t=6}

el caso que cancelamos:

Estilo de visualización f_{1}=2x^{2}+3x^{3}}

, ,

Estilo de visualización f_{2}=x+x^{7}}

{\estilo de visualización t=6}

Prueba interactiva:
Los siguientes 5 pasos verifican la integridad del distribuidor ante los accionistas:

El distribuidor elige el polinomio P y distribuye acciones (según el esquema de distribución secreto de Shamir ).
El distribuidor construye un número muy grande ( k ) de polinomios aleatorios de grado t y distribuye acciones. $P_{1},...,P_{k}$
El accionista elige un subconjunto aleatorio de m < k polinomios.
El distribuidor revela las partes de los m polinomios elegidos y las sumas de las k − m sumas restantes y luego también comparte el resultado. $P_{i_{1}},...,P_{i_{m}}$ $P+\textstyle \sum _{j={m+1}}^{k}P_{j}$
Cada accionista o verificador verifica que todos los polinomios revelados son de grado t , y corresponden a su propia parte conocida.

El secreto permanece seguro y sin revelar.

Estos 5 pasos se realizarán en una pequeña cantidad de iteraciones para lograr un resultado de alta probabilidad sobre la integridad del distribuidor.

Diagnóstico 1: Debido a que el grado del polinomio es menor o igual a t y debido a que el Dealer revela los otros polinomios (paso 4), el grado del polinomio P debe ser menor o igual a t (segundo caso de observación 1, con alta probabilidad cuando estos pasos se repiten en diferentes iteraciones). $P+\textstyle \sum _{j={m+1}}^{k}P_{j}$ $P_{i_{1}},...,P_{i_{m}}$

Diagnóstico 2: Uno de los parámetros del problema era evitar exponer el secreto que estamos intentando verificar. Esta propiedad se mantiene mediante el uso del homomorfismo algebraico para realizar la validación. (Un conjunto de polinomios aleatorios de grado t como máximo junto con un conjunto de sumas de P y otros polinomios de grado t como máximo no proporciona información útil sobre P ).

Elecciones con voto secreto

El intercambio de secretos verificables se puede utilizar para construir sistemas de votación auditables de extremo a extremo .

Utilizando la técnica de intercambio de secretos verificables se puede satisfacer el problema electoral que se describirá aquí.

En el problema de las elecciones, cada votante puede votar 0 (en contra) o 1 (a favor), y la suma de todos los votos determinará el resultado de las elecciones. Para que se lleven a cabo las elecciones, es necesario asegurarse de que se cumplan las siguientes condiciones:

La privacidad de los votantes no debe verse comprometida.
El administrador electoral debe verificar que ningún votante haya cometido fraude.

Si se utiliza el sistema de compartición de secretos verificables, n escrutadores reemplazarán al administrador electoral único. Cada votante distribuirá una parte de su voto secreto a cada uno de los n escrutadores. De esta manera se preserva la privacidad del votante y se cumple la primera condición.

La reconstrucción del resultado de la elección es fácil, si existen suficientes k < n contadores para descubrir el polinomio P.

La prueba interactiva puede generalizarse ligeramente para permitir la verificación de los porcentajes de votos. Cada votante demostrará (en la fase de distribución de los porcentajes secretos) a los escrutadores que su voto es legítimo mediante los cinco pasos de la prueba interactiva.

Intercambio de secretos verificable, óptimo y eficiente

La complejidad de ronda de un protocolo VSS se define como el número de rondas de comunicación en su fase de compartición; la reconstrucción siempre se puede realizar en una sola ronda. No existe un VSS de 1 ronda con t > 1 , independientemente del número de jugadores. Los límites de los protocolos VSS perfectamente seguros (sin depender de un supuesto de dureza computacional ) y eficientes ( tiempo polinomial ) se indican a continuación.

Véase también

Bibliografía

T. Rabin y M. Ben-Or, Verifiable secret sharing and multiparty protocols with honest most. En Actas del vigésimo primer simposio anual de la ACM sobre teoría de la computación (Seattle, Washington, Estados Unidos, 14-17 de mayo de 1989). doi :10.1145/73007.73014
Rosario Gennaro, Yuval Ishai, Eyal Kushilevitz, Tal Rabin , The Round Complexity of Verifiable Secret Sharing and Secure Multicast. En Actas del trigésimo tercer simposio anual de la ACM sobre teoría de la computación (Hersonissos, Grecia, páginas: 580-589, 2001)
Matthias Fitzi, Juan Garay, Shyamnath Gollakota, C. Pandu Rangan y Kannan Srinathan, Intercambio de secretos verificable eficiente y óptimo en rondas. Teoría de la criptografía, Tercera conferencia sobre teoría de la criptografía, TCC 2006, (Nueva York, NY, EE. UU., 4 al 7 de marzo de 2006)
Oded Goldreich, Computación segura entre múltiples partes
Josh Cohen Benaloh, Homomorfismos de compartición de secretos: cómo mantener partes de un secreto. Actas sobre avances en criptología, CRYPTO '86, págs. 251-260, 1987

Referencias

^ Krenn, Stephan; Loruenser, Thomas (2023). Introducción al intercambio de secretos: una descripción general sistemática y una guía para la selección de protocolos . doi :10.1007/978-3-031-28161-7. ISBN 978-3-031-28160-0.(también disponible en [1])
^ Chor, Benny ; Goldwasser, Shafi; Micali, Silvio; Awerbuch, Baruch (1985). "Compartir secretos verificables y lograr simultaneidad en presencia de fallas". 26.º Simposio anual sobre fundamentos de la ciencia informática (SFCS 1985) . págs. 383–395. doi :10.1109/SFCS.1985.64. ISBN 0-8186-0644-4.S2CID 12004245 .
^ Feldman, Paul (1987). "Un esquema práctico para compartir secretos verificables de forma no interactiva". 28.º Simposio anual sobre fundamentos de la informática (SFCS 1987) . págs. 427–438. doi :10.1109/SFCS.1987.4. ISBN 0-8186-0807-2.S2CID16283693 .
^ Pedersen, Torben Pryds (1992). "Intercambio de secretos verificables, seguros, no interactivos y basados en la teoría de la información". En Feigenbaum, Joan (ed.). Avances en criptología: CRYPTO '91 . Apuntes de clase sobre informática. Vol. 576. Berlín, Heidelberg: Springer. págs. 129-140. doi : 10.1007/3-540-46766-1_9 . ISBN. 978-3-540-46766-3.