秘密共享

• 1. 秘密共享简介
• 2. Shamir秘密共享方案
• 3. Asmuth-Bloom方案
• 4. 可验证的秘密共享
• • 4.1 Feldman的VSS方案
  • 4.2 Pedersen的VSS方案
• 5. 无分发者的随机秘密共享

1. 秘密共享简介

秘密共享通过将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。

秘密共享定义如下：秘密持有者$S$需要将原始秘密$m$在参与者集合中 P1, P2, . . . , Pn P_1,P_2,…,P_nP1​,P2​,…,Pn​分享，$S$分发给 P1 P_1P1​子秘密 m p i m_{p_i}mpi​​，使得只有特定参与者的集合才能够从他们的子秘密中恢复秘密$m$，而其他参与者不能得到秘密$m$的任何信息。

能够计算出秘密$m$的参与者集合$P$的一个子集$A\subseteq P$，称为一个授权子集。令$\Gamma$为所有授权子集构成的集合，则称$\Gamma$访问结构。

秘密共享方案一般描述如下：将共享的秘密$m$分割成$n$个子秘密，并将其分发至$n$个参与者，使得授权子集$\Gamma$中的参与者可共同恢出复秘密$m$，而非授权子集中的参与者无法得到关于秘密$m$的任何信息。

2. Shamir秘密共享方案

Adi Shamir于1979年提出了基于拉格朗日(Lagrange)插值定理的$(t,n)$-门限方案。该方案利用有限域上的次随机多项式来分享秘密，被分享的秘密为多项式的零次系数，恢复秘密至少需要t个多项式上的点。

方案描述如下：

设 $GF(q)$ 是一个有限域, $q$为公开大素数, 共享的密钥 $k\in GF(q)$, 可信中心给 $n(n<q)$个共享者 Pi( 1 ≤ i ≤ n )P_i(1 \leq i \leq n)Pi​(1≤i≤n) 分配共享的过程如下:

(1) 秘密分发

可信中心随机选取多项式 f ( x ) = a t − 1x t − 1+ … + a2x2+ a1x + a0∈f(x)=a_{t-1} x^{t-1}+\ldots+a_2 x^2+a_1 x+a_0 \inf(x)=at−1​xt−1+…+a2​x2+a1​x+a0​∈ $GF(q)[x]$, 常数 a0= ka_0=ka0​=k 为要分享的秘密。

可信中心在 $GF(q)$ 中选择 $n$ 个非零的互不相同的 元素 x1, x2, … , xn x_1, x_2, \ldots, x_nx1​,x2​,…,xn​, 计算 yi= f ( x i), 1 ≤ i ≤ ny_i=f\left(x_i\right), 1 \leq i \leq nyi​=f(xi​),1≤i≤n, 将子密钥 ( xi, yi)\left(x_i, y_i\right)(xi​,yi​) 分配给共享者 Pi( x i P_i\left(x_i\right.Pi​(xi​ 是公开的, yi y_iyi​ 为 Pi P_iPi​ 的秘密共享)。

（2） 秘密重构

给定 $t$ 个共享 y i s( 1 ≤ s ≤ t )y_{i_s}(1 \leq s \leq t)yis​​(1≤s≤t), 从Lagrange多项式重构的

f(x)= ∑ s=1t y is∏ j=1,j≠st x− x j x is − x ij, k= a 0=f(0)= ∑ s=1t y is∏ j=1,j≠st − x j x is − x ij= ∑ s=1t b s y is ,\begin{aligned} & f(x)=\sum_{s=1}^t y_{i_s} \prod_{j=1, j \neq s}^t \frac{x-x_j}{x_{i_s}-x_{i_j}}, \\ & k=a_0=f(0)=\sum_{s=1}^t y_{i_s} \prod_{j=1, j \neq s}^t \frac{-x_j}{x_{i_s}-x_{i_j}}=\sum_{s=1}^t b_s y_{i_s}, \end{aligned} ​f(x)=s=1∑t​yis​​j=1,j=s∏t​xis​​−xij​​x−xj​​,k=a0​=f(0)=s=1∑t​yis​​j=1,j=s∏t​xis​​−xij​​−xj​​=s=1∑t​bs​yis​​,​其中, bs= Π j = 1 , j ≠ st − xjx i s− x i jb_s=\Pi_{j=1, j \neq s}^t \frac{-x_j}{x_{i_s}-x_{i_j}}bs​=Πj=1,j=st​xis​​−xij​​−xj​​ (Lagrange插值系数), 运算都是$GF(q)$上的运算。

Eg 设 $t=3,n=5,q=9,k=11$, 随机选取 a1= 2 , a2= 7a_1=2, a_2=7a1​=2,a2​=7, 得多项式为h(x)= ( 7 x2+ 2 x + 71 )  mod  19h(x)=\left(7 x^2+2 x+71\right) \bmod 19 h(x)=(7x2+2x+71)mod19选择 xi= ix_i=ixi​=i, 则由 yi= h ( x i), 1 ≤ i ≤ 5y_i=h\left(x_i\right), \quad 1 \leq i \leq 5yi​=h(xi​),1≤i≤5, 很容易得到$5$个子密钥$$h(1)=1,h(2)=5,h(3)=4,h(4)=17,h(5)=6$$如果知道其中 3 个子密钥 $h(2)=5,h(3)=4,h(5)=6${ 4 a2+ 2 a1+ a0= 5 9 a2+ 3 a1+ a0= 4 25 a2+ 5 a1+ a0= 6\begin{cases} 4 a_2+2 a_1+a_0=5 \\ 9 a_2+3 a_1+a_0=4 \\ 25 a_2+5 a_1+a_0=6\end{cases} ⎩ ⎨ ⎧​4a2​+2a1​+a0​=59a2​+3a1​+a0​=425a2​+5a1​+a0​=6​从而解得 k = a0= 11k=a_0=11k=a0​=11。

3. Asmuth-Bloom方案

Asmuth和Bloom于1980年提出了一个基于中国剩余定理的$(t,n)$-门限方案。该方案中，成员的共享是由秘密 $S$ 得出的数 $y$ 对于不同模数 m1, m2, … , mn m_1, m_2, \ldots, m_nm1​,m2​,…,mn​ 的剩余。

令 p , d1, d2, … , dn p, d_1, d_2, \ldots, d_np,d1​,d2​,…,dn​ 是满足下列条件的一组正整数:p>k;d 1< d 2<…k ; \quad d_1<d_2<\ldots<d_n p>k;d1​<d2​<…<dn​对所有的 i , gcd ⁡ (p, d i)= 1 ;i, \operatorname{gcd}\left(p, d_i\right)=1 ;i,gcd(p,di​)=1;

对 i ≠ j , gcd ⁡ ( d i, d j)= 1 ; d1d2⋯ dt>i \neq j, \operatorname{gcd}\left(d_i, d_j\right)=1 ; d_1 d_2 \cdots d_t>i=j,gcd(di​,dj​)=1;d1​d2​⋯dt​> p d n − t + 2d n − t + 3⋯ dn p d_{n-t+2} d_{n-t+3} \cdots d_npdn−t+2​dn−t+3​⋯dn​

令 N = d1d2⋯ dt N=d_1 d_2 \cdots d_tN=d1​d2​⋯dt​ 是 $t$ 个最小整数之积，则 $N/p$ 大于任意 $t-1$ 个 di d_idi​ 。令 $r$ 是区间 $[0,\lfloor N/p\rfloor -1]$ 中的一个随机整数, 并公布 $p,r$ 。

(1) 秘密分发

将 $k$ 划分为 $n$ 个共享, 计算 k′= k + r pk^{\prime}=k+r pk′=k+rp, 则 k′∈ [ 0 , N − 1 ] 。 nk^{\prime} \in[0, N-1] 。 nk′∈[0,N−1]。n 个共享 为 ki= k′ modd ⁡i, i = 1 , 2 , … , nk_i=k^{\prime} \operatorname{modd}_i, i=1,2, \ldots, nki​=k′moddi​,i=1,2,…,n, 将子密钥 ( di, ki)\left(d_i, k_i\right)(di​,ki​) 分配给共享者 Pi( d i P_i\left(d_i\right.Pi​(di​ 是公开的, ki k_iki​ 为 Pi P_iPi​

(2) 秘密重构

若给定 $t$ 个共享 k i 1, … , … , k i t k_{i_1}, \ldots, \ldots, k_{i_t}ki1​​,…,…,kit​​, 则由中国剩余定理可知, 同余方程组{ x′≡ k i 1mod ⁡ d i 1x′≡ k i 2mod ⁡ d i 2 ⋯ x′≡ k i tmod ⁡ d i t \begin{cases} x^{\prime} \equiv k_{i_1} \operatorname{mod} d_{i_1} \\ x^{\prime} \equiv k_{i_2} \operatorname{mod} d_{i_2} \\ \cdots \\ x^{\prime} \equiv k_{i_t} \operatorname{mod} d_{i_t} \end{cases} ⎩ ⎨ ⎧​x′≡ki1​​moddi1​​x′≡ki2​​moddi2​​⋯x′≡kit​​moddit​​​关于模 N1= d i 1d i 2⋯ d i t N_1=d_{i_1} d_{i_2} \cdots d_{i_t}N1​=di1​​di2​​⋯dit​​ 在 [ 0 , N1− 1 ]\left[0, N_1-1\right][0,N1​−1] 内有唯一解 $x$, 因为 N1≥ N ≥ k′ N_1 \geq N \geq k^{\prime}N1​≥N≥k′, 推出 k′= xk^{\prime}=xk′=x 。 最后计算出 k = k′− r pk=k^{\prime}-r pk=k′−rp, 即 k = k′  m o d   pk=k^{\prime} \bmod pk=k′modp 。

Eg 设 t = 2 , n = 3 , p = 7 , k = 4 , d1= 9 , d2= 11 , d3= 13t=2, n=3, p=7, k=4, d_1=9, d_2=11, d_3=13t=2,n=3,p=7,k=4,d1​=9,d2​=11,d3​=13, 则N= d 1 d 2=99>91=7⋅13=p⋅ d 3.N=d_1 d_2=99>91=7 \cdot 13=p \cdot d_3 . N=d1​d2​=99>91=7⋅13=p⋅d3​.在 $[0,[99/7]-1]=[0,13]$ 之间随机取 r = 10 , k′= k + r p = 4 + 10 × 7 = 74r=10, k^{\prime}=k+r p=4+10 \times 7=74r=10,k′=k+rp=4+10×7=74,k 1≡ k ′modd d 1≡74  mod  9≡2k 2≡ k ′  mod d 2≡74  mod  11≡8k 3≡ k ′  mod d 3≡74  mod  13≡9\begin{aligned} & k_1 \equiv k^{\prime} \text { modd } d_1 \equiv 74 \bmod 9 \equiv 2 \\ & k_2 \equiv k^{\prime} \bmod d_2 \equiv 74 \bmod 11 \equiv 8 \\ & k_3 \equiv k^{\prime} \bmod d_3 \equiv 74 \bmod 13 \equiv 9\end{aligned} ​k1​≡k′moddd1​≡74mod9≡2k2​≡k′modd2​≡74mod11≡8k3​≡k′modd3​≡74mod13≡9​3 个子密钥为 $\{(9,2),(11,8),(13,9)\}$。

若知道 $\{(9,2),(11,8)\}$, 可建立方程组:{ k′≡ 2 mod ⁡ 9 k′≡ 8 mod ⁡ 11\begin{cases} k^{\prime} \equiv 2 \operatorname{mod} 9 \\ k^{\prime} \equiv 8 \operatorname{mod} 11 \\\end{cases} {k′≡2mod9k′≡8mod11​根据中国剩余定理，解得： k ′≡(11×5×2+9×5×8)  mod  ≡74k^{\prime} \equiv(11 \times 5 \times 2+9 \times 5 \times 8) \bmod \equiv 74 k′≡(11×5×2+9×5×8)mod≡74因此 k′≡ k m o d   p = 4k^{\prime} \equiv k \bmod p=4k′≡kmodp=4

4. 可验证的秘密共享

可验证的秘密共享VSS方案是对传统秘密共享方案的修正，在通常的秘密分享方案基础上附加验证操作构成，主要用于解决不诚实的分发中心问题。

在VSS方案中，分发者不但分发秘密的碎片，而且广播对秘密碎片的承诺，当个成员收到其碎片时，要验证其碎片是否正确；在秘密重构阶段，每个参与者也采用同样方法验证其他成员秘密碎片的正确性。

VSS主要抵抗以下两种主动攻击：

• 分发者在秘密分发协议中发送错误碎片给部分或全部参与者。
• 协议参与者在秘密重构协议中提交错误碎片。

常见的可验证的秘密共享方案包括Feldman的VSS方案以及Pedersen方案。

4.1 Feldman的VSS方案

（1）秘密分发

可信中心选取阶随机多项式：f(x)= a t−1x t−1 +…+ a 2 x 2+ a 1x+ a 0∈GF(q)[x]f(x)=a_{t-1} x^{t-1}+\ldots+a_{2} x^{2}+a_{1} x+a_{0} \in G F(q)[x] f(x)=at−1​xt−1+…+a2​x2+a1​x+a0​∈GF(q)[x]常数 a0= sa_{0}=sa0​=s为要分发的秘密;

可信中心选择$n$个非零的互不相同的元素 x1, x2, … , xn∈ G F ( q )x_{1}, x_{2}, \ldots, x_{n} \in G F(q)x1​,x2​,…,xn​∈GF(q)，计算 yi= f ( x i), 1 ≤ i ≤ ny_{i}=f\left(x_{i}\right), 1 \leq i \leq nyi​=f(xi​),1≤i≤n , 将子密钥 ( xi, yi)\left(x_{i}, y_{i}\right)(xi​,yi​) 分配给共享者 Pi P_{i}Pi​( ( xi)\left(x_{i}\right)(xi​)是公开的, yi y_{i}yi​为 Pi P_{i}Pi​的秘密共享)，可信中心计算并广播承诺 Bj= g a j, 0 ≤ j < tB_{j}=g^{a_{j}}, 0 \leq j<tBj​=gaj​,0≤j<t。

参与者 Pi P_{i}Pi​收到自己的碎片 yi y_{i}yi​后, 判断 g y i= Π j = 0 t − 1Bj x i j g^{y_{i}}=\Pi_{j=0}^{t-1} B_{j}^{x_{i}^{j}}gyi​=Πj=0t−1​Bjxij​​是否成立, 如果成立, 则接受该 碎片为有效; 否则, Pi P_{i}Pi​ 请求可信中心重新发送正确的碎片。

若可信中心向 Pi P_{i}Pi​ 传送了正确的碎片 yi y_{i}yi​, 则有g yi= g f ( x i) = ga t−1r i t−1 +…+ a 2 x i 2+ a 1 x i+ a 0= ga t−1x i t−1… ga 2 x i 2ga 1 x ig a0= B t−1xi t − 1 … B 2 xi2B 7 xiB 0 = Π j=0t−1B j xij \begin{aligned} g^{y_{i}=g^{f\left(x_{i}\right)}} & =g^{a_{t-1} r_{i}^{t-1}+\ldots+a_{2} x_{i}^{2}+a_{1} x_{i}+a_{0}} \\ & =g^{a_{t-1} x_{i}^{t-1}} \ldots g^{a_{2} x_{i}^{2}} g^{a_{1} x_{i}} g^{a_{0}} \\ & =B_{t-1}^{x_{i}^{t-1}} \ldots B_{2}^{x_{i}^{2}} B_{7}^{x_{i}} B_{0} \\ & =\Pi_{j=0}^{t-1} B_{j}^{x_{i}^{j}} \end{aligned} gyi​=gf(xi​)​=gat−1​rit−1​+…+a2​xi2​+a1​xi​+a0​=gat−1​xit−1​…ga2​xi2​ga1​xi​ga0​=Bt−1xit−1​​…B2xi2​​B7xi​​B0​=Πj=0t−1​Bjxij​​​（2）秘密重构

假设每个参与者都接受到正确的碎片, 他们中的任意$t$个可执行 Shamir门限秘密分享方案中的重构算法恢复出院时秘密, 即 Pi P_{i}Pi​向参与重构的其他人广播自己的碎片，这样每个参与重构的成员均可验证所接收到的碎片的有效性，然后使用Lagrange揷值公式计算出秘密$S$。

Feldman的VSS方案中, 由于可信中心在广播承诺时将 B0= g a 0= gs B_{0}=g^{a_{0}}=g^{s}B0​=ga0​=gs也作为一个承诺发出, 因此方案仅是计算安全的。

4.2 Pedersen的VSS方案

Pedersen扩展了Feldman的方案，将Shamir秘密共享方案与承诺方案相结合，构造出了一个高效、安全的非交互式可验证秘密共享方案，且验证信息不会直接泄露秘密$k$，因此是信息论安全的。

（1）秘密分发

可信中心选取两个$t$阶随机多项式：a(x)= a t−1x t−1 +…+ a 2 x 2+ a 7x+ a 0∈GF(q)[x]b(x)= b t−1x t−1 +…+ b 2 x 2+ b 1x+ b 0∈GF(q)[x]\begin{array}{l} a(x)=a_{t-1} x^{t-1}+\ldots+a_{2} x^{2}+a_{7} x+a_{0} \in G F(q)[x] \\ b(x)=b_{t-1} x^{t-1}+\ldots+b_{2} x^{2}+b_{1} x+b_{0} \in G F(q)[x] \end{array} a(x)=at−1​xt−1+…+a2​x2+a7​x+a0​∈GF(q)[x]b(x)=bt−1​xt−1+…+b2​x2+b1​x+b0​∈GF(q)[x]​常数 a0= sa_{0}=sa0​=s为要分发的秘密。

可信中心选择$n$个非零的互不相同的元素 x1, x2, … , xn∈ G F ( q )x_{1}, x_{2}, \ldots, x_{n} \in G F(q)x1​,x2​,…,xn​∈GF(q) ,计算 yi= ( s i, s i2 )= (a ( xi),b ( xi)), 1 ≤ i ≤ ny_{i}=\left(s_{i}, s_{i 2}\right)=\left(a\left(x_{i}\right), b\left(x_{i}\right)\right), 1 \leq i \leq nyi​=(si​,si2​)=(a(xi​),b(xi​)),1≤i≤n 将子密钥 ( xi, yi)\left(x_{i}, y_{i}\right)(xi​,yi​)分配给共享者 Pi P_{i}Pi​( xi x_{i}xi​是公开的, yi y_{i}yi​为 Pi P_{i}Pi​的秘密共享)。可信中心计算并广播承诺 Cj= g a jh b j, 0 ≤ j < tC_{j}=g^{a_{j}} h^{b_{j}}, 0 \leq j<tCj​=gaj​hbj​,0≤j<t 。

参与者 Pi P_{i}Pi​ 收到自己的碎片 yi y_{i}yi​ 后, 判断 g s i ⌝ h s i2 = ∏ j = 0 t − 1Cj x i j g^{s_{i\urcorner}} h^{s_{i 2}}=\prod_{j=0}^{t-1} C_{j}^{x_{i}^{j}}gsi┐​hsi2​=∏j=0t−1​Cjxij​​ 是否成立。如果成立, 则接受 该碎片为有效; 否则, Pi P_{i}Pi​ 请求可信中心重新发送正确的碎片。

若可信中心向 Pi P_{i}Pi​传送了正确的碎片 yi y_{i}yi​, 则有 g s i ⌝ h s i 2 =g a ( xi)h b ( xi) = ( g a t − 1xi t − 1+ … + a2xi2+ a1xi+ a0 ) ( h b t − 1xi t − 1+ … + b2xi2+ b1xi+ b0 ) = ( g at−1 h b t − 1 )xi t − 1 … ( g a2h b2 )xi2( g aah b1 )xig a0h b0= C t−1xi t − 1 … C 2 xi2C 1 xiC 0 = ∏ j=0t−1C j xij \begin{aligned} g^{s_{i\urcorner}} h^{s_{i 2}}= & g^{a\left(x_{i}\right)} h^{b\left(x_{i}\right)}=\left(g^{a_{t-1} x_{i}^{t-1}+\ldots+a_{2} x_{i}^{2}+a_{1} x_{i}+a_{0}}\right)\left(h^{b_{t-1} x_{i}^{t-1}+\ldots+b_{2} x_{i}^{2}+b_{1} x_{i}+b_{0}}\right) \\ & =\left(g^{a} t-1 h^{b_{t-1}}\right)^{x_{i}^{t-1}} \ldots\left(g^{a_{2}} h^{b_{2}}\right)^{x_{i}^{2}}\left(g^{a^{a}} h^{b_{1}}\right)^{x_{i}} g^{a_{0}} h^{b_{0}} \\ & =C_{t-1}^{x_{i}^{t-1}} \ldots C_{2}^{x_{i}^{2}} C_{1}^{x_{i}} C_{0} \\ & =\prod_{j=0}^{t-1} C_{j}^{x_{i}^{j}} \end{aligned} gsi┐​hsi2​=​ga(xi​)hb(xi​)=(gat−1​xit−1​+…+a2​xi2​+a1​xi​+a0​)(hbt−1​xit−1​+…+b2​xi2​+b1​xi​+b0​)=(gat−1hbt−1​)xit−1​…(ga2​hb2​)xi2​(gaahb1​)xi​ga0​hb0​=Ct−1xit−1​​…C2xi2​​C1xi​​C0​=j=0∏t−1​Cjxij​​​（2）秘密重构

假设每个参与者都接受到正确的碎片, 他们中的任意$t$个可执行 Shamir门限秘密分享方案中的重构算法恢复出院时秘密, 即 Pi P_{i}Pi​向参与重构的其他人广播自己的碎片, 这样每个参与重构的成员均可验证所接收到的碎片的有效性, 然后使用Lagrange揷值公式计算出秘密$s$ 。

Pedersen的VSS方案中，可信中心在广播承诺时与秘密$s$相关的信息仅为 C0= gsh b 0 C_{0}=g^{s} h^{b_{0}}C0​=gshb0​，没有泄露关于$s$的任何信息，因此方案是信息论安全的。

5. 无分发者的随机秘密共享

在该秘密体制中不存在秘密分发者，仅有参与者 P1, P2, . . . , Pn P_1,P_2,…,P_nP1​,P2​,…,Pn​，他们以交互的方式协商出一个随机秘密$s$，并各自得到该秘密的一个碎片 si s_isi​，但每个参与者都不知道这个随机秘密的具体值，除非他们公布自己的碎片并重构该秘密。

基于Shamir的秘密分享体制的一个无秘密分发者的$(t,n)$秘密分享体制，称为Joint-Shamir-RSS方案（Joint Shamir Random Secret Sharing）。

(1) 每个参与者 Pi P_iPi​ 选择一个 $t-1$ 次随机多项式 fi( x ) = a i , t − 1x t − 1+ … + a i 2×2+ a i 1x + a i 0∈ G F ( q ) [ x ]f_i(x)=a_{i, t-1} x^{t-1}+\ldots+a_{i 2} x^2+a_{i1} x+a_{i0} \in G F(q)[x]fi​(x)=ai,t−1​xt−1+…+ai2​x2+ai1​x+ai0​∈GF(q)[x], 以 a i 0= fi( 0 )a_{i 0}=f_i(0)ai0​=fi​(0) 作为自己要让 P1, P2, … , Pn P_1, P_2, \ldots, P_nP1​,P2​,…,Pn​ 分享的秘密。

(2) Pi P_iPi​ 计算 s i j= fi( x j) s_{ij}=f_i\left(x_j\right)sij​=fi​(xj​), 发送给 Pj, j = 1 , 2 , … , nP_j, j=1,2, \ldots, nPj​,j=1,2,…,n, 如下所示:P1P2PjPnP1 f 1 ( x1) f 7 ( x2) f 7 ( xj) f 1 ( xn)P2 f 2 ( x1) f 2 ( x2) f 2 ( xj) f 2 ( xn)Pi f i ( x1) f i ( x2) f i ( xj) f i ( xn)Pn f n ( x1) f n ( x2) f n ( xj) f n ( xn)\begin{array}{llllll} & P_1 & P_2 & P_j & P_n \\ P_1 & f_1\left(x_1\right) & f_7\left(x_2\right) & f_7\left(x_j\right) & f_1\left(x_n\right) \\ P_2 & f_2\left(x_1\right) & f_2\left(x_2\right) & f_2\left(x_j\right) & f_2\left(x_n\right) \\ P_i & f_i\left(x_1\right) & f_i\left(x_2\right) & f_i\left(x_j\right) & f_i\left(x_n\right) \\ P_n & f_n\left(x_1\right) & f_n\left(x_2\right) & f_n\left(x_j\right) & f_n\left(x_n\right) \end{array} P1​P2​Pi​Pn​​P1​f1​(x1​)f2​(x1​)fi​(x1​)fn​(x1​)​P2​f7​(x2​)f2​(x2​)fi​(x2​)fn​(x2​)​Pj​f7​(xj​)f2​(xj​)fi​(xj​)fn​(xj​)​Pn​f1​(xn​)f2​(xn​)fi​(xn​)fn​(xn​)​(3) Pj P_jPj​ 收到其他参与者的值 s i j= fi( x j), i = 1 , 2 , … , ns_{i j}=f_i\left(x_j\right), i=1,2, \ldots, nsij​=fi​(xj​),i=1,2,…,n, 计算 sj= ∑ i = 1nfi( x j) s_j=\sum_{i=1}^n f_i\left(x_j\right)sj​=∑i=1n​fi​(xj​) 作为 自己最终分享秘密的碎片。