分散式金鑰產生協定

最原始且最典型的分散式金鑰產生協定(DKG)可視為是n個由Feldman所提出 的可驗證式秘密分享架構平行發生所衍生出來的機制，也就是每個成員Pi都可以 是處理者，然後去分享給其他每個成員他自己所隨機選的秘密z_i，而秘密金鑰就 是所有zi的總合；也由於是由Feldman的可驗證式秘密分享所衍生，因此也保有 yi=g^zi 的特性，分散式金鑰產生協定藉由此特性就可以透過yi的相乘而算出公開

it i

i a a

a g g

g ⁰, ¹,..., 廣播出去，並且秘密地將sij=fi(j)傳送給成員Pj；當成員Pi從其他成 員手中拿到分享值(share)之後，便透過檢驗式子 (mod p)來檢驗所 拿到的分享值是否正確(上式的j=1~n)；如果對於某個j驗證失敗時，此時的成員

i便發出一個針對成員P_j的“質疑異議＂(complaint)廣播訊息，若持續且累積地 接到t個針對成員Pj的質疑異議時，成員Pj便被取消接下來參與重建金鑰過程的權

成員，而做出影響金鑰在產生過程時的值，而達到偏頗影響(bias)的手段，因此 凸顯出此架構一些不安全、不完備之處；最後，他們再利用[Ped91a]，也就是我 們在 2.3 小節所介紹的 Pedersen 為了達到不洩漏任何資訊的承諾(commitment)架 構之構想，來建構出更安全的分散式金鑰產生協定，主要的演算法如下所示：

(1)產生出秘密值x：

每個成員P_i先以處理者的角色，隨機選取一個z_i值，並透過Pederson-VSS的架 構來做以下的計算： 成的集合 QUAL，而且設定他們秘密的分享值(the share of secret)為

；值得一提的是，秘密值 x 其實就是

∑

= _{j QUAL ji}

i s

x

∑

是

∑

(3)萃取出 y=g^x mod p：

每個屬於QUAL集合中的合法成員Pi將利用Feldman的VSS技術將yi= mod p揭露出來：

(3) 在初始承諾階段(initial commitment phase)的設計上，利用於[Ped91a] 篇中 Pedersen-VSS 所提出的承諾(commitment)架構來增強安全性。

2.4.3 J.Canny 等人提出的分散式金鑰產生協定

由目前的介紹看來，Gennaro 等人所提出的分散式金鑰產生協定好像已是無 可挑剔，也因此在 2004 年之前，所有跟分散式金鑰產生相關的架構幾乎都以 Gennaro 等人於[GJKR99]篇中所提的演算法為主要探討典型。但是，J. Canny 等 人卻指出：由於傳統的分散式金鑰產生協定中，每個成員所需傳送的分享值必須 是自己之外的所有其他成員，這情況若實際應用於有著大規模成員參與的系統 時，其所需的非常可觀通訊量將是主要影響此分散式金鑰產生系統在效能的表現 上非常不理想的主因；因此，他們於[CS04]篇中，提出一個以對角帶狀稀疏矩陣 來取代原先以多項式架構的分散式金鑰產生協定，此舉能讓每個成員所需的通訊 量大大降低許多；此構想著實在分散式金鑰產生協定中，一個非常大的突破！

由於這是一個非常創新的做法，因此我們將利用一整個章節(於本篇的第四章) 來探討其主要的構想及針對其重要的特性做進一步地介紹；此外亦將針對其不足 處之探討，而於第五章正式提出我們的隨機稀疏矩陣之分散式金鑰產生架構！