细说秘密分享/秘密分割的几种常见表述形式

秘密分享

​ 秘密分享是庄家选择一个秘密\(s\)，并通过一种秘密分割方式\(\pi(s,r)=(s_1,s_2,...,s_n)\) ，其中\(r\)是随机值，这些被分割出来的份额\(s_i\)被发送给不同的参与者\(P_i\)，后续满足访问结构的参与者集合(授权集合)可以恢复出秘密\(s\)，任意非授权集合都不能得到\(s\)的任何有关信息。

​ *访问结构是能够重构秘密的所有“参与者子集”构成的集合，\(\mathbb{A}\subseteq 2^{\{P_1,P_2,...,P_n\}} \setminus \emptyset\)。
shamir-(t,n) 门限秘密分享是经典的秘密分享方案，他是说n个参与者中任意t个及以上的参与者一起可以恢复出秘密，而不足t个参与者一起都得不到秘密的任何信息。

​ 可以从两个常见的角度出发去理解，下面分析两种角度并说明他们在本质上的统一性。

第一种角度

（t元一次方程 ， \(x^{t-1}a_{t-1}+...+xa_1+a_0=0\)）：对秘密的恢复是求解t个方程组，来恢复t个未知元\((a_{t-1},...,a_1,a_0)\)。对秘密的分割是n个方程\(\left\{\begin{matrix} a_{t-1}+...+a_1+a_0=0\\ 2^{t-1}a_{t-1}+...+2a_1+a_0=0\\ ...\\ n^{t-1}a_{t-1}+...+na_1+a_0=0 \end{matrix}\right.\)，这种角度因为用户拿到的份额是一整个方程而不是一个值，所以没有显示的写法去写出每个\(s_i\)是什么。所以这种角度虽然是最好理解的，但由于表述上差点意思，也是最少见的。而下面的函数角度和通用角度，在表述上更有优越性，常见于各类ABE论文的表述中。

第二种角度

（t-1阶函数 ， \(f(x)=a_{t-1}x^{t-1}+...+a_1x+a_0\)）：对秘密的恢复是通过对t个点位的函数值进行拉格朗日插值来恢复函数的未知系数组\(\beta =(a_{t-1},...,a_1,a_0)\)。对秘密的分割便是取n个点位的函数值，可以简单的取为\(x=(1,...,n)\) ，\((s_1=f(1),s_2=f(2),...,s_n=f(n))\)，其中\(s=f(0)=a_0\)是秘密，是不能被分割时\(x\)取\(0\)给分割出去的。当恢复出未知系数组 \(\beta=(a_{t-1},...,a_1,a_0)\)，自然得到秘密\(s\) 。更一般地可写为未知系数组\(\beta\)和目标向量\(\alpha =(0,0,...,1)\)的乘积\(s=\beta \cdot \alpha\) 。秘密\(s\)与t个未知系数之间存在某种函数关系，根据目标向量\(\alpha\)的不同而不同，常见的如\(s=a_0\)，\(s=\sum_{i=0}^{t-1}a_i\)等等，在shamir-(t,n) 门限方案中\(s=a_0\) 。

通用角度（矩阵形式）

n×t的矩阵\(M\)，其中满足访问结构的t行组成t×t的矩阵\(M_t\)可以线性表出\(\alpha\)，没错就是目标向量。 (如果是shamir-(t,n) 门限方案则为任意t行都应可以，任意t-1行都不可以。)

对秘密的恢复过程为用\(M_t\)线性表出\(\alpha\)，即找到不为0的向量\(w=(w_1,w_2,...,w_t)\)，考虑矩阵为行向量构成的形式\(M_t=\begin{pmatrix} M_{t,1} \\ M_{t,2}\\ ...\\ M_{t,n} \end{pmatrix}\)，使得\(wM_t=(w_1,w_2,...,w_t)\begin{pmatrix} M_{t,1} \\ M_{t,2}\\ ...\\ M_{t,n} \end{pmatrix}=\sum_{i=1}^{t}w_iM_{t,i}=\alpha\)。

*注意这里重点不在\(\alpha\)，拥有目标向量\(\alpha\)并不能恢复出秘密\(s\)，因为有关秘密\(s\)的向量\(\beta\)是未知的(只有庄家知道，想要恢复秘密的参与者不知道)，重点在我们为了用\(M_t\)构成\(\alpha\)而求得\(w\)，拥有\(w\)，可以恢复秘密\(s=w\cdot \overrightarrow{s}\) ，这里不再是上面两个具体角度中的去先求出\(\beta\)，再结合\(\alpha\)来恢复秘密\(s\)了，这里才是常规的流程，直接用秘密份额\(\overrightarrow{s}\)来恢复\(s\)。那么庄家（知道\(s\)和\(\beta\)，都是由他来选的）对秘密的分割是：\(M_t \beta^T=\begin{pmatrix} s_1 \\ s_2\\ ...\\ s_n \end{pmatrix}=\overrightarrow{s}\)，

也就是说\(\alpha\cdot\beta^T=(wM_t)\beta^T=wM_t\beta^T=w(M_t\beta^T)=w\cdot\overrightarrow{s}\) 。
显然shamir-(t,n) 门限方案是通用表述的特殊情况，即\(M=\begin{pmatrix} n^{t-1} &... &n &1 \\ ...& ... &... &... \\ 2^{t-1}&... &2 &1 \\ 1&... &1 &1 \end{pmatrix}\)，\(\beta=(a_{t-1},...,a_1,a_0)^T\)，\(\alpha=(0,0,...,1)\) 。
此时\(M_t \beta^T=\begin{pmatrix} f(1) \\ f(2)\\ ...\\ f(t) \end{pmatrix}=\overrightarrow{s}\) ，根据拉格朗日插值法我们知道这里的\(w_i=\Delta _i(0)= \prod_{j=1,j\neq i}^{t}\frac{0-j}{i-j}\)，这样\(w(M_t\beta^T)=\sum_{i=1}^{t}w_is_i=\sum_{i=1}^{t}\Delta_i(0)f(i)=f(0)=s\) 。
如果我们这里取\(w_i=\Delta _i(1)= \prod_{j=1,j\neq i}^{t}\frac{1-j}{i-j}\)，那么\(wM_t=\alpha=\overrightarrow{1}\)，\(\sum_{i=1}^{t}\Delta_i(1)f(i)=f(1)=\sum_{i=1}^{t}a_i=s\) 。