参考文献：

1. [KW93] Karchmer M, Wigderson A. On span programs[C]//[1993] Proceedings of the Eigth Annual Structure in Complexity Theory Conference. IEEE, 1993: 102-111.
2. [CDM00] Cramer R, Damgård I, Maurer U. General secure multi-party computation from any linear secret-sharing scheme[C]//International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2000: 316-334.
3. [GPSW06] Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM conference on Computer and communications security. 2006: 89-98.
4. [Bei11] Beimel A. Secret-sharing schemes: A survey[C]//International conference on coding and cryptology. Berlin, Heidelberg: Springer Berlin Heidelberg, 2011: 11-46.

[Bei11] 做了 SSS 的详细调查，描述了一些构造方法（都是 LSSS），并总结了 shares 规模的下界。

Secret-Sharing Schemes

Access Structure

秘密分享协议（SSS）是定义在某个访问结构上的，由它来控制哪些秘密重构是有效的或者无效的。一般地，人们只考虑 “单调的” 访问结构。

首先，我们定义 Access Structure，

我们说 $B\subseteq \mathcal{A}$ 是极大非授权集（maximal unauthorized set），如果添加任意的 p ∈ { p 1 , ⋯ , p n } \ B p \in \{p_1,\cdots,p_n\}\backslash B p∈{p1​,⋯,pn​}\B 都会使得 B ∪ { p } B \cup\{p\} B∪{p} 是授权的。我们说 $T\subseteq \mathcal{A}$ 是极小授权集（minimal authorized set），如果任意的子集 $T^{\prime }⊊T$ 都是非授权的。注意区分极大（maximal）最大（maximum）以及极小（minimal）最小（minimum）。

其次，我们定义 Distribution Scheme，

定义这个分发协议的 information ratio（信息比），
$$\frac{{\max }_{1\le j\le n}\log |K_j|}{\log |K|}$$
定义这个分发协议的 average information ratio（平均信息比），
$$\frac{{\sum }_{j=1}^n\log |K_j|}{n\log |K|}$$
有时候，也使用术语 information rate（信息率）表示它的倒数。英文中，ratio（比）表示分子和分母之间不存在包含关系，rate（率）表示分子已经包含在了分母中。

Two Definitions

现在，我们给出 SSS 的两种定义，它们是等价的，只是在不同场景下的便利性存在区别。

基于概率，定义：

基于香农熵，定义：

Constructions of SSS

Shamir’s Threshold Secret-Sharing Scheme

Shamir’s SSS 大约是最著名的方案了，它基于拉格朗日插值。给定 t-out-of-n 访问结构，
A t = { B ⊆ { p 1 , p 2 , ⋯ , p n } : ∣ B ∣ ≥ t } \mathcal A_t = \{B \subseteq \{p_1,p_2,\cdots,p_n\} : |B| \ge t\} At​={B⊆{p1​,p2​,⋯,pn​}:∣B∣≥t}
其中 $1\le t\le n$。注意恰好 $t$ 个参数方能否重建秘密，在不同的文章中采用的是不同的。

设置 secrets 以及 shares 的范围是有限域 ${\mathbb{F}}_q,q>n$，初始配置 ${\alpha }_1,\cdots ,{\alpha }_n\in {\mathbb{F}}_q$ 是不同的非零公开值。某个 dealer 持有秘密 $k\in {\mathbb{F}}_q$，它随机选择 $a_1,\cdots ,{\alpha }_{t-1}\leftarrow {\mathbb{F}}_q$，定义次数 $t-1$ 的多项式：
$$P(x)=k+\sum _{i=1}^{t-1}{a}_i{x}^i$$
计算 $s_j=P({\alpha }_j)$ 分发给参与者 $p_j$

对于某个授权集合 $B\in {\mathcal{A}}_t$，它们持有至少 $t$ 个点值对 $({\alpha }_j,s_j)$​，使用 Lagrange’s interpolation theorem 容易唯一地恢复出 $P(x)$

可以证明 Shamir’s SSS 是完美正确的、完美隐私的。它的 shares 的大小和 secret 大小相同。

Undirected s-t-Connectivity

The s-t connectivity problem for undirected graphs：给定一张无向图 $G=(V,E)$，确定两个点 $s,t\in V$ 是否位于同一个连通分量（connected component，极大的连通子图）。这个问题是 PPT 可解的。

Benaloh and Rudich 考虑了 $m$ 个点的完全图 $G=(V,E)$，其中 V = { v 1 , ⋯ , v m } V=\{v_1,\cdots,v_m\} V={v1​,⋯,vm​} 以及 $E=\{(v_i,v_j):i<j\}$。我们将 $n=\left(\genfrac{}{}{0ex}{}{m}{2}\right)$ 个参与者 $p_{ij}$ 关联到各个边，把某个包含从 $v_1$ 到 $v_m$ 路径的边集作为一个授权集，它们的收集是 ${\mathcal{A}}_{ustcon}$

设置 secrets 以及 shares 的范围是有限加群 $H$。某个 dealer 持有秘密 $k\in H$，它随机选择 $r_2,\cdots ,r_{m-1}\leftarrow H$，设置 $r_1=k$ 以及 $r_m=0$，然后计算 $s_{ij}=r_j-r_i,\forall i<j$ 作为各个参与方的 shares

对于某个授权集合 $B\in {\mathcal{A}}_{ustcon}$，它们包含了一条从 $v_1$ 到 $v_m$ 的路径，把这些边对应的 shares 累加起来，
$$(r_1-r_j)+(r_j-r_i)+\cdots +(r_k-r_m)=r_1-r_m=k$$
可以证明 Undirected s-t-Connectivity 是完美正确的、完美隐私的。它的 shares 的大小和 secret 大小相同。

Ito, Saito, and Nishizeki’s Constructions

Ito, Saito, and Nishizeki 定义了 SSS for general access

structures，并给出了 SSS for every monotone access structures 的一种构造方法。

设置 secrets 的范围是布尔值 { 0 , 1 } \{0,1\} {0,1}。某个 dealer 持有秘密 k ∈ { 0 , 1 } k \in \{0,1\} k∈{0,1}，对于任意的单调访问结构 $\mathcal{A}$ 中的每一个授权集 B = { p i 1 , ⋯ , p i l } B=\{p_{i_1},\cdots,p_{i_l}\} B={pi1​​,⋯,pil​​}，

1. 随机选择 r 1 , ⋯ , r l − 1 ← { 0 , 1 } r_1,\cdots,r_{l-1} \gets \{0,1\} r1​,⋯,rl−1​←{0,1}，计算 $r_l=k\oplus r_1\oplus \cdots \oplus r_{l-1}$
2. 将 $r_j$ 分发给 $p_{i_j}\in B$，参与方将这些 shares 按照 $B\in \mathcal{A}$ 组织起来

对于某个授权集合 $B\in \mathcal{A}$，参与者取出它索引的 $r_j$，计算
$$r_1\oplus \cdots \oplus r_{l-1}\oplus r_l=k$$
可以证明这个 SSS for every monotone access structures 是完美正确的、完美隐私的。某个参与者的 share 大小是它位于 $\mathcal{A}$ 中多少个授权集内。一种简单的优化是：dealer 只对访问结构中的 minimal authorized sets 分发秘密，此时某个参与者的 share 大小是它位于 $\mathcal{A}$ 中多少个极小授权集内。

对于 $n/2$-out-of-$n$ 访问结构（它是单调的），每个参与者都持有 $\left(\genfrac{}{}{0ex}{}{n-1}{n/2-1}\right)=\Theta (2^n/\sqrt{n})$ 比特的 share，指数长（这比 Shamir’s SSS 差得多）。换句话说，只有一小部分的单调访问结构是可以被高效处理的（efficiently realize a family of access structures）。

The Monotone Formulae Construction

Benaloh and Leichter 推广了 Ito, Saito, and Nishizeki’s Constructions，他们基于 monotone formulae（单调公式）构造了 SSS。这所谓的单调公式是指 a formula with OR and AND gates without negations and without negated variables

为了高效地描述 access structure，他们将它视为一个布尔函数：

• 给定某集合 B ⊆ { p 1 , ⋯ , p n } B \subseteq \{p_1,\cdots,p_n\} B⊆{p1​,⋯,pn​}，它的 characteristic vector 是 v B ∈ { 0 , 1 } n v_B \in \{0,1\}^n vB​∈{0,1}n 满足 $v_B[j]=1⟺p_j\in B$
• 给定任意的访问结构 $\mathcal{A}$，定义布尔函数 f A : { 0 , 1 } n → { 0 , 1 } f_{\mathcal A}: \{0,1\}^n \to \{0,1\} fA​:{0,1}n→{0,1}，满足 $f_{\mathcal{A}}(v_B)=1⟺B\in \mathcal{A}$
• 由于访问结构 $\mathcal{A}$ 是单调的，因此 $f_{\mathcal{A}}$ 是一个单调公式

为了消除访问结构中的 redundant parties（那些不属于任何一个 minimal authorized sets 的参与者），他们递归地把两个较小的访问结构上的 SSS 组合起来。首先，给定两个访问结构 ${\mathcal{A}}_1,{\mathcal{A}}_2$，我们定义：

• 访问结构 A 1 ∨ A 2 = { B : ( B ∈ A 1 ) ∨ ( B ∈ A 2 ) } \mathcal A_1 \vee \mathcal A_2 = \{B: (B \in \mathcal A_1) \vee (B \in \mathcal A_2)\} A1​∨A2​={B:(B∈A1​)∨(B∈A2​)}

• 访问结构 A 1 ∧ A 2 = { B : ( B ∈ A 1 ) ∧ ( B ∈ A 2 ) } \mathcal A_1 \wedge \mathcal A_2 = \{B: (B \in \mathcal A_1) \wedge (B \in \mathcal A_2)\} A1​∧A2​={B:(B∈A1​)∧(B∈A2​)}

• 给定单调公式 $f_{{\mathcal{A}}_1},f_{{\mathcal{A}}_2}$，容易验证 $f_{{\mathcal{A}}_1\vee {\mathcal{A}}_2}=f_{{\mathcal{A}}_1}\vee f_{{\mathcal{A}}_2}$ 以及 $f_{{\mathcal{A}}_1\wedge {\mathcal{A}}_2}=f_{{\mathcal{A}}_1}\wedge f_{{\mathcal{A}}_2}$

现在，我们假设已经存在了两个 SSS 协议 ${\Sigma }_i$ 分别关于 ${\mathcal{A}}_i$，假设 secret 范围是加群 $K={\mathbb{Z}}_m$，各个参与者的 shares 范围分别是 $K^{a_{ij}}$，这里 $a_{ij}$ 是维度， i ∈ { 1 , 2 } i \in \{1,2\} i∈{1,2} 指示的哪个 SSS，$j\in [n]$ 指示的哪个 party，定义 $a_j=a_{1,j}+a_{2,j}$

某个 dealer 持有秘密 $k\in K$，它根据两个协议 ${\Sigma }_i$ 去构造新的 SSS 协议，

1. 构造 ${\mathcal{A}}_1\vee {\mathcal{A}}_2$ 的 SSS 协议：独立地使用 ${\Sigma }_i$ 分发 $k$，此时参与者的 shares 范围是 $K^{a_j}$。重构过程是平凡的。
2. 构造 ${\mathcal{A}}_1\wedge {\mathcal{A}}_2$ 的 SSS 协议：随机选择 $k_1\leftarrow K$，计算 $k_2=k-k_1(\mathrm{mod}m)$，分别使用 ${\Sigma }_i$ 分发 $k_i$，此时参与者的 shares 范围是 $K^{a_j}$。重构过程中，首先分别重构 $k_1,k_2$，然后再计算 $k=k_1+k_2(\mathrm{mod}m)$
3. 某个授权集 $B\in \mathcal{A}$ 的最基本 SSS 协议：可以使用 Ito, Saito, and Nishizeki’s Constructions

可以证明这个 SSS 是完美正确的、完美隐私的。虽然 Benaloh and Leichter’s Constructions 可以高效地处理比 Ito, Saito, and Nishizeki’s Constructions 所能高效处理的 mauch richer 的族，但是大多数的访问结构族所对应的单调公式都是指数长的，因此 shares 也是指数大的。

The Monotone Span Programs Construction

上述的四种构造全都是线性的，也就是分发协议 $\Sigma =⟨\Pi ,\mu ⟩$ 是一个线性映射，这被称为 Linear Secret-Sharing Scheme（LSSS）。

Karchmer and Wigderson 使用 Monotone Span Program（单调张成程序，MSP）来表述 LSSS，

根据 Monotone Span Program 可以构造出 LSSS，

具体的构造方式为：

也就是说，任意的 LSSS 都是把 secret 以及一些 random 组成的向量乘以某一个矩阵（使得 MSP 计算 access structure 对应的单调公式），再将得到的向量的各个分量作为 shares，按照对应的标签分发给不同的参与方。后续人们证明了 Monotone Span Program 以及 LSSS 其实是等价的。

Multi-Linear Secret-Sharing Schemes

上述的 LSSS 以及 Monotone Span Program 分发的是单个秘密，可以将它们推广到多个秘密，具有更好的信息比（但是 shares 规模会增大一些）。

首先定义 Multi-Target 版本的单调张成程序：

然后用它来构造 Multi-Linear SSS 协议，具体的构造和 LSSS 的完全一样。

Lower Bounds on the Size of the Shares

我们将某个参与者称为 non-redundant party，如果它出现在了至少一个极小授权集内。Karnin 等人证明了每一个非冗余参与者 $p_j$ 它们的 shares 的熵至少是 secret 的熵，即 $H(S_j)\ge H(S)$。那么可以得到一个较弱的下界：

Csirmaz’s Lower Bound 给出了信息比的更强下界，

对于 LSSS，总存在某个访问结构，使得信息比是指数大的，

Appilcation

[CDM00] 证明了：基于任意的 LSSS 都可以构建出 verifiable secret sharing（VSS）以及 secure multi-party computation（MPC）

[GPSW06] 证明了：假如存在一个实现某访问结构的 LSSS，那么就可以构建出 Key-Policy Attribute Based Encryption（KP-ABE）