$Z_n*$上的秘密共享

Question

Shamir的秘密共享协议在素数域$F_p$上生成一个多项式。

在$Z_n^*$上也可以生成它吗？

原因是我想将一个秘密共享值合并到另一个方案中。例如，在上面签名一个RSA签名(也就是在$Z_n^*$上)。

谢谢。

Answer 1

如果你只想像你说的那样签署股票，那么你就不需要股票在$Z_n^*$里了。您可以像往常一样共享$F_p$。要对消息进行签名，通常首先对消息进行散列，然后在签名/验证算法中输入哈希值。因此，共享在$F_p$中的事实不会影响签名的生成和验证。

Shamir的秘密共享不能在$Z_n^*$上进行，因为$Z_n^*$不是在$+$下关闭的。但是在$Z_n^*$上还有其他的秘密共享方案。例如，最简单的例子是：

1. 若要共享秘密$s \in Z_n^*$，请从$Z_n^*$.Compute $r_0 = s\cdot \frac{\prod_{i=1}^{t-1} r_i}$中随机选择$r_1、\ldots、r_{t-1}$。
2. 现在您有了$t$ shares $r_0、\ldots、r_{t-1}$，您可以将它们分发给$t$各方。
3. 若要重构秘密，请将所有共享相乘，然后得到秘密$s=\prod_{i=0}^{t-1} r_i$。