秘密共享

  • 1. 秘密共享简介
  • 2. Shamir秘密共享方案
  • 3. Asmuth-Bloom方案
  • 4. 可验证的秘密共享
    • 4.1 Feldman的VSS方案
    • 4.2 Pedersen的VSS方案
  • 5. 无分发者的随机秘密共享

1. 秘密共享简介

秘密共享通过将秘密以适当的方式拆分,拆分后的每一个份额由不同的参与者管理,单个参与者无法恢复秘密信息,只有若干个参与者一同协作才能恢复秘密消息。

秘密共享定义如下:秘密持有者 SSS需要将原始秘密 mmm在参与者集合中 P1, P2, . . . , Pn P_1,P_2,…,P_nP1,P2,,Pn分享, SSS分发给 P1 P_1P1子秘密 m p i m_{p_i}mpi,使得只有特定参与者的集合才能够从他们的子秘密中恢复秘密 mmm,而其他参与者不能得到秘密 mmm的任何信息。

能够计算出秘密 mmm的参与者集合 PPP的一个子集 A ⊆ PA \subseteq PAP,称为一个授权子集。令 Γ\GammaΓ为所有授权子集构成的集合,则称 Γ\GammaΓ访问结构。

秘密共享方案一般描述如下:将共享的秘密 mmm分割成 nnn个子秘密,并将其分发至 nnn个参与者,使得授权子集 Γ\GammaΓ中的参与者可共同恢出复秘密 mmm,而非授权子集中的参与者无法得到关于秘密 mmm的任何信息。

2. Shamir秘密共享方案

Adi Shamir于1979年提出了基于拉格朗日(Lagrange)插值定理的 ( t , n )(t,n)(t,n)-门限方案。该方案利用有限域上的次随机多项式来分享秘密,被分享的秘密为多项式的零次系数,恢复秘密至少需要t个多项式上的点。

方案描述如下:

G F ( q )G F(q)GF(q) 是一个有限域, qqq为公开大素数, 共享的密钥 k ∈ G F ( q )k \in G F(q)kGF(q), 可信中心给 n ( n < q )n(n< q)n(n<q)个共享者 Pi( 1 ≤ i ≤ n )P_i(1 \leq i \leq n)Pi(1in) 分配共享的过程如下:

(1) 秘密分发

可信中心随机选取多项式 f ( x ) = a t − 1x t − 1+ … + a2x2+ a1x + a0∈f(x)=a_{t-1} x^{t-1}+\ldots+a_2 x^2+a_1 x+a_0 \inf(x)=at1xt1++a2x2+a1x+a0 G F ( q ) [ x ]G F(q)[x]GF(q)[x], 常数 a0= ka_0=ka0=k 为要分享的秘密。

可信中心在 G F ( q )G F(q)GF(q) 中选择 nnn 个非零的互不相同的 元素 x1, x2, … , xn x_1, x_2, \ldots, x_nx1,x2,,xn, 计算 yi= f ( x i), 1 ≤ i ≤ ny_i=f\left(x_i\right), 1 \leq i \leq nyi=f(xi),1in, 将子密钥 ( xi, yi)\left(x_i, y_i\right)(xi,yi) 分配给共享者 Pi( x i P_i\left(x_i\right.Pi(xi 是公开的, yi y_iyi Pi P_iPi 的秘密共享)。

(2) 秘密重构

给定 ttt 个共享 y i s( 1 ≤ s ≤ t )y_{i_s}(1 \leq s \leq t)yis(1st), 从Lagrange多项式重构的

f(x)= ∑ s=1t y is∏ j=1,j≠st x− x j x is − x ij, k= a 0=f(0)= ∑ s=1t y is∏ j=1,j≠st − x j x is − x ij= ∑ s=1t b s y is ,\begin{aligned} & f(x)=\sum_{s=1}^t y_{i_s} \prod_{j=1, j \neq s}^t \frac{x-x_j}{x_{i_s}-x_{i_j}}, \\ & k=a_0=f(0)=\sum_{s=1}^t y_{i_s} \prod_{j=1, j \neq s}^t \frac{-x_j}{x_{i_s}-x_{i_j}}=\sum_{s=1}^t b_s y_{i_s}, \end{aligned} f(x)=s=1tyisj=1,j=stxisxijxxj,k=a0=f(0)=s=1tyisj=1,j=stxisxijxj=s=1tbsyis,其中, bs= Π j = 1 , j ≠ st − xjx i s− x i jb_s=\Pi_{j=1, j \neq s}^t \frac{-x_j}{x_{i_s}-x_{i_j}}bs=Πj=1,j=stxisxijxj (Lagrange插值系数), 运算都是 G F ( q )G F(q)GF(q)上的运算。

Eg t = 3 , n = 5 , q = 9 , k = 11t=3, n=5, q=9, k=11t=3,n=5,q=9,k=11, 随机选取 a1= 2 , a2= 7a_1=2, a_2=7a1=2,a2=7, 得多项式为h(x)= ( 7 x2+ 2 x + 71 )  mod  19h(x)=\left(7 x^2+2 x+71\right) \bmod 19 h(x)=(7x2+2x+71)mod19选择 xi= ix_i=ixi=i, 则由 yi= h ( x i), 1 ≤ i ≤ 5y_i=h\left(x_i\right), \quad 1 \leq i \leq 5yi=h(xi),1i5, 很容易得到 555个子密钥h(1)=1,h(2)=5,h(3)=4,h(4)=17,h(5)=6h(1)=1, h(2)=5, h(3)=4, h(4)=17, h(5)=6 h(1)=1,h(2)=5,h(3)=4,h(4)=17,h(5)=6如果知道其中 3 个子密钥 h ( 2 ) = 5 , h ( 3 ) = 4 , h ( 5 ) = 6h(2)=5, h(3)=4, h(5)=6h(2)=5,h(3)=4,h(5)=6{ 4 a2+ 2 a1+ a0= 5 9 a2+ 3 a1+ a0= 4 25 a2+ 5 a1+ a0= 6\begin{cases} 4 a_2+2 a_1+a_0=5 \\ 9 a_2+3 a_1+a_0=4 \\ 25 a_2+5 a_1+a_0=6\end{cases} 4a2+2a1+a0=59a2+3a1+a0=425a2+5a1+a0=6从而解得 k = a0= 11k=a_0=11k=a0=11

3. Asmuth-Bloom方案

Asmuth和Bloom于1980年提出了一个基于中国剩余定理的 ( t , n )(t,n)(t,n)-门限方案。该方案中,成员的共享是由秘密 SSS 得出的数 yyy 对于不同模数 m1, m2, … , mn m_1, m_2, \ldots, m_nm1,m2,,mn 的剩余。

p , d1, d2, … , dn p, d_1, d_2, \ldots, d_np,d1,d2,,dn 是满足下列条件的一组正整数:p>k;d 1< d 2<…k ; \quad d_1<d_2<\ldots<d_n p>k;d1<d2<<dn对所有的 i , gcd ⁡ (p, d i)= 1 ;i, \operatorname{gcd}\left(p, d_i\right)=1 ;i,gcd(p,di)=1;

i ≠ j , gcd ⁡ ( d i, d j)= 1 ; d1d2⋯ dt>i \neq j, \operatorname{gcd}\left(d_i, d_j\right)=1 ; d_1 d_2 \cdots d_t>i=j,gcd(di,dj)=1;d1d2dt> p d n − t + 2d n − t + 3⋯ dn p d_{n-t+2} d_{n-t+3} \cdots d_npdnt+2dnt+3dn

N = d1d2⋯ dt N=d_1 d_2 \cdots d_tN=d1d2dt ttt 个最小整数之积,则 N / pN / pN/p 大于任意 t − 1t-1t1 di d_idi 。令 rrr 是区间 [ 0 , ⌊ N / p ⌋ − 1 ][0,\lfloor N / p\rfloor-1][0,N/p1] 中的一个随机整数, 并公布 p , rp, rp,r

(1) 秘密分发

kkk 划分为 nnn 个共享, 计算 k′= k + r pk^{\prime}=k+r pk=k+rp, 则 k′∈ [ 0 , N − 1 ] 。 nk^{\prime} \in[0, N-1] 。 nk[0,N1]n 个共享 为 ki= k′ modd ⁡i, i = 1 , 2 , … , nk_i=k^{\prime} \operatorname{modd}_i, i=1,2, \ldots, nki=kmoddi,i=1,2,,n, 将子密钥 ( di, ki)\left(d_i, k_i\right)(di,ki) 分配给共享者 Pi( d i P_i\left(d_i\right.Pi(di 是公开的, ki k_iki Pi P_iPi

(2) 秘密重构

若给定 ttt 个共享 k i 1, … , … , k i t k_{i_1}, \ldots, \ldots, k_{i_t}ki1,,,kit, 则由中国剩余定理可知, 同余方程组{ x′≡ k i 1mod ⁡ d i 1x′≡ k i 2mod ⁡ d i 2 ⋯ x′≡ k i tmod ⁡ d i t \begin{cases} x^{\prime} \equiv k_{i_1} \operatorname{mod} d_{i_1} \\ x^{\prime} \equiv k_{i_2} \operatorname{mod} d_{i_2} \\ \cdots \\ x^{\prime} \equiv k_{i_t} \operatorname{mod} d_{i_t} \end{cases} xki1moddi1xki2moddi2xkitmoddit关于模 N1= d i 1d i 2⋯ d i t N_1=d_{i_1} d_{i_2} \cdots d_{i_t}N1=di1di2dit [ 0 , N1− 1 ]\left[0, N_1-1\right][0,N11] 内有唯一解 xxx, 因为 N1≥ N ≥ k′ N_1 \geq N \geq k^{\prime}N1Nk, 推出 k′= xk^{\prime}=xk=x 。 最后计算出 k = k′− r pk=k^{\prime}-r pk=krp, 即 k = k′  m o d   pk=k^{\prime} \bmod pk=kmodp

Eg t = 2 , n = 3 , p = 7 , k = 4 , d1= 9 , d2= 11 , d3= 13t=2, n=3, p=7, k=4, d_1=9, d_2=11, d_3=13t=2,n=3,p=7,k=4,d1=9,d2=11,d3=13, 则N= d 1 d 2=99>91=7⋅13=p⋅ d 3.N=d_1 d_2=99>91=7 \cdot 13=p \cdot d_3 . N=d1d2=99>91=713=pd3. [ 0 , [ 99 / 7 ] − 1 ] = [ 0 , 13 ][0,[99 / 7]-1]=[0,13][0,[99/7]1]=[0,13] 之间随机取 r = 10 , k′= k + r p = 4 + 10 × 7 = 74r=10, k^{\prime}=k+r p=4+10 \times 7=74r=10,k=k+rp=4+10×7=74,k 1≡ k ′modd d 1≡74  mod  9≡2k 2≡ k ′  mod d 2≡74  mod  11≡8k 3≡ k ′  mod d 3≡74  mod  13≡9\begin{aligned} & k_1 \equiv k^{\prime} \text { modd } d_1 \equiv 74 \bmod 9 \equiv 2 \\ & k_2 \equiv k^{\prime} \bmod d_2 \equiv 74 \bmod 11 \equiv 8 \\ & k_3 \equiv k^{\prime} \bmod d_3 \equiv 74 \bmod 13 \equiv 9\end{aligned} k1kmoddd174mod92k2kmodd274mod118k3kmodd374mod1393 个子密钥为 { ( 9 , 2 ) , ( 11 , 8 ) , ( 13 , 9 ) }\{(9,2),(11,8),(13,9)\}{(9,2),(11,8),(13,9)}

若知道 { ( 9 , 2 ) , ( 11 , 8 ) }\{(9,2),(11,8)\}{(9,2),(11,8)}, 可建立方程组:{ k′≡ 2 mod ⁡ 9 k′≡ 8 mod ⁡ 11\begin{cases} k^{\prime} \equiv 2 \operatorname{mod} 9 \\ k^{\prime} \equiv 8 \operatorname{mod} 11 \\\end{cases} {k2mod9k8mod11根据中国剩余定理,解得: k ′≡(11×5×2+9×5×8)  mod  ≡74k^{\prime} \equiv(11 \times 5 \times 2+9 \times 5 \times 8) \bmod \equiv 74 k(11×5×2+9×5×8)mod74因此 k′≡ k m o d   p = 4k^{\prime} \equiv k \bmod p=4kkmodp=4

4. 可验证的秘密共享

可验证的秘密共享VSS方案是对传统秘密共享方案的修正,在通常的秘密分享方案基础上附加验证操作构成,主要用于解决不诚实的分发中心问题。

在VSS方案中,分发者不但分发秘密的碎片,而且广播对秘密碎片的承诺,当个成员收到其碎片时,要验证其碎片是否正确;在秘密重构阶段,每个参与者也采用同样方法验证其他成员秘密碎片的正确性。

VSS主要抵抗以下两种主动攻击:

  • 分发者在秘密分发协议中发送错误碎片给部分或全部参与者。
  • 协议参与者在秘密重构协议中提交错误碎片。

常见的可验证的秘密共享方案包括Feldman的VSS方案以及Pedersen方案。

4.1 Feldman的VSS方案

(1)秘密分发

可信中心选取阶随机多项式:f(x)= a t−1x t−1 +…+ a 2 x 2+ a 1x+ a 0∈GF(q)[x]f(x)=a_{t-1} x^{t-1}+\ldots+a_{2} x^{2}+a_{1} x+a_{0} \in G F(q)[x] f(x)=at1xt1++a2x2+a1x+a0GF(q)[x]常数 a0= sa_{0}=sa0=s为要分发的秘密;

可信中心选择 nnn个非零的互不相同的元素 x1, x2, … , xn∈ G F ( q )x_{1}, x_{2}, \ldots, x_{n} \in G F(q)x1,x2,,xnGF(q),计算 yi= f ( x i), 1 ≤ i ≤ ny_{i}=f\left(x_{i}\right), 1 \leq i \leq nyi=f(xi),1in , 将子密钥 ( xi, yi)\left(x_{i}, y_{i}\right)(xi,yi) 分配给共享者 Pi P_{i}Pi( ( xi)\left(x_{i}\right)(xi)是公开的, yi y_{i}yi Pi P_{i}Pi的秘密共享),可信中心计算并广播承诺 Bj= g a j, 0 ≤ j < tB_{j}=g^{a_{j}}, 0 \leq j<tBj=gaj,0j<t

参与者 Pi P_{i}Pi收到自己的碎片 yi y_{i}yi后, 判断 g y i= Π j = 0 t − 1Bj x i j g^{y_{i}}=\Pi_{j=0}^{t-1} B_{j}^{x_{i}^{j}}gyi=Πj=0t1Bjxij是否成立, 如果成立, 则接受该 碎片为有效; 否则, Pi P_{i}Pi 请求可信中心重新发送正确的碎片。

若可信中心向 Pi P_{i}Pi 传送了正确的碎片 yi y_{i}yi, 则有g yi= g f ( x i) = ga t−1r i t−1 +…+ a 2 x i 2+ a 1 x i+ a 0= ga t−1x i t−1… ga 2 x i 2ga 1 x ig a0= B t−1xi t − 1 … B 2 xi2B 7 xiB 0 = Π j=0t−1B j xij \begin{aligned} g^{y_{i}=g^{f\left(x_{i}\right)}} & =g^{a_{t-1} r_{i}^{t-1}+\ldots+a_{2} x_{i}^{2}+a_{1} x_{i}+a_{0}} \\ & =g^{a_{t-1} x_{i}^{t-1}} \ldots g^{a_{2} x_{i}^{2}} g^{a_{1} x_{i}} g^{a_{0}} \\ & =B_{t-1}^{x_{i}^{t-1}} \ldots B_{2}^{x_{i}^{2}} B_{7}^{x_{i}} B_{0} \\ & =\Pi_{j=0}^{t-1} B_{j}^{x_{i}^{j}} \end{aligned} gyi=gf(xi)=gat1rit1++a2xi2+a1xi+a0=gat1xit1ga2xi2ga1xiga0=Bt1xit1B2xi2B7xiB0=Πj=0t1Bjxij(2)秘密重构

假设每个参与者都接受到正确的碎片, 他们中的任意 ttt个可执行 Shamir门限秘密分享方案中的重构算法恢复出院时秘密, 即 Pi P_{i}Pi向参与重构的其他人广播自己的碎片,这样每个参与重构的成员均可验证所接收到的碎片的有效性,然后使用Lagrange揷值公式计算出秘密 SSS

Feldman的VSS方案中, 由于可信中心在广播承诺时将 B0= g a 0= gs B_{0}=g^{a_{0}}=g^{s}B0=ga0=gs也作为一个承诺发出, 因此方案仅是计算安全的。

4.2 Pedersen的VSS方案

Pedersen扩展了Feldman的方案,将Shamir秘密共享方案与承诺方案相结合,构造出了一个高效、安全的非交互式可验证秘密共享方案,且验证信息不会直接泄露秘密 kkk,因此是信息论安全的。

(1)秘密分发

可信中心选取两个 ttt阶随机多项式:a(x)= a t−1x t−1 +…+ a 2 x 2+ a 7x+ a 0∈GF(q)[x]b(x)= b t−1x t−1 +…+ b 2 x 2+ b 1x+ b 0∈GF(q)[x]\begin{array}{l} a(x)=a_{t-1} x^{t-1}+\ldots+a_{2} x^{2}+a_{7} x+a_{0} \in G F(q)[x] \\ b(x)=b_{t-1} x^{t-1}+\ldots+b_{2} x^{2}+b_{1} x+b_{0} \in G F(q)[x] \end{array} a(x)=at1xt1++a2x2+a7x+a0GF(q)[x]b(x)=bt1xt1++b2x2+b1x+b0GF(q)[x]常数 a0= sa_{0}=sa0=s为要分发的秘密。

可信中心选择 nnn个非零的互不相同的元素 x1, x2, … , xn∈ G F ( q )x_{1}, x_{2}, \ldots, x_{n} \in G F(q)x1,x2,,xnGF(q) ,计算 yi= ( s i, s i2 )= (a ( xi),b ( xi)), 1 ≤ i ≤ ny_{i}=\left(s_{i}, s_{i 2}\right)=\left(a\left(x_{i}\right), b\left(x_{i}\right)\right), 1 \leq i \leq nyi=(si,si2)=(a(xi),b(xi)),1in 将子密钥 ( xi, yi)\left(x_{i}, y_{i}\right)(xi,yi)分配给共享者 Pi P_{i}Pi( xi x_{i}xi是公开的, yi y_{i}yi Pi P_{i}Pi的秘密共享)。可信中心计算并广播承诺 Cj= g a jh b j, 0 ≤ j < tC_{j}=g^{a_{j}} h^{b_{j}}, 0 \leq j<tCj=gajhbj,0j<t

参与者 Pi P_{i}Pi 收到自己的碎片 yi y_{i}yi 后, 判断 g s i ⌝ h s i2 = ∏ j = 0 t − 1Cj x i j g^{s_{i\urcorner}} h^{s_{i 2}}=\prod_{j=0}^{t-1} C_{j}^{x_{i}^{j}}gsihsi2=j=0t1Cjxij 是否成立。如果成立, 则接受 该碎片为有效; 否则, Pi P_{i}Pi 请求可信中心重新发送正确的碎片。

若可信中心向 Pi P_{i}Pi传送了正确的碎片 yi y_{i}yi, 则有 g s i ⌝ h s i 2 =g a ( xi)h b ( xi) = ( g a t − 1xi t − 1+ … + a2xi2+ a1xi+ a0 ) ( h b t − 1xi t − 1+ … + b2xi2+ b1xi+ b0 ) = ( g at−1 h b t − 1 )xi t − 1 … ( g a2h b2 )xi2( g aah b1 )xig a0h b0= C t−1xi t − 1 … C 2 xi2C 1 xiC 0 = ∏ j=0t−1C j xij \begin{aligned} g^{s_{i\urcorner}} h^{s_{i 2}}= & g^{a\left(x_{i}\right)} h^{b\left(x_{i}\right)}=\left(g^{a_{t-1} x_{i}^{t-1}+\ldots+a_{2} x_{i}^{2}+a_{1} x_{i}+a_{0}}\right)\left(h^{b_{t-1} x_{i}^{t-1}+\ldots+b_{2} x_{i}^{2}+b_{1} x_{i}+b_{0}}\right) \\ & =\left(g^{a} t-1 h^{b_{t-1}}\right)^{x_{i}^{t-1}} \ldots\left(g^{a_{2}} h^{b_{2}}\right)^{x_{i}^{2}}\left(g^{a^{a}} h^{b_{1}}\right)^{x_{i}} g^{a_{0}} h^{b_{0}} \\ & =C_{t-1}^{x_{i}^{t-1}} \ldots C_{2}^{x_{i}^{2}} C_{1}^{x_{i}} C_{0} \\ & =\prod_{j=0}^{t-1} C_{j}^{x_{i}^{j}} \end{aligned} gsihsi2=ga(xi)hb(xi)=(gat1xit1++a2xi2+a1xi+a0)(hbt1xit1++b2xi2+b1xi+b0)=(gat1hbt1)xit1(ga2hb2)xi2(gaahb1)xiga0hb0=Ct1xit1C2xi2C1xiC0=j=0t1Cjxij(2)秘密重构

假设每个参与者都接受到正确的碎片, 他们中的任意 ttt个可执行 Shamir门限秘密分享方案中的重构算法恢复出院时秘密, 即 Pi P_{i}Pi向参与重构的其他人广播自己的碎片, 这样每个参与重构的成员均可验证所接收到的碎片的有效性, 然后使用Lagrange揷值公式计算出秘密 sss

Pedersen的VSS方案中,可信中心在广播承诺时与秘密 sss相关的信息仅为 C0= gsh b 0 C_{0}=g^{s} h^{b_{0}}C0=gshb0,没有泄露关于 sss的任何信息,因此方案是信息论安全的。

5. 无分发者的随机秘密共享

在该秘密体制中不存在秘密分发者,仅有参与者 P1, P2, . . . , Pn P_1,P_2,…,P_nP1,P2,,Pn,他们以交互的方式协商出一个随机秘密 sss,并各自得到该秘密的一个碎片 si s_isi,但每个参与者都不知道这个随机秘密的具体值,除非他们公布自己的碎片并重构该秘密。

基于Shamir的秘密分享体制的一个无秘密分发者的 ( t , n )(t,n)(t,n)秘密分享体制,称为Joint-Shamir-RSS方案(Joint Shamir Random Secret Sharing)。

(1) 每个参与者 Pi P_iPi 选择一个 t − 1t-1t1 次随机多项式 fi( x ) = a i , t − 1x t − 1+ … + a i 2×2+ a i 1x + a i 0∈ G F ( q ) [ x ]f_i(x)=a_{i, t-1} x^{t-1}+\ldots+a_{i 2} x^2+a_{i1} x+a_{i0} \in G F(q)[x]fi(x)=ai,t1xt1++ai2x2+ai1x+ai0GF(q)[x], 以 a i 0= fi( 0 )a_{i 0}=f_i(0)ai0=fi(0) 作为自己要让 P1, P2, … , Pn P_1, P_2, \ldots, P_nP1,P2,,Pn 分享的秘密。

(2) Pi P_iPi 计算 s i j= fi( x j) s_{ij}=f_i\left(x_j\right)sij=fi(xj), 发送给 Pj, j = 1 , 2 , … , nP_j, j=1,2, \ldots, nPj,j=1,2,,n, 如下所示:P1P2PjPnP1 f 1 ( x1) f 7 ( x2) f 7 ( xj) f 1 ( xn)P2 f 2 ( x1) f 2 ( x2) f 2 ( xj) f 2 ( xn)Pi f i ( x1) f i ( x2) f i ( xj) f i ( xn)Pn f n ( x1) f n ( x2) f n ( xj) f n ( xn)\begin{array}{llllll} & P_1 & P_2 & P_j & P_n \\ P_1 & f_1\left(x_1\right) & f_7\left(x_2\right) & f_7\left(x_j\right) & f_1\left(x_n\right) \\ P_2 & f_2\left(x_1\right) & f_2\left(x_2\right) & f_2\left(x_j\right) & f_2\left(x_n\right) \\ P_i & f_i\left(x_1\right) & f_i\left(x_2\right) & f_i\left(x_j\right) & f_i\left(x_n\right) \\ P_n & f_n\left(x_1\right) & f_n\left(x_2\right) & f_n\left(x_j\right) & f_n\left(x_n\right) \end{array} P1P2PiPnP1f1(x1)f2(x1)fi(x1)fn(x1)P2f7(x2)f2(x2)fi(x2)fn(x2)Pjf7(xj)f2(xj)fi(xj)fn(xj)Pnf1(xn)f2(xn)fi(xn)fn(xn)(3) Pj P_jPj 收到其他参与者的值 s i j= fi( x j), i = 1 , 2 , … , ns_{i j}=f_i\left(x_j\right), i=1,2, \ldots, nsij=fi(xj),i=1,2,,n, 计算 sj= ∑ i = 1nfi( x j) s_j=\sum_{i=1}^n f_i\left(x_j\right)sj=i=1nfi(xj) 作为 自己最终分享秘密的碎片。

从协议中可以看出, 若令 f ( x ) = ∑ i = 1nfi( x )f(x)=\sum_{i=1}^n f_i(x)f(x)=i=1nfi(x), 则 f ( x j)= ∑ i = 1nfi( x j) f\left(x_j\right)=\sum_{i=1}^n f_i\left(x_j\right)f(xj)=i=1nfi(xj)

秘密重构阶段,只需任意 ttt个参与者使用自己拥有的秘密碎片 si s_isi执行Shamir秘密分享体制的秘密重构即可。