CSI-RAShi：用于CSIDH的分布式密钥生成技术解析

### CSI - RAShi：用于CSIDH的分布式密钥生成技术解析 在密码学领域，分布式密钥生成（DKG）是保障系统安全的关键技术之一。今天，我们将深入探讨一种名为CSI - RAShi的DKG协议，它基于Shamir秘密共享和非交互式分段可验证零知识证明（NIPVPs），为我们提供了一种强大而安全的密钥生成解决方案。 #### 1. 问题解决与协议概述 为了解决特定的密钥生成问题，我们采用了标准的零知识证明和轮询计算方法。每个参与方计算 $F_i = [z(i)]F_{i - 1}$，其中 $F_0 = E_0$，并公布该值以及一个零知识证明，证明存在一个 $a \in Z_N$ 使得 $F_i = [a]F_{i - 1}$ 且 $R'(i) = [a]R(i)$。这证明了参与方 $P_i$ 诚实地将其秘密密钥份额添加到了 $F_{i - 1}$ 中。 CSI - RAShi是一个基于Shamir秘密共享和NIPVPs的健壮DKG协议，适用于关系 $R_0 = \{((R, R'), f(x)) | [f(0)]R = R'\}$ 和 $R_i = \{(x_i, f) | x_i = f(i)\}$，其见证空间为 $Z_N[x]_{\leq k - 1}$。 #### 2. 协议正确性与保密性 如果零知识证明（ZK）和分段可验证证明（PVP）都是可靠的，那么图1所示的分布式密钥生成协议满足正确性要求。此外，如果 $(E, Z_N)$ 构成一个非常困难的齐次空间，且ZK和PVP是零知识的，那么该DKG协议满足保密性要求。 #### 3. 协议成本分析 在成本方面，我们认为评估 $H$ 和 $C$ 的成本与群操作相比可以忽略不计。在可验证秘密共享（VSS）步骤中，每个参与方计算 $2 + n\lambda$ 个群操作，这些操作可以并行进行。公钥生成步骤本质上是顺序的，玩家需要在继续之前并行验证证明。 | 步骤 | 操作数量 | 说明 | | ---- | ---- | ---- | | VSS步骤 | $2 + n\lambda$ 个群操作 | 可并行计算 | | 公钥生成第一步 | $1 + 4\lambda$ 个群操作 | 玩家可提前计算部分承诺 | | 公钥生成后续步骤 | $1 + 3\lambda$ 个群操作 | 顺序执行 | 假设 $n$ 个合格玩家，总顺序协议成本为 $T(n, \lambda) = 2 + \lambda + n(1 + 4\lambda)$，每个玩家的实际计算工作量为 $T_P(n, \lambda) = 3(1 + n\lambda)$。值得注意的是，这两个成本都与阈值 $k$ 无关。如果有腐败方行为不当，诚实方最多需要计算 $n - k$ 个额外的群操作来恢复 $F_i$，与协议执行的总成本相比，这是一个较小的成本。 #### 4. 基于同源性的实例化 我们使用超奇异椭圆曲线同源图来实例化非常困难的齐次空间（VHHS），就像在CSIDH和CSI - FiSh设置中一样。在这种情况下，$E$ 中的元素是定义在有限域 $F_p$ 上的超奇异椭圆曲线，其自同态环 $O \simeq Z[\sqrt{-p}]$。群 $G$ 是类群 $Cl(Z[\sqrt{-p}])$，它对 $E$ 中的元素自由且传递地作用，具体为 $a * E = E / E[a]$，其中 $E[a] = \{P \in E(F_p) | \alpha(P) = 0 \forall \alpha \in a\}$，对于 $a \in Cl(Z[\sqrt{-p}])$。 为了提高效率，我们选择 $p = 4 \prod_{i = 1}^{n} \ell_i - 1$，其中 $\ell_1 < \cdots < \ell_{n - 1}$ 是前 $n - 1$ 个奇素数，$\ell_n$ 的选择使得 $p$ 成为素数。通过这种选择，群操作可以通过连续评估 $\ell_i$ - 同源性来高效计算。 ####