Algorithmische Kryptographie Kapitel 15 Elektronische Wahlen 2

(1)

Algorithmische Kryptographie Kapitel 15

Elektronische Wahlen 2

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Threshold-Scheme und Homomorphe Verschl¨usselung Definition und Aussagen

Aufbau Bemerkungen

Homomorphe Verschl¨usselung

Durch ein Zentrum aufgebautes Wahlsystem Einleitung

Aufbau

Test der Angaben der Ausz¨ahler

Wahlsystem ohne Zentrum Verteiler Aufbau von ElGamal

Verteilter Aufbau des Threshold-Scheme

(3)

Threshold-Scheme und Homomorphe Verschl¨usselung Durch ein Zentrum aufgebautes Wahlsystem Wahlsystem ohne Zentrum

(15:1) Walter Unger Z

Ideen, Ziele

I

Wahlsystem, bei dem verschl¨ usselte Stimmen addiert werden.

I

Wahlsystem, mit Ausfallsicherheit.

(4)

Definition und Aussagen (15:2) Walter Unger Z

(t, n)-Threshold-Scheme

Definition

Ein (t,n)-Threshold-Scheme (t6n) ist ein System ausnTeilnehmern mit folgenden Eigenschaften.

1. Jeder Teilnehmeri ∈T hat ein Geheimnissi. 2. Es gibt ein daraus zu bestimmendes Geheimniss.

3. Jede TeilmengeT von Teilnehmern mit|T|>tkann das Geheimniss gemeinsam bestimmen.

4. Jede TeilmengeT von Teilnehmern mit|T|<tkann das Geheimniss nicht gemeinsam bestimmen.

Solch ein System kann ¨uber Polynome vom Gradt−1 aufgebaut werden.

(5)

Polynome vom Grad t − 1

Lemma

Sei f(X) =Pt−1

i=0 aiXⁱ ∈ZZp[X]ein Polynom vom Grad t−1. Sei weiter:

P:={(xi,f(xi))|xi∈ZZp,i= 1, . . . ,t,xi 6=xjf¨ur i6=j}

F¨urQ ⊂ P setze:

PQ:={g∈ZZp[X]|deg(g) =t−1,g(x) =y,∀(x,y)∈ Q}

Dann gilt:

1. PP={f(X)}.

2. FallsQ(Pund x6= 0 f¨ur alle(x,y)∈ Q, dann ist die Verteilung der konstanten Anteile der Polynome gleich der eines a∈ZZp. D.h. die konstanten Anteile der Polynome sind nicht zu unterscheiden.

(6)

Beweis (Teil 1)

Beachte: zur Bestimmung derg(X) =Pt−1

i=0biXⁱ ∈ZZp[X] durchmPunkte (xi,yi) ist das folgende System zu l¨osen:

0 B B B B B B B

@

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

1 C C C C C C C A

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B

@ y1

y2

· · · ym

1 C C A

Fallsm=tdann istAeine Vandermonde Matrix mit det(A) = Y

16i<j6t

(xi−xj)6= 0 fallsxi 6=xj f¨uri 6=j.

(7)

Beweis (Teil 2)

Falls nunQ(PundQ={(x1,y1),(x2,y2), . . . ,(xm,ym)}mit 16m6t−1 dann betrachten wir:

0 B B B B B B B B B B

@

1 0 ... 0

1 x1

.. . x₁^t⁻¹ 1 x2

.. . x₂^t⁻¹

· · · . .. · · · 1 xm

.. . x_m^t⁻¹

1 C C C C C C C C C C A

| {z }

=A

0 B B

@ b0

b1

· · · bt−1

1 C C A

= 0 B B B B

@ a y1

y2

· · · ym

1 C C C C A

I Die Zeilen sind aus einer Vandermonde Matrix, daher linear unabh¨angig (beachtex_i6= 0).

I Damit gibt es eine L¨osung f¨ur jedesa∈ZZp.

I Weiterhin ist der Rang der Matrixm+ 1 unabh¨angig vona.

I Damit sind die konstanten Anteile der Polynome nicht zu unterscheiden.

(8)

Folgerung

Lemma

Sei f(X) =Pt−1

i=0 aiXⁱ ∈ZZp[X]ein Polynom vom Grad t−1.

Sei weiter:P:={(xi,f(xi))|i= 1, . . . ,t,xi 6=xjf¨ur i6=j}.

Dann gilt (Lagrange Interpolation):

f(X) =

t

X

i=1

f(xi) Y

16j6t,i6=j

X−xj

xi−xj

Beweis.

1. Beachte die rechte Seite ist ein Polynom vom Gradt−1.

2. Falls man dortX durchxi ersetzt, dann giltf(xi) =g(xi).

3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

(9)

Aufbau (15:7) Walter Unger Z

Aufbau des (t, n)-Threshold-Scheme

f(X) =Pt i=1f(x_i)Q

16j6t,i6=j X−xj xi−xj

Damit kann nun Shamirs (t, n)-Threshold-Scheme aufgebaut werden.

Ein vertrauensw¨ urdiges Zentrum T f¨ uhrt die folgenden Schritte durch:

1. W¨ ahlt Geheimnis s .

2. W¨ ahlt p Primzahl mit p > max(s, n) und setzt a

0

= s . 3. W¨ ahlt a

1

, a

2

, . . . , a

t−1

∈ {0, . . . , p − 1} zuf¨ allig.

4. Setzt f (X ) = P

t−1 i=0

a

_i

X

ⁱ

.

5. Bestimmt s

_i

= f (i), i ∈ {1, . . . , n}.

Bemerkung geht auch analog mit x

1

, . . . , x

n

.

6. Sendet (i, s

_i

) an Teilnehmer P

_i

.

(10)

Bemerkungen (15:8) Walter Unger Z

Auswertung und Bemerkungen

f(X) =Pt i=1f(x_i)Q

16j6t,i6=j X−xj xi−xj

Sei J ⊂ {1, . . . , n} mit |J| > t , dann gilt

s = a

0

= f (0) = X

i∈J

f (i ) Y

j∈J,j6=i

j

j − i = X

i∈J

s

_i

Y

j∈J,j6=i

j j − i

Bemerkungen:

1. Das Shamir (t, n)-Threshold-Scheme ist perfekt: mit weniger als t Teilnehmern kann keine Information ¨ uber s bestimmt werden.

2. Es ist leicht um neue Teilnehmer erweiterbar, d.h. n kann leicht erh¨ oht werden.

3. Zur Gewichtung kann ein Teilnehmer mehrere Geheimnisse

bekommen.

(11)

Homomorphe Verschl¨usselung (15:9) Walter Unger Z

Erinnerung

Aufbau: p, q Prinzahlen mit q teilt p − 1, G Untergruppe der Ordnung q in Z Z

^∗_p

, g , v Generatoren in G zuf¨ allig.

P: m ∈ {0, . . . , q − 1} V:

w¨ ahle r ∈ {0, . . . , q − 1}

c := g

^r

v

^m

mod p c

_-

r, m

-

Test c ≡

^?

g

^r

v

^m

(mod p)

Wir bezeichnen nun Com(r, m) := g

^r

v

^m

.

(12)

Homomorphe Systeme

Com(r,m) :=g^rv^m

Sei r

1

, r

2

, m

1

, m

2

∈ {0, . . . , q − 1}, dann gilt:

Com(r

₁

, m

₁

) · Com(r

₂

, m

₂

) = g

^r¹

v

^m¹

g

^r²

v

^m²

= g

^r¹

g

^r²

v

^m¹

v

^m²

= g

^r¹^+r²

v

^m¹^+m²

= Com(r

₁

+ r

₂

, m

₁

+ m

₂

)

I

Damit haben wir ein homomorphes Commitment-Schema.

I

Das k¨ onnen wir als Grundlage f¨ ur Wahlen verwenden.

I

Stimme wird in m

_i

kodiert.

I

Ausz¨ ahlung der Stimmen geht ohne das ¨ Offnen der

Einzelstimmen.

(13)

Idee zur Wahl mit Homomorphen System

Com(r,m) :=g^rv^m

I

W¨ ahler i w¨ ahlt m

i

∈ {0, 1} und Zufallszahl r

i

∈ {0, . . . q − 1}.

I

W¨ ahler i bestimmt c

_i

:= g

^rⁱ

v

^mⁱ

.

I

W¨ ahler i ver¨ offentlicht c

i

.

I

W¨ ahler i verschl¨ usselt f¨ ur T den Wert E

_T

(g

^rⁱ

).

I

T bestimmt:

D

_T

(

n

Y

i=1

E

_T

(g

^rⁱ

)) =

n

Y

i=1

g

^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

I

T ver¨ offentlicht: g

^Pⁿⁱ⁼¹^rⁱ

.

I

Jeder W¨ ahler kann bestimmen:

Q

_n

i=1

c

_i

g

^Pⁿⁱ⁼¹^rⁱ

=

Q

_n

i=1

g

^rⁱ

v

^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= g

^Pⁿⁱ⁼¹^rⁱ

v

^Pⁿⁱ⁼¹^mⁱ

g

^Pⁿⁱ⁼¹^rⁱ

= v

^Pⁿⁱ⁼¹^mⁱ

(14)

Einleitung (15:12) Walter Unger Z

Einleitung

Com(r,m) :=g^rv^m

I

Wir betrachten hier ja–nein Wahlen.

I

Das System wird durch ein vertrauensw¨ urdiges Zentrum aufgebaut.

I

Dies Zentrum bestimmt die n Ausz¨ ahler.

I

Das System ist sicher, solange sich nicht t der Ausz¨ ahler zusammentun.

I

Weiterhin ist es robust, d.h. solange mindestens t Ausz¨ ahler arbeiten und kein Aus¨ ahler absichtlich fehlerhafte Information abliefert, kann die Wahl durchgef¨ uhrt werden.

I

Die Kommunikation erfolgt ¨ uber ein Bulletin Board, ist also

¨ offentlich.

I

Beteiligt sind: das Zentrum T ,

n Ausz¨ ahler A

1

, A

2

, . . . , A

n

und m W¨ ahler V

1

, V

2

, . . . , V

m

.

(15)

Verschl¨ usselungssystem

Com(r,m) :=g^rv^m

T: B:

w¨ahltp,qPrimzahlen qgroßer Teiler vonp−1

G Untergruppe von ZZ^∗p der Ordnungq w¨ahltg Generator inG

w¨ahlts∈ {0, . . . ,q−1}zuf¨allig h:=g^s

p,h,g

- ^p,^h,^g

Damit haben wir ein ElGamal System.

(16)

Eigenschaften

gGenerator inG h:=g^s

I Einm∈G wird verschlüsselt mit (c1,c2) = (g^α,h^αm) mit einem zufällig gewähltenα∈ {0, . . . ,q−1}.

I Die Entschlüsselung erfolgt übersdurchm=c2c₁^−s. I Diese Verschlüsselung ist homomorph:

I Sei (c1,c2) und (c₁⁰,c₂⁰) Verschl¨usselung vonmundm⁰.

I Dann gilt:

(c₁,c₂)(c₁⁰,c₂⁰) = (c₁c₁⁰,c₂c₂⁰)

= (g^αg^α⁰,h^αmh^α⁰m⁰)

= (g^α+α⁰,h^α+α⁰mm⁰)

= Verschl¨usselung vonmm⁰

(17)

Aufbau

gGenerator inG h:=g^s (c₁,c₂) = (g^α,h^αm)

Zentrum T: B:

bestimmt Shamir

(t,n)-Threshold-Scheme d.h. (j,sj) f¨ur 16j6n

hj:=g^s^j f¨ur 16j6n (j,hj)

16j6n- ^(j,^h^j^{), 1}6j6n

Sodann werden noch die Teilgeheimnisse ¨uber einen sicheren Kanal an die Ausz¨ahler verteilt:

Zentrum T: Aj:∈ {1, . . . ,n}

(j,sj,hj), 16j6n

(j,sj)

- ^(j,^s^j⁾

(18)

Entschl¨ usselung

Damit kann nun ein (c1,c2) = (g^α,h^αm) mit Hilfe derAi entschl¨usselt werden, ohnes explizit zu bestimmen.

Aj:∈ {1, . . . ,n},(j,sj) B:(c1,c2) = (g^α,h^αm) (c1,c2)

wj:=c₁^s^j wj

-

J={j|Aj ehrlich geantwortet}

c1^s=c

P j∈Js_jλ_j,J 1

=Q

j∈J(c₁^s^j)^λ^j,J

=Q

j∈Jw_j^λ^j,J mit:λj,J =Q

l∈J,l6=j l l−j

m=c2c₁^−s

(19)

Uberblick ¨

gGenerator inG h:=g^s (c1,c2) = (g^α,h^αm)

Damit k¨onnen wir mit dem Wahlsystem weiter machen. Dazu benutzen wir als Idee das oben vorgestellte System zur Entschl¨usselung.

I Jeder Wähler wähltαi zufällig.

I Jeder WählerVi wähltvi ∈ {−1,1}und verschlüsselt seine Wahl durch g^vⁱ,

I d.h. durchci = (ci,1,ci,2) = (g^αⁱ,h^αⁱg^vⁱ) I und ver¨offentlich dies mit einer Unterschrift.

I Weiterhin wird abgesichert, dassvi ∈ {−1,1}gilt.

(20)

Protokoll

Vj:∈ {1, . . . ,m} B:

w¨ahltvi ∈ {−1,1}

ci= (ci,1,ci,2) = (g^αⁱ,h^αⁱg^vⁱ) ci

- ^cⁱ

Unterschreibtc_i

--

Beweistv_i∈ {−1,1}

--

(21)

Ausz¨ ahlen

Aj:(j,sj) B:ci= (ci,1,ci,2), 16i 6m c= (c1,c2) = (Qm

i=1ci,1,Qm i=1ci,2) c ist Verschl¨usselung vong^d mitd=Pm

i=1vi

(c1,c2) wj:=c₁^s^j wj

-

Beweist w_j:=c^sj₁

-- ^J⁼^{j^|^A^j ehrlich geantwortet}

c1^s=c

P j∈Js_jλ_j,J

1 =Q

j∈J(c₁^s^j)^λ^j,J =Q

j∈Jw_j^λ^j,J mit:λj,J =Q

l∈J,l6=j l l−j

g^d=c2c₁^−s

f¨ur allex ∈ {−m, . . . ,m}testeg^x=^? c2c₁^−s Wahlergebnisemit:g^e =^? c2c₁^−s

(22)

Zwischenbemerkungen

1. Der Test ¨uber die Ehrlichkeit vonTi undVi wird im Folgenden betrachtet.

2. Die Sicherheit und Ausfallsicherheit ergibt sich ¨uber Shamirs (t,n)-Threshold-Scheme.

3. Weitere Sicherheit ergibt sich über das verwendete ElGamal Verschlüsselungsverfahren, d.h. Sicherheit über Schwierigkeit des Diffie-Hellman-Problems.

(23)

Test der Angaben der Ausz¨ahler (15:21) Walter Unger Z

Test der Angaben der Ausz¨ ahler

1. Ein Ausz¨ahlerAj muss zeigen, dasswj

=? c₁^s^j gilt.

2. Dabei ist bekannt, dasshj=g^s^j gilt.

3. D.h. es ist zu zeigen, dass der diskrete Logarithmus gleich ist f¨urhj und wj.

4. Damit ist ein Protokoll anzugeben, das zeigt, dassy1=g1^x undy2=g2^x

gilt.

(24)

Test der Angaben der Ausz¨ ahler

P:x,y1,y2,g1,g2,p,q V:y1,y2,g1,g2,p,q Es gilt:y1=g1^x undy2=g2^x.

r∈ {0, . . . ,q−1}zuf¨allig

a:= (a1,a2) := (g1^r,g2^r) -a

c ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx b

-

Teste:a1

≡? g₁^by₁^c (modp) Teste:a2

≡? g₂^by₂^c (modp)

(25)

Aussagen

gGenerator inG h:=g^s (c₁,c₂) = (g^α,h^αm) P:x,y₁,y₂,g₁,g₂,p,q V:y₁,y₂,g₁,g₂,p,q

Es gilt:y₁=g₁^xundy₂=g₂^x. r∈ {0, . . . ,q−1}zuf¨allig a:= (a₁,a₂) := (g₁^r,g₂^r) a

- ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx c

-b ^Teste:^a¹

≡?g₁^by₁^c (modp)

Teste:a₂≡^?g₂^by₂^c (modp)

Lemma

F¨ur das obige Protokoll gilt:

1. Wenn P x kennt, dann kann P V ¨uberzeugen.

2. Wenn V mit Wahrscheinlichkeit>1/p ¨uberzeugt wird, dann kennt P x .

(26)

Beweis

Es gilt:y₁=g₁^xundy₂=g₂^x. r∈ {0, . . . ,q−1}zuf¨allig

a:= (a₁,a₂) := (g₁^r,g₂^r) a

- ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx c

b - ^Teste:^a¹

≡? g₁^by₁^c (modp)

Teste:a₂≡^? g₂^by₂^c (modp)

Wir betrachten zuerst die Möglichkeit fürP⁰ zu betrügen.

P⁰:x,y1,y2,g1,g2,p,q V:y1,y2,g1,g2,p,q r,˜c∈ {0, . . . ,q−1}zuf¨allig

a:= (a1,a2) := (g₁^ry₁^˜^c,g₂^ry₂^c^˜) a-

c ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx b-

teste:g1^ry^˜^c≡a1

≡? g1^by1^c (modp) teste:g2^ry^˜^c≡a2

≡? g2^by2^c (modp) Betrug ist erfolgreich, fallsc= ˜c

(27)

Beweis

Nun betrachten wir den Fall, dassP⁰mit Wahrscheinlichkeit>1/p betrogen wird. Dann ergibt sich folgende Beweiskette:

1. P⁰ kann zwei Anfragen f¨ur einabeantworten.

2. P⁰ kann f¨ura:= (a1,a2) und zwei Anfragenc,˜cbeantworten.

3. P⁰ kann berechnenb,b˜mit

a1=g₁^ry₁^c a2=g₂^ry₂^c a1=g1^ry1^˜^c a2=g2^ry2^˜^c

4. P⁰ kann berechneng₁^˜^b−b=y^c−˜^c undg₂^b−b^˜ =y₂^c−˜^c. 5. P⁰ kann berechnen ^b−b^˜_c−˜_c = log_g

1(y1) = log_g

2(y2).

6. P⁰ kannx berechnen und das ist ein Widerspruch zur Annahme.

(28)

Bemerkungen

1. Es ist nicht bekannt, ob obiges Protokoll ein Zero-Knowledge-Proof ist.

2. Es ist aber ein Ehrlicher-Verifizierer Zero-Knowledge-Proof.

3. D.h. es ist Zero-Knowledge wenn man annimmt, dassV immer c∈ {0, . . . ,q−1}wirklich zuf¨allig w¨ahlt.

4. Dann ist folgende Simulation der Kommunikation m¨oglich:

4.1 W¨ahle ˜b∈ {0, . . . ,q−1}zuf¨allig

4.2 Wähle ˜c∈ {0, . . . ,q−1}zufällig (Ehrlicher-Verifizierer) 4.3 Setze ã1:=g₁^˜^by₁^c^˜.

4.4 Setze ã2:=g₂^˜^by₂^c^˜. Return (ã1,ã2,c,˜ ˜b).

(29)

Bemerkungen

1. Dieses Transcript (ã1,ã2,˜c,b) ist ein akzeptierendes Transcript.˜ 2. Beachte weiter, dass alle Elemente zufällig gewählt worden sind, wie die

Elemente eines durch (P,V) erzeugten Transcripts.

3. Diese Eigenschaft, dass das Protokoll ein Ehrlicher-Verifizierer Zero-Knowledge-Proof ist, kann ausgenutzt werden, um den Test der Angaben der Ausz¨ahler sicher zu machen.

4. Dazu wird obiges Protokoll in ein nicht-interaktives Protokoll ¨ubergef¨uhrt.

5. Sei dazuh:{0,1}^∗→ZZp eine kollisionssichere Hashfunktion.

6. Damit werden nun ausy1,y2,g1,g2werdenc,b bestimmt.

7. Das entspricht dann einem ehrlichen Verifizierer.

(30)

Nicht–interaktives Protokoll

Es gilt:y₁=g₁^xundy₂=g₂^x. r∈ {0, . . . ,q−1}zuf¨allig a:= (a₁,a₂) := (g₁^r,g₂^r) a

- ^c∈ {0, . . . ,q−1}zuf¨allig

b:=r−cx c

-b ^Teste:^a¹

≡?g₁^by₁^c (modp)

Teste:a₂≡^?g₂^by₂^c (modp)

P:x,y1,y2,g1,g2,p,q V:y1,y2,g1,g2,p,q Es gilt:y1=g1^x undy2=g2^x.

r∈ {0, . . . ,q−1}zuf¨allig a:= (a1,a2) := (g1^r,g2^r)

c:=h(g1y1g2y2a1a2) c,b -

c=^? h(g1y1g2y2g1^by1^cg2^by2^c)

Dieses Protokoll ist dann vom Sicherheitsaspekt her betrachtet ausreichend, denn es beinhaltet einen Ehrlicher-Verifizierer Zero-Knowledge-Proof.

(31)

(15:29) Walter Unger Z

Einleitung

1. Um solch ein Protokoll anzugeben, reicht es aus, das Zentrum T zu eleminieren.

2. Dazu werden die Aufgaben des Zentrums T auf die n Ausz¨ ahler verteilt.

3. Die erste Aufgabe das Zentrums, das Erstellen eines ElGamal

Verschl¨ usselungsverfahrens, kann wie folgt von A

₁

, A

₂

, . . . , A

_n

ausgef¨ uhrt werden.

(32)

Verteiler Aufbau von ElGamal (15:30) Walter Unger Z

Verteiler Aufbau von ElGamal

1. AlleAi einigen sich auf einen AlgorithmusAs zur Schl¨usselerzeugung mit Zufallseingaber.

2. JedesAi w¨ahltri und bestimmtci =LockableBox(ri).

3. AlleAi ver¨offentlichenci. 4. AlleAi ver¨offentlichenri.

5. AlleAi testencj=LockableBox(rj).

6. AlleAi bestimmenr:=⊕ⁿ_r=1ri.

7. AlleAi nutzenAs ump,q,g zu bestimmen.

(33)

Verteiler Aufbau von ElGamal (15:31) Walter Unger Z

Verteiler Aufbau von ElGamal (2.Teil)

1. JedesAi w¨ahlt seinen geheimen Schl¨usselxi∈ {0, . . . ,q−1}und setzt

hi := g^xⁱ und

ci := LockableBox(hi).

2. AlleAi ver¨offentlichenci.

3. ¨Uber geheimen Kanal ¨offen alleAi ihreci. 4. JedesAi bestimmth:=Qn

r=1hi den gemeinsamen ¨offentlichen Schl¨ussel.

5. Bemerkung: der geheime Schl¨ussel ist dannx:=Pn r=1xi.

(34)

Verteilter Aufbau des Threshold-Scheme (15:32) Walter Unger Z

Idee

x:=Pn r=1x_i

1. Im Weiteren muss noch das (t,n)-Threshold-Scheme von denAi

aufgebaut werden.

2. Dazu wird f¨ur jedes derAi ein eigenes (t,n)-Threshold-Scheme bestimmt und

3. diese dann zu einem gemeinsamen (t,n)-Threshold-Scheme zusammengefasst.

(35)

Idee

x:=Pn r=1x_i

f(X) = x +a1·X +a2·X² +a3·X³ +a4·X⁴

↑ ↑ ↑ ↑ ↑

A1: f1(X) = x1 +a1,1·X +a1,2·X² +a1,3·X³ +a1,4·X⁴ A2: f2(X) = x2 +a2,2·X +a2,2·X² +a2,3·X³ +a2,4·X⁴ A3: f3(X) = x3 +a3,2·X +a3,2·X² +a3,3·X³ +a3,4·X⁴

..

. ... ... ... ... ... ... ... An: f3(X) = xn +an,2·X +an,2·X² +an,3·X³ +an,4·X⁴ Damit ist das Geheimnisx schon auf die Teilnehmer verteilt.

Idee: Verteile die Anteile der St¨utzstellen der pers¨onlichen Polynome an die Teilnehmer.

(36)

Idee

x:=Pn r=1x_i

1. D.h.Ai bestimmtfi(X)∈ZZp[X] ein Polynom vom Gradt−1 mitfi(0) =xi.

2. Dann ergibt sich das gemeinsame Polynom f(X) :=

t−1

X

i=0

fi(X) mitf(0) =x. 3. Dabei muss noch sichergestellt werden,

dassf(X) vom Gradt−1 ist.

4. Der Anteil vonAjist dann (j,f(j)) mitf(j) =Pt−1 i=0 fi(j).

5. Wichtig: Die Korrektheit der Rechnungen muss getestet werden.

(37)

Verteilter Aufbau des (t, n)-Threshold-Scheme

x:=Pn r=1x_i

1. AlleAi w¨ahlenpPrimzahl mitp>max(x,n) d.h.p>max(n·xi,n).

2. JedesAi w¨ahltfi,j∈ {0, . . . ,p−1}f¨urj= 1, . . . ,t−1 und setzt fi,0:=xi. Dann wird gesetzt:

fi(X) := Pt−1 j=0fi,jX^j 3. AlleAi setzenFi,j:=g^f^i,j

und ver¨offentlichen diese f¨urj= 1, . . . ,t−1.

4. AlleAi testen, obPn

i=1fi(x) einen Grad vont−1 hat.

Dazu wird getestet, obQn i=1Fi,t−1

?

6= 1 (Also:Pn i=1fi,t−1

?

6= 0).

5. JedesAi verteiltsi,l =fi(l) an die anderenAl ¨uber sichere Kan¨ale.

6. JedesAi testet, ob die empfangenensl,i die richtigen sind.

D.h.Ai testetg^s^l,i =^? Qt−1

j=0(Fl,j)^{i j} (Also:fl(i)=^? Pt−1 j=0fj,li^j).

7. JedesAi setztsi :=Pn l=1sl,i.

8. JedesAi signiert bei fehlerfreien Ablauf dash.

(38)

Fragen

x:=Pn r=1x_i

I

Wozu dient eine Homomorphe Verschl¨ usselung?

I

Wozu dient ein (t, n)-Threshold-Scheme?

I

Wie baut man ein (t, n)-Threshold-Scheme?

I

Was ist die Idee des obigen Wahlverfahrens?

I

Wie ist die Idee des gemeinsamen Aufbau eines Verschl¨ usselungsverfahrens?

I