没有私钥持有者知道密钥碎片的拆分密钥？

Question

是否可以将私钥分割成碎片并将碎片分发给密钥持有人，以便(1)需要n个密钥碎片的k来恢复私钥，(2)私钥持有人不知道密钥碎片是什么？

我正在考虑这样一种情况，即许多密钥持有者被信任将他们的密钥碎片保密。那么，如果一个密钥碎片被泄露，我们想知道谁是钥匙持有人的责任。在这种情况下，如果原始私钥持有者也知道密钥碎片，那么我们就不知道是谁泄露了密钥碎片。

Answer 1

设E是一个安全椭圆曲线，G是具有\ell阶的基点。

• (n,n)方案：n密钥持有者随机选择一个私钥x_i，计算一个公钥X_i = [x_i]G和一个哈希承诺H(X_i)。密钥持有者首先交换哈希承诺，并且只有当所有散列承诺都被共享时，它们才会共享它们的公钥。然后，使用带有联合公钥\sum_{i=1}^n X_i的ECIES加密该秘密。只有当所有密钥持有者聚集在一起，将他们的私钥组合起来，以建立与所述联合公钥相对应的联合私钥\sum_{i=1}^n x_i \bmod \ell时，才能解密该秘密。如果有人泄露他们的私钥，可以很容易地观察到该私钥与哪个公钥相关。
• (n,k)，k-threshold方案:对于k of n私钥的每一种可能的选择(总可能性的数目将是二项式系数\binom{n}{k})，用该公钥组合的总和所形成的一个联合公钥加密该秘密。

可以使用一名协调员来减少缔约方之间所需的通信数量。发送给协调器的所有消息都需要由每个私钥持有者的已建立的通用通信公钥签名(这与在此方案期间为每个私钥持有者生成的公钥不同)。转发的信息(如中继承诺和中继公钥)将保留产生该信息的一方的签名，使接收方不必信任协调员。

该议定书的关键协议阶段将需要总共进行以下5n通信：

1. 协调器生成一个消息m，其中包含识别协议的这种特定调用的nonce，并将m发送给每个私钥持有者。任何一方在此之后发送的所有通信都必须包括m，以便通信不能在协议调用之间进行混合和匹配。所有私钥持有者都必须记住使用的每一次，以避免为相同的当前值(在协议的同一阶段)提供两种不同的响应。
2. 所有私钥持有者都会将他们的承诺发送给协调者。
3. 协调者将承诺的集合发送给每个私钥持有者。
4. 每个私钥持有人将他们的公钥传送给协调者。
5. 协调器将公钥集合发送给每个私钥持有者。

当秘密持有者准备对一个秘密进行加密时，它将用联合公钥加密并传送给所有n私钥持有者，因此需要进一步的n通信。与前面的所有步骤一样，还包括包含nonce的消息m，以便将此通信绑定到协议的特定调用。