FeldmanVSS note

历史

5.feldman在本文提出了第一个非交互的方案，仅需要两轮通信。

初始化
1. 椭圆曲线(如Secp256k1)；
2. 随机数生成器；
密钥分享(dealer)
1. 输入{secret, k, n}，secret在内部转换为Secp256k1Scalar；
2. 生成多项式函数的系数coefs = {a0,a1,a2,...,ak-1}，表示一个k-1次多项式，
$a(x) = a_0 + a_1x + a_2x^2 + \cdots + a_{k-1}x^{k-1}$ ，a0 = secret，需要k个点的数据才能恢复； 3. 在多项式上取n个点，生成n个子密钥，{<1, a(1)>, <2,a(2)>, ..., }，计算过程x值全部转化成`Secp256k1Scalar`； 4. 生成k个系数的commitments， $c(i) = g^{a_i}$ ，其中g是椭圆曲线上的的generator
密钥恢复(dealer)
1. 任意k个点，使用Lagrange插值恢复出secret；
2. 验证 c0 == g^secret
子密钥验证(players)
1. 任何子密钥持有者执行以下校验，{<i, a(i)>, {c0,c1,c2,..ck-1}}
$g^{a_i} = g^{a_0 + a_1i + a_2i^2 + \cdots + a_{k-1}i^{k-1}} = c_0 c_1^ic_2i^2...c_{k-1}i^{k-1}$ 通过验证表明dealer分配的子密钥是正确的。