Moim celem jest ustalenie czy algorytm bezpiecznego wyznaczania sumy (bez ujawniania jej
składników należących do stron) jest również bezpieczne dla dodawania punktów na krzywych eliptycznych.
Metoda polega na bezpiecznym wyznaczeniu wartości:
\(\displaystyle{ S = \sum_{i-l}^{l} x_{i}}\)
gdzie: l jest liczbą stron, xi jest wartością strony i. Prywatność danych jest zachowana, jeżeli żadna ze stron nie pozna wartości x należącej do dowolnej innej strony. Metoda polega na wybraniu jednej ze stron, nazywaną stroną master i mającą numer 1, która to strona będzie inicjować wykonywanie operacji oraz kończyć operację. Strona ta losuje wartość R przy uży-ciu rozkładu jednostajnego. Następnie wykonywane jest cykliczne obliczanie. Strona 1 wysy-ła do strony numer 2 wartość R + x1, strona 2 do otrzymanej wartości dodaje wartość x2 i przesyła do strony 3 itd. Ostatnia, strona l wyznaczoną wartość wysyła do strony 1. Strona ta odejmuje od otrzymanej wartości liczbę R otrzymując w ten sposób oczekiwaną wartość S.
Chcę dojść do tego czy powyższy algorytm nadal jest bezpieczny w przypadku dodawania punktów na krzywej eliptycznej.
Bezpieczne wyznaczanie sumy punktów na krzywych eliptycznych
-
max
- Użytkownik
- Posty: 3306
- Rejestracja: 10 gru 2005, o 17:48
- Płeć: Mężczyzna
- Lokalizacja: Lebendigentanz
- Podziękował: 37 razy
- Pomógł: 778 razy
Bezpieczne wyznaczanie sumy punktów na krzywych eliptycznych
Jak rozumiem cały proces będzie bezpieczny jeśli k-ta strona znając tylko wartość:
\(\displaystyle{ V_{k-1}:= R + \sum_{i = 1}^{k-1}x_{i}}\) oraz \(\displaystyle{ x_{k}}\) i ewentualnie swój numer nie jest w stanie wyznaczyć żadnej wartości \(\displaystyle{ x_{j}, j\neq k.}\)
No to w takim razie jeśli \(\displaystyle{ R, x_{1}, \ldots, x_{l}\in G,}\) gdzie \(\displaystyle{ (G, +)}\) jest grupą co najmniej dwuelementową, to podany proces jest bezpieczny. W takim sensie, że dla każdego \(\displaystyle{ g\in G}\) znajdziemy takie rozwiązanie równania:
\(\displaystyle{ \overline{R} + \sum_{i = 1}^{k-1}\overline{x_{i}} = V_{k-1}}\)
że \(\displaystyle{ \overline{x_{i}} = g,}\) (i tak samo dla \(\displaystyle{ R}\)), czyli na podstawie samej znajomości \(\displaystyle{ V_{k-1}}\) nie można nic ustalić na temat \(\displaystyle{ R, x_{1},\ldots, x_{k-1}.}\)
Ponieważ punkty krzywej eliptycznej tworzą grupę względem 'dodawania', to dostajemy to co chcieliśmy jako szczególny przypadek.
\(\displaystyle{ V_{k-1}:= R + \sum_{i = 1}^{k-1}x_{i}}\) oraz \(\displaystyle{ x_{k}}\) i ewentualnie swój numer nie jest w stanie wyznaczyć żadnej wartości \(\displaystyle{ x_{j}, j\neq k.}\)
No to w takim razie jeśli \(\displaystyle{ R, x_{1}, \ldots, x_{l}\in G,}\) gdzie \(\displaystyle{ (G, +)}\) jest grupą co najmniej dwuelementową, to podany proces jest bezpieczny. W takim sensie, że dla każdego \(\displaystyle{ g\in G}\) znajdziemy takie rozwiązanie równania:
\(\displaystyle{ \overline{R} + \sum_{i = 1}^{k-1}\overline{x_{i}} = V_{k-1}}\)
że \(\displaystyle{ \overline{x_{i}} = g,}\) (i tak samo dla \(\displaystyle{ R}\)), czyli na podstawie samej znajomości \(\displaystyle{ V_{k-1}}\) nie można nic ustalić na temat \(\displaystyle{ R, x_{1},\ldots, x_{k-1}.}\)
Ponieważ punkty krzywej eliptycznej tworzą grupę względem 'dodawania', to dostajemy to co chcieliśmy jako szczególny przypadek.
Bezpieczne wyznaczanie sumy punktów na krzywych eliptycznych
tak o to chodzimax pisze:Jak rozumiem cały proces będzie bezpieczny jeśli k-ta strona znając tylko wartość:
\(\displaystyle{ V_{k-1}:= R + \sum_{i = 1}^{k-1}x_{i}}\) oraz \(\displaystyle{ x_{k}}\) i ewentualnie swój numer nie jest w stanie wyznaczyć żadnej wartości \(\displaystyle{ x_{j}, j\neq k.}\)
Super - dziękuję za pomoc
Rozumiem, że można to argumentować po prostu tym, że punkty krzywej eliptycznej tworzą grupę względem 'dodawania'.