模块化算法在阈值签名 (TSS) 实现中不起作用
Modular arithmetic does not work in Threshold signature (TSS) implementation
我正在实施 this paper 中描述的阈值签名协议,我 运行 遇到失败的情况,但我不明白原因。最后,u和x应该是一样的,其实不是。我将不胜感激任何有助于我找到错误的建议。
这是JS代码,可以在浏览器控制台执行
/// TSS 2-of-2 案例
//场模,secp2561k
n = 115792089237316195423570985008687907852837564279074904382605163141518161494337n
// party 1 1 次多项式系数
coeff_1 = 103808273981011494448342588544071102049904991793672697167547228275701563388858n
// coeff_1 = 10380827398101149444834258854407110204990499179367269716754722827570156338885n // 工作系数
// party 1 1 次多项式系数
coeff_2 = 49961718147812071312795198333632033669565055597187655909241672498689891015278n
// coeff_2 = 4996171814781207131279519833363203366956505559718765590924167249868989101527n // 工作系数
// Party 1 秘密
u_1 = 6989964936015280241594720270850184250394589151026058230978623558313385587815n
// Party 2 秘密
u_2 = 91492373973552717359377053249757253672786176158857596037729237022345023720795n
// Party 1 沙米尔点数
y1_x = 1n
y1_1 = (y1_x * coeff_1 + u_1) % n
// 110798238917026774689937308814921286300299580944698755398525851834014948976673n
y1_2 = (y1_x * coeff_2 + u_2) % n
// 25662002884048593248601266574701379489513667476970347564365746379516753241736n
// Party 2 沙米尔点数
y2_x = 2n
y2_1 = (y2_x * coeff_1 + u_1) % n
// 98814423660722073714708912350304480497367008459296548183467916968198350871194n
y2_2 = (y2_x * coeff_2 + u_2) % n
// 75623721031860664561396464908333413159078723074158003473607418878206644257014n
// Party 1 point (y1_x, y1)
y1 = (y1_1 + y1_2) % n
// Party 2 点 (y1_x, y1)
y2 = (y2_1 + y2_2) % n
// 公共秘密
你 = (u_1 + u_2) % n
// 同样的秘密,通过 Shamir 模式
x = (y1*2n - y2) % n
// 检查计算,应为 0
u - x
<span class="math-container">```</span>
您的代码几乎是正确的,只是最后缺少最后的模数。将最后一行更改为
(u - x) % n;
(u -x)正好是n。
115792089237316195423570985008687907852837564279074904382605163141518161494337
我正在实施 this paper 中描述的阈值签名协议,我 运行 遇到失败的情况,但我不明白原因。最后,u和x应该是一样的,其实不是。我将不胜感激任何有助于我找到错误的建议。
这是JS代码,可以在浏览器控制台执行
/// TSS 2-of-2 案例
//场模,secp2561k
n = 115792089237316195423570985008687907852837564279074904382605163141518161494337n
// party 1 1 次多项式系数
coeff_1 = 103808273981011494448342588544071102049904991793672697167547228275701563388858n
// coeff_1 = 10380827398101149444834258854407110204990499179367269716754722827570156338885n // 工作系数
// party 1 1 次多项式系数
coeff_2 = 49961718147812071312795198333632033669565055597187655909241672498689891015278n
// coeff_2 = 4996171814781207131279519833363203366956505559718765590924167249868989101527n // 工作系数
// Party 1 秘密
u_1 = 6989964936015280241594720270850184250394589151026058230978623558313385587815n
// Party 2 秘密
u_2 = 91492373973552717359377053249757253672786176158857596037729237022345023720795n
// Party 1 沙米尔点数
y1_x = 1n
y1_1 = (y1_x * coeff_1 + u_1) % n
// 110798238917026774689937308814921286300299580944698755398525851834014948976673n
y1_2 = (y1_x * coeff_2 + u_2) % n
// 25662002884048593248601266574701379489513667476970347564365746379516753241736n
// Party 2 沙米尔点数
y2_x = 2n
y2_1 = (y2_x * coeff_1 + u_1) % n
// 98814423660722073714708912350304480497367008459296548183467916968198350871194n
y2_2 = (y2_x * coeff_2 + u_2) % n
// 75623721031860664561396464908333413159078723074158003473607418878206644257014n
// Party 1 point (y1_x, y1)
y1 = (y1_1 + y1_2) % n
// Party 2 点 (y1_x, y1)
y2 = (y2_1 + y2_2) % n
// 公共秘密
你 = (u_1 + u_2) % n
// 同样的秘密,通过 Shamir 模式
x = (y1*2n - y2) % n
// 检查计算,应为 0
u - x
<span class="math-container">```</span>
您的代码几乎是正确的,只是最后缺少最后的模数。将最后一行更改为
(u - x) % n;
(u -x)正好是n。
115792089237316195423570985008687907852837564279074904382605163141518161494337