SSSS (Shamir's Secret Sharing Scheme)

Introdução

Implementar o sistema de compartilhamento de segredos de Shamir (veja a descrição na Wikipedia).

A idéia é resumida a seguir.

Para distribuir um segredo para n participantes, com quórum q + 1 (ou seja, q + 1 pessoas conseguem abrir o segredo, mas menos que q + 1 pessoas nada podem fazer):

• crie um polinômio aleatório de grau q com termo constante S. Isto pode ser feito selecionando aleatoriamente q coeficientes a₁, a₂, …, a_q. O polinômio será a_qx^q + ⋯ + a₁x + S.
• selecione aleatoriamente n pontos do polinômio
• dê um ponto a cada participante

Para abrir o segredo:

• quando q + 1 participantes quiserem, podem usar seus pontos para determinar o polinômio -- inclusive o termo constante, S.
• para isto, usam o polinômio interpolador de Lagrange

É necessário fazer mais que a implementação simples. Pode-se escolher entre

• usar corpos finitos para tornar o esquema verdadeiramente seguro (peça ajuda com isto! -- um corpo finito é um corpo (como $\reals$), mas com um número finito de elementos)
• implementar algum tipo de verificação para que não seja possível a um participante fraudar o sistema (peça ajuda com isto também!)

Mais detalhes

Na discussão que segue, "x (mod p)" é "o resto da divisão de x por p".

Distribuição

0. Faça a₀ ter o valor do segredo a ser guardado.
1. Escolha t − 1 números menores que p: a₁, …, a_t − 1, de forma que a(x) = a₀ + a₁x + x₂x² + ⋯ + a_t − 1x^t − 1  (mod p)
2. Para cada participante i, com 1 ≤ i ≤ w, calcule a(i) e entregue a ele o par (i, a(i)).

Combinando de volta o segredo

Par obter o segredo com k chaves, usamos interpolação de lagrange:

1. l(x) = l₁(x) + l₂(x) + ⋯ + l_n(x)  
2. onde: l_j(x) = y_j∏_{1 ≤ x ≤ t; k ≠ j}(x − x_k)/(x_j − x_k)

Como só queremos o polinômio no zero, p(0), simplificamos para

1. l(0) = y_j[l₁(0) + l₂(0) + ⋯ + l_n(0)]
2. l_j(0) = ∏_{1 ≤ x ≤ t; k ≠ j}(x_k)/(x_k − x_j)

SUGESTÃO:

• função para criar o polinômio aleatório
• função para calcular o polinômio em um ponto

• função para distribuir parcela do segredo

• função l(j,parcelas) que calcula l_j(0)

• função combina(parcelas) que calcula l(0), resultando em a₀

Depois,

• função para garantir que, se um participante mudar sua parcela de propósito a fim de que um segredo errado seja aberto, ele seja imediatamente identificado.