Shamir’s Secret Sharing

Shamir’s Secret Sharing ist ein 1979 von Adi Shamir entwickeltes Secret-Sharing-Verfahren. Mit Hilfe eines solchen Verfahrens kann man ein Geheimnis so auf mehrere „Instanzen“ (Mitwisser) aufteilen, dass zur Rekonstruktion des Geheimnisses nur eine gewisse Teilmenge dieser Instanzen benötigt wird (im Unterschied zum einfachen Secret-Sharing, bei dem sämtliche Instanzen benötigt werden).

Idee des Verfahrens

Der „Dealer“ (benannt nach dem Kartengeber bei einem Kartenspiel) bestimmt eine Zahl $t$ an Instanzen, die das Geheimnis später wieder rekonstruieren können sollen und wählt daraufhin ein Polynom vom Grad $t-1$ und berechnet $n,n\geq t$ Stützstellen des Polynoms. Diese Stützstellen („Shares“) verteilt der Dealer an die restlichen beteiligten Instanzen. Diese Instanzen können daraufhin mit einem Interpolationsverfahren das Polynom rekonstruieren, dessen konstanter Term das Geheimnis ist.

Ablauf

Der Dealer wählt ein Polynom

f(x)=s+a_{1}\cdot x+a_{2}\cdot x^{2}+\dots +a_{t-1}\cdot x^{t-1}

wobei $s$ das Geheimnis ist und die $a_{i}$ zufällig gewählt werden. Nun erzeugt der Dealer $n$ Wertepaare $(x_{i},s_{i}=f(x_{i}))$ , wobei $x_{i}\neq 0$ und verteilt diese Wertepaare an die beteiligten Instanzen. Die $x_{i}$ sind dabei öffentlich und die $s_{i}$ („Shares“) müssen geheim gehalten werden.

Nach dem Fundamentalsatz der Algebra benötigt man $t$ Wertepaare $(x,f(x))$ , um dieses Polynom eindeutig zu bestimmen. Daher können bis zu $t-1$ Teilgeheimnisse kompromittiert werden, ohne dass das Geheimnis $s$ in Gefahr ist, bestimmt zu werden. Erst wenn $t$ Shares bekannt sind, ist es möglich, $s$ zu bestimmen. Das bedeutet aber auch, dass zur Bestimmung des Geheimnisses $t$ Instanzen ihre Shares kombinieren müssen, um an das Geheimnis zu kommen.

Dieses System wird auch als (t,n)-Schwellwert-Kryptosystem bezeichnet, da nur $t$ der gesamten $n$ Shares benötigt werden, um das Geheimnis zu rekonstruieren.

Zur Rekonstruktion von $s$ kann eine optimierte Lagrange-Interpolation benutzt werden:

Rekonstruktion mittels der Lagrange-Interpolation

Zur Rekonstruktion des Polynoms kann man die Lagrange-Interpolation benutzen.

g(x)=\sum s_{i}\cdot \prod _{j\neq i}{\frac {x-x_{j}}{x_{i}-x_{j}}}

Da wir aber nur am konstanten Term $s$ interessiert sind, reicht es, wenn wir $g(0)$ betrachten

s=g(0)=\sum s_{i}\cdot \prod _{j\neq i}{\frac {-x_{j}}{x_{i}-x_{j}}}

Jeder Teilnehmer berechnet nun

w_{i}=s_{i}\cdot \prod _{j\neq i}{\frac {-x_{j}}{x_{i}-x_{j}}}

und hat dadurch einen additiven Teil des Geheimnisses $s=\sum w_{i}$ .

Wichtig ist, dass bei dieser Berechnung lediglich diejenigen $x_{i}$ und $x_{j}$ in die Formel einfließen, die auch wirklich an der Interpolation beteiligt sind. Sind $i=\{1,6,9\}$ beteiligt, darf $x_{4}$ nicht benutzt werden.

Shamir’s Secret Sharing modulo p

In der Kryptographie ist es nicht praktikabel, mit reellen Zahlen zu rechnen. Man beschränkt sich deshalb auf endliche Körper. Das Verfahren muss in diesem Fall leicht angepasst werden, indem auf die modulare Arithmetik zurückgegriffen wird. Rechnet man im endlichen Körper mit $p$ Elementen ( $p$ prim), so muss jede Berechnung modulo $p$ erfolgen.

Das Polynom wird nun folgend definiert.

f(x)=s+a_{1}\cdot x+a_{2}\cdot x^{2}+\dots +a_{t-1}\cdot x^{t-1}{\bmod {p}}

wobei

0\leq a_{i},s<p

weiter wird $s$ folgendermaßen berechnet

s=g(0)=\sum _{i}\left(s_{i}\cdot \prod _{j\neq i}(-x_{j})(x_{i}-x_{j})^{-1}{\bmod {p}}\right)

Die Berechnung für $w_{i}$ läuft analog.

Literatur

Adi Shamir: How to share a secret. (PDF; 194 kB) In: Communications of the ACM. 22, 1979, S. 612–613.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.