这篇文章首先发表在 Medium 上。

分布式密钥生成 (DKG) 是一种加密货币协议，使多方能够协作生成共享密钥，而无需任何一方完全了解密钥。 它通过在多个参与者之间分配信任来增强各种应用程序的安全性，从而降低密钥泄露的风险。 我们引入了一种可验证且无经销商的 DKG，适合在区块链中使用。

沙米尔秘密共享（SSS）

沙米尔的秘密共享 (SSS) 是一种加密货币方法，允许将秘密分为多个部分，每个参与者都持有一部分秘密，称为共享。 SSS 的关键特征是，只有当预定义数量的共享（称为阈值）组合在一起时才能重建秘密。 它是一个阈值方案，表示为 (t,n)，其中 n 是分配的份额总数，t 是重构秘密所需的最小份额数量。

SSS 方案的核心是点唯一定义多项式的数学概念。 具体来说，需要两个点来定义直线，需要三个点来定义抛物线，等等。 因此，次数为 (t-1) 的多项式由 t 个点唯一确定。 在此方案中，构造一个 (t-1) 次多项式，使得 n 个多项式中的每一个参与者与该多项式上的一个点相关联，该点编码一个秘密。 为了恢复多项式，从而恢复秘密，只需要这些点中的 t 个。 任何由 t 个参与者组成的组，每个人都持有自己的份额，都可以重建原始的次数多项式 (t-1)。 该秘密作为 y 截距嵌入到多项式中，表示多项式在 x=0 处的值，这实际上使其成为多项式的常数项。 通过这种方法，可以安全、准确地检索秘密。

让我们检查 (3, 4) 秘密共享方案。 负责划分秘密的实体（称为经销商）构造一个 2 次多项式，即 (t-1)：

f(x) = s + a₁x + a2x2

s 表示 y 截距处的秘密值（即 f(0)），而 a₁ 和 a2 是随机数。

信用：(3, 4) 经销商的 SSS，其中 s = f(0)

SSS 由两个主要过程组成：

可验证的秘密共享（VSS）

在Shamir秘密共享中，参与者不知道自己收到的份额与其他参与者收到的份额是否一致。 例如，恶意经销商给予P₁、P2和P₃正确的份额f(1)、f(2)和f(3)，但给予P₄错误的份额，即不是f(4)。 如果稍后选择P₄，则无法正确恢复秘密值。

可验证秘密共享 (VSS) 是 Shamir 秘密共享方案的扩展，允许验证秘密共享的正确性。 这是在不泄露共享本身的情况下完成的，否则每个人都知道所有共享，从而可以恢复秘密本身，从而破坏了秘密共享的整个目的。

在 VSS 中，除了份额之外，经销商还向每个参与者发送对所有多项式系数的承诺。 一种提交方法是使用椭圆曲线：

c₀ = sG

c₁ = a₁G

c2 = a2G

cᵢ 承诺aᵢ。 G 是生成点。

Pᵢ 可以通过检查以下等式是否成立来独立验证其份额的有效性：

f(i)G =? c₀ + c₁i + c2i²

这是因为

f(i)G = (s + a₁i + a2i2)G = sG + a₁iG + a2i2G = c₀ + c₁i + c2i2

请注意，她知道方程式中所需的所有信息。 如果等式不成立，她就知道经销商不诚实，可以直接终止。

分布式密钥生成

在这个阶段，我们已经掌握了分发密钥的技术，以便所有参与者都可以接收并验证它。 然而，我们面临一个问题——经销商知道最初的秘密。

分布式密钥生成（DKG）通过允许每个参与者为密钥的整体随机性做出贡献来解决这个问题。 无经销商 DKG 基本上进行 n 次独立的 VSS 运行。 在第 i 次运行中，Pᵢ 充当经销商来分发秘密 sᵢ。 每个参与者从其他参与者那里收集秘密份额，最终份额是每次运行中份额的总和。 最终的秘密是所有运行中秘密的总和。

为了了解原因，让我们考虑以下两个代表秘密 a 和 b 的多项式：

f₁(x) = a + a₁x + a2x² + …

f2(x) = b + b₁x + b2x2 + …

这两个多项式可以相加形成最终的密钥多项式：

f(x) = (a+b) + (a₁+b₁)x + (a2+b2)x2 + …

f(x) 编码秘密 a+b，它是两个单独秘密的总和。 它的份额也是原始两个多项式的两个单独份额的总和。

学分：两个多项式相加

观看：sCrypt 应用程序正在证明比特币有多么强大

区块链新手？ 查看 CoinGeek 的区块链初学者部分，这是了解更多有关区块链技术的终极资源指南。