问相加与线性秘密共享

EN

根据您对我的评论的答复，加性秘密共享指的是以下方案：

• \mathsf{Share}(x):对输入x \in \mathcal{G}，从\mathcal{G}中均匀采样x_1, \cdots, x_{n-1}，并设置x_n \gets x -\sum_{i=1}^{n-1} x_i。
• \mathsf{Reconstruct}(x_1, \cdots, x_n):输出x \gets \sum_{i=1}^{n} x_i。

上面，\mathcal{G}是某个组，n是缔约方的数量。该方案是一种(n-1) out n秘密共享方案(即，如果n-1各方公开其共享，则不会泄露关于x的信息，而x可以根据所有的共享进行重构)。

线性秘密共享是指任何线性同态秘密共享方案。也就是说，修正任何门限秘密共享方案(\mathsf{Share}, \mathsf{Reconstruct})，并让k作为它的阈值(即参数，如果k或更多的各方组合他们的共享，他们可以重建，但k-1共享没有透露任何信息)。然后，该方案被称为线性(在某个群\mathcal{G}上)，如果给定(x_1, \cdots, x_n) \gets \mathsf{Share}(x)和(y_1, \cdots, y_n) \gets \mathsf{Share}(y) (对于任意两个输入x,y)，则(x_1+y_1, \cdots, x_n+y_n)形成x+y的有效份额，即\mathsf{Reconstruct}((x_i+y_i)_{i \in S}) = x+y，其中S是\{1, \cdots, n\} |S| \geq t的任何子集。

由此可以看出，加性秘密共享方案(任意组)是具有门限k=n的线性秘密共享的特例。另一种常见的线性秘密共享(具有任意阈值)是使用多项式插值的沙米尔构造。