1 Shamir门限秘密共享的加法同态性

Shamir门限秘密共享方案具有$(+,+)$同态的性质，即：
$$\begin{array}{lcc}{S}^A+S^B& =& F_I(S_1^A,\dots ,S_t^A)+F_I(S_1^B,\dots ,S_t^B)\\ & =& F_I(S_1^A+S_1^B,\dots ,S_t^A+S_t^B)\end{array}$$

2 具体实现

2.1 秘密分割

对于主密钥 $S^A\in GF(p)$, $p>n$, 选取任意的 $a_1,a_2,..,a_{t-1}\in GF(p)$, 构造 $t-1$ 次多项式:
$$f(x)=S^A+\sum _{i=1}^{t-1}{a}_i{x}^i(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
并计算 $f\left(x_1\right),f\left(x_2\right)..,f\left(x_n\right)$, 然后将 $\left(x_i,f\left(x_i\right)\right)$ 秘密地发送给参与者$i$ 。
对于主密钥 $S^B\in GF(p)$, $p>n$, 选取任意的 $a_1^{\prime },a_2^{\prime },..,a_{t-1}^{\prime }\in GF(p)$,构造 $t-1$ 次多项式:
$$f^{\prime }(x)=S^B+\sum _{i=1}^{t-1}{a}_i^{\prime }{x}^i(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
并计算 $f^{\prime }\left(x_1\right),f^{\prime }\left(x_2\right)..,f^{\prime }\left(x_n\right)$, 然后将 $\left(x_i,f^{\prime }\left(x_i\right)\right)$ 秘密地发送给参与者$i$ 。

2.2 秘密重构

每个参与者$i$对自己所持有的子份额进行加法运算得到 $S_i=f\left(x_i\right)+f^{\prime }\left(x_i\right)$ 。密钥重构阶段我们假设 $i_1,i_2,\dots ,i_l,(l\ge t)$是参与重构的合作者, 因为
$$f(x)+f^{\prime }(x)=\left(S^A+S^B\right)+\left(a_1+a_1^{\prime }\right)x+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x^{t-1}(\mathrm{m}\mathrm{o}\mathrm{d}p)$$
那么利用
$$\left(i_1,S_1\right),\dots ,\left(i_l,S_l\right)$$
构造线性方程组：
$$\{\begin{array}{c}{S}^A+S^B+\left(a_1+a_1^{\prime }\right)x_1+\left(a_2+a_2^{\prime }\right)x_1^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_1^{t-1}=f\left(x_1\right)+f^{\prime }\left(x_1\right)\\ S^A+S^B+\left(a_1+a_1^{\prime }\right)x_2+\left(a_2+a_2^{\prime }\right)x_2^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_2^{t-1}=f\left(x_2\right)+f^{\prime }\left(x_2\right)\\ ⋮\\ S^A+S^B+\left(a_1+a_1^{\prime }\right)x_l+\left(a_2+a_2^{\prime }\right)x_l^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_l^{t-1}=f\left(x_l\right)+f^{\prime }\left(x_l\right)\end{array}$$
$S^A+S^B,a_1+a_1^{\prime },\dots ,a_{t-1}+a_{t-1}^{\prime }$ 是方程组的$t$个末知数。解这个方程组就可以得到秘密的和$S^A+S^B$ , 从而实现了加法同态性, 即对份额做加法运算可以重构出秘密的加。同理, 可以实现任意多个秘密的加法运算。

3 秘密重构的正确性分析

根据Shamir门限秘密共享原理，$S^A,a_1,a_2,..,a_{t-1}$是下列线性方程组的解：
$$\{\begin{array}{c}{S}^A+a_1{x}_1+a_2{x}_1^2+\cdots +a_{i-1}{x}_1^{t-1}=f\left(x_1\right)\\ S^A+a_1{x}_2+a_2{x}_2^2+\cdots +a_{t-1}{x}_2^{t-1}=f\left(x_2\right)\\ ⋮\\ S^A+a_1{x}_l+a_2{x}_l^2+\cdots +a_{t-1}{x}_l^{t-1}=f\left(x_l\right)\end{array}$$
$S^B,a_1^{\prime },a_2^{\prime },..,a_{t-1}^{\prime }$是下列线性方程组的解：
$$\{\begin{array}{c}{S}^B+a_1^{\prime }{x}_1+a_2^{\prime }{x}_1^2+\cdots +a_{t-1}^{\prime }{x}_1^{t-1}=f^{\prime }\left(x_1\right)\\ S^B+a_1^{\prime }{x}_2+a_2^{\prime }{x}_2^2+\cdots +a_{t-1}^{\prime }{x}_2^{t-1}=f^{\prime }\left(x_2\right)\\ ⋮\\ S^B+a_1^{\prime }{x}_l+a_2^{\prime }{x}_l^2+\cdots +a_{t-1}^{\prime }{x}_l^{t-1}=f^{\prime }\left(x_l\right)\end{array}$$
将这两个线性方程组对应的方程分别相加便可以得到如下的线性方程组：
$$\{\begin{array}{c}{S}^A+S^B+\left(a_1+a_1^{\prime }\right)x_1+\left(a_2+a_2^{\prime }\right)x_1^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_1^{t-1}=f\left(x_1\right)+f^{\prime }\left(x_1\right)\\ S^A+S^B+\left(a_1+a_1^{\prime }\right)x_2+\left(a_2+a_2^{\prime }\right)x_2^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_2^{t-1}=f\left(x_2\right)+f^{\prime }\left(x_2\right)\\ ⋮\\ S^A+S^B+\left(a_1+a_1^{\prime }\right)x_l+\left(a_2+a_2^{\prime }\right)x_l^2+\cdots +\left(a_{t-1}+a_{t-1}^{\prime }\right)x_l^{t-1}=f\left(x_l\right)+f^{\prime }\left(x_l\right)\end{array}$$
$S^A+S^B,a_1+a_1^{\prime },\dots ,a_{t-1}+a_{t-1}^{\prime }$应该是这个线性方程组的解。
上述线性方程组含有$t$ 个末知数, 即$S^A+S^B,a_1+a_1^{\prime },\dots ,a_{t-1}+a_{t-1}^{\prime }$, 系数矩阵的秩是 $t$。因此该方程组存在唯一解。可以通过求解方程组得到$S^A+S^B$ , 即在保证初始秘密隐私的情况下得到了两个共享秘密的和。