1. 从“分家产”到“分秘密”一个现实世界的需求不知道你有没有看过一些老电影里面经常有这样的情节一个大家族的老爷子为了防止自己去世后子女们为了争夺家产打得头破血流会立下一份特殊的遗嘱。这份遗嘱可能被分成几份分别交给几个信得过的律师或者管家保管。老爷子规定只有当所有子女聚齐并且大家意见一致时才能把所有遗嘱碎片拼起来看到完整的遗产分配方案。如果少了任何一个人或者大家吵翻了天那谁也别想拿到一分钱。这个故事的核心其实就蕴含了现代密码学中一个极其重要的思想——秘密共享。我们今天要聊的Shamir秘密共享方案就是这个思想的数学化、精密化的完美体现。它要解决的就是如何把一个重要的“秘密”比如一把能打开巨额数字资产保险箱的密钥、一段核心的启动代码、或者一份绝密的文件安全地“拆分”给一群人保管并且设定一个规则只有当足够数量比如5个人中的3个的人同意并拿出他们的“碎片”时才能还原出完整的秘密。单独的一两个碎片或者少数几个人勾结都毫无用处。你可能会想这还不简单把秘密切成几段每人发一段不就行了但这样有个致命问题如果其中一段丢了或者保管人出了意外整个秘密就永远无法复原了。而且这种“物理切割”的方式碎片本身可能就携带了部分原始信息不安全。Shamir的方案就优雅多了。它不“切割”秘密而是用一种巧妙的数学方法把秘密“藏”进了一条只有特定人聚在一起才能画出来的曲线里。这条曲线就是多项式曲线。而画出这条曲线的关键工具就是我们中学或大学数学里可能学过的拉格朗日插值法。所以理解Shamir方案我们得先回到数学课堂看看这个拉格朗日插值到底是个什么“神奇画笔”。2. 重温数学之美拉格朗日插值如何“连接点成线”让我们暂时忘掉密码学想象一个更生活化的场景。你是一个实验员在做一项研究测量了某个物体在几个特定时间点的温度。比如你在上午9点、11点、下午1点分别记录了温度。现在老板问你“那上午10点的温度大概是多少呢” 你并没有在10点直接测量但你需要根据已有的数据推测出10点的温度。这就是插值问题已知曲线上的几个离散点如何构造一条光滑的曲线穿过所有这些点从而估算出曲线上其他位置的取值拉格朗日插值法就是解决这个问题的经典方法之一。它的核心思想非常直观用一组简单的、基础的多项式“拼凑”出我们想要的复杂多项式。具体怎么“拼凑”呢我们来看一个最简单的例子。假设我们只知道两个点(1, 2) 和 (3, 10)。我们知道两点确定一条直线。这条直线的方程一个一次多项式很容易求。但拉格朗日的方法为我们提供了一种更具扩展性的思路。构造“基础多项式”对于第一个点(1, 2)我们构造一个多项式l1(x)这个多项式有一个神奇的特性当x 1时l1(1) 1当x 3时l1(3) 0。怎么构造我们可以用(x - 3) / (1 - 3)。你看当x1时分子为(1-3)-2分母为-2结果正好是1。当x3时分子为0结果就是0。同样对于第二个点(3, 10)我们构造l2(x)要求l2(3) 1,l2(1) 0。那就是(x - 1) / (3 - 1)。线性组合最后我们想要的直线f(x)就是这两个基础多项式的加权和f(x) 2 * l1(x) 10 * l2(x)。为什么因为当x1时l2(1)0所以f(1) 2*1 10*0 2完美匹配第一个点。当x3时l1(3)0所以f(3) 2*0 10*1 10完美匹配第二个点。而在其他x值上比如x2f(2) 2 * ((2-3)/(1-3)) 10 * ((2-1)/(3-1)) 2*( -1 / -2) 10*(1/2) 1 5 6。这正好是连接(1,2)和(3,10)这条直线上x2时的y值。推广到更一般的情况如果你有t个点(x1, y1), (x2, y2), ..., (xt, yt)并且所有的x值都互不相同那么存在唯一一个次数不超过t-1的多项式可以穿过这t个点。这个多项式就可以用拉格朗日公式写出来f(x) y1 * [(x-x2)(x-x3)...(x-xt) / (x1-x2)(x1-x3)...(x1-xt)] y2 * [(x-x1)(x-x3)...(x-xt) / (x2-x1)(x2-x3)...(x2-xt)] ... yt * [(x-x1)(x-x2)...(x-x_{t-1}) / (xt-x1)(xt-x2)...(xt-x_{t-1})]这个公式看起来复杂但本质就是上面“两点成线”思想的扩展为每一个已知点(xi, yi)构造一个基础多项式li(x)这个li(x)在xi处等于1在所有其他已知点xj (j≠i)处等于0。然后用每个点的y值yi作为权重把这些基础多项式加起来就得到了穿过所有点的唯一多项式。这里有一个至关重要的性质要唯一确定一个t-1次多项式你至少需要t个点。给你t-1个点会有无穷多个t-1次多项式穿过它们就像两点确定一条直线但只有一个点的话可以画出无数条直线穿过它。而一旦你有了t个点这条曲线就被“锁死”了。这个“t点定t-1次曲线”的性质正是Shamir秘密共享安全性的数学基石。3. 把秘密“藏”进多项式Shamir的巧妙构思现在我们把拉格朗日插值这个数学工具用到“分秘密”这件事上。Adi ShamirRSA中的那个“S”在1979年提出了一个极其聪明的构想。核心想法把你要保护的秘密S比如一个数字当作一个t-1次多项式在x0这个点上的值也就是f(0) S。然后随机生成这个多项式的其他t-1个系数。接着为n个参与者每人计算一个“坐标点”(xi, f(xi))这个点就是分给他们的“秘密份额”。当至少t个参与者聚在一起拿出他们的点(xi, yi)时利用拉格朗日插值公式就可以唯一地重构出整个t-1次多项式f(x)。一旦多项式被复原计算f(0)自然就得到了最初的秘密S。我们来拆解一下这个过程的每一步看看它到底妙在哪里。3.1 构造秘密多项式假设我们希望设定门限值t3即3个人才能恢复秘密总共有n5个参与者。选择秘密我们的秘密S是一个数字比如123456。我们令a0 S 123456。随机化我们随机选取t-1 2个随机数比如a1 166,a2 94。这两个数必须随机并且除了分发者谁也不知道。构造多项式于是我们得到了一个二次多项式因为最高次是t-12f(x) a0 a1*x a2*x^2 123456 166*x 94*x^2这里的关键点秘密S只是多项式的一个系数常数项a0。多项式本身因为有了随机系数a1, a2变成了一条独一无二的、不可预测的曲线。秘密被“溶解”在了这条曲线里。3.2 生成并分发“秘密份额”接下来我们需要为5个参与者生成5个不同的点。首先我们需要公开地、非零地选取5个不同的x值比如就简单地取x11, x22, x33, x44, x55。这些x值可以是公开的ID比如参与者的编号。然后我们计算每个x对应的y值给参与者1:(x11, y1f(1)123456166*194*1^2123716)给参与者2:(x22, y2f(2)123456166*294*4124284)给参与者3:(x33, y3f(3)123456166*394*9125316)给参与者4:(x44, y4f(4)123456166*494*16126812)给参与者5:(x55, y5f(5)123456166*594*25128772)现在我们把(1, 123716)这个数对发给第一个人把(2, 124284)发给第二个人以此类推。请注意每个人拿到的只是一个“点”。单独看这个点它看起来就是一个毫无意义的随机数对。从这一个点里你完全无法推测出原始多项式是什么样更无法知道f(0)是多少。这就保证了单个份额的无用性。3.3 恢复秘密拉格朗日插值登场假设某一天参与者1、3、5决定合作恢复秘密t3人数够了。他们聚在一起拿出了自己的份额参与者1:(x11, y1123716)参与者3:(x33, y3125316)参与者5:(x55, y5128772)他们现在有三个点。根据我们第二节讲的数学知识三个点可以唯一确定一个二次多项式t-12次。他们不需要去解复杂的方程组求a0, a1, a2可以直接使用拉格朗日插值公式并且只关心x0时的值因为f(0)S。根据拉格朗日插值求f(0)的简化公式s f(0) y1 * [ (0-x3)(0-x5) / (x1-x3)(x1-x5) ] y3 * [ (0-x1)(0-x5) / (x3-x1)(x3-x5) ] y5 * [ (0-x1)(0-x3) / (x5-x1)(x5-x3) ]代入数值第一项123716 * [ (0-3)(0-5) / (1-3)(1-5) ] 123716 * [ ( -3 * -5 ) / ( -2 * -4 ) ] 123716 * (15 / 8)第二项125316 * [ (0-1)(0-5) / (3-1)(3-5) ] 125316 * [ ( -1 * -5 ) / ( 2 * -2 ) ] 125316 * (5 / -4)第三项128772 * [ (0-1)(0-3) / (5-1)(5-3) ] 128772 * [ ( -1 * -3 ) / ( 4 * 2 ) ] 128772 * (3 / 8)把这三项加起来(123716 * 15/8) (125316 * (-5/4)) (128772 * 3/8)。计算这个式子最终结果就是123456我们的原始秘密S被完美恢复而如果只有两个人比如1和3试图恢复他们只有两个点。两个点只能确定一条直线一次多项式但真实的秘密藏在一条抛物线二次多项式里。他们用两个点插值出来的直线计算出的f(0)会是一个完全不同的、错误的数字得不到任何关于真实秘密的信息。这就是门限的意义少于t个份额信息量绝对不足安全无忧。4. 不可或缺的“安全结界”为什么运算要在有限域里进行细心的你可能已经发现了前面例子中的一个“瑕疵”我们在计算拉格朗日插值恢复秘密时用到了分数运算比如15/8。在实数域里这没问题。但在计算机和密码学实践中使用实数会带来巨大的问题精度问题计算机处理浮点数有精度限制可能导致恢复的秘密出现误差。效率问题浮点数运算比整数运算慢。最致命的安全问题如果攻击者拿到了t-1个份额在实数域里他可以通过各种数学方法进行无限猜测和逼近虽然不能精确得到但可能将秘密的范围缩小到一个可接受的区间这破坏了“零信息泄露”的严格安全要求。因此Shamir方案在实际应用中所有运算都必须在一个有限域中进行通常是一个大素数p构成的有限域GF(p)。这相当于为我们的数学世界加上了一个“安全结界”。什么是有限域你可以把它想象成一个只有0, 1, 2, ..., p-1这p个数字的闭合时钟系统。任何加减乘除运算结果都要对这个p取模求余数保证结果永远落在这个0到p-1的集合里。比如在GF(13)里5 10 15 mod 13 27 * 8 56 mod 13 4。这对Shamir方案意味着什么秘密和系数被限制在范围内秘密S和随机系数a1, a2, ...都必须是从0到p-1之间选取的整数。素数p必须取得比秘密S大。份额计算在模p下进行计算yi f(xi) mod p。在我们的例子里如果取p1000003一个比123456大的素数那么计算y1就变成了(123456 166*1 94*1) mod 1000003结果仍然是一个整数。恢复秘密也在模p下进行拉格朗日插值公式中的所有运算包括加减乘除都要在模p下进行。这里的“除法”实际上是乘以某个数的模逆元。在有限域中a / b等价于a * b^{-1} mod p其中b^{-1}是满足b * b^{-1} ≡ 1 (mod p)的数。有限域带来的巨大好处绝对精确所有运算都是整数运算没有精度损失恢复的秘密绝对精确。计算高效整数模运算对计算机非常友好。绝对安全这是最关键的一点。在有限域中多项式理论依然成立一个t-1次多项式由t个点唯一确定但攻击者面对t-1个份额时情况完全不同了。对于他未知的那个份额第t个点在实数域他可能猜一个范围但在大小为p的有限域中这个点有p种等可能的取值并且对应着p个不同的、有效的t-1次多项式而这些多项式在x0处的值即可能的秘密均匀分布在0到p-1之间。这意味着攻击者即使拥有t-1个份额他对真实秘密S的猜测也不会比瞎猜从0到p-1中随机选一个更好这就实现了信息论意义上的完美安全。所以有限域是Shamir方案从“数学玩具”变为“密码学利器”的关键一步。它确保了方案不仅逻辑正确而且具备可证明的、最强的安全性。5. 超越基础Shamir方案的同态魔法Shamir秘密共享不仅仅是一个“分”和“合”的工具它还有一个非常强大的特性同态性。这个词听起来很高深其实意思就是“结构相似”。具体来说Shamir方案天然支持加法同态并在一定条件下支持乘法同态。这是什么意思呢我举个例子你就明白了。假设有两家公司A和B想计算他们的年度总利润但又不想向对方或任何第三方泄露自己公司的具体利润数字。他们可以运用Shamir秘密共享的加法同态性。秘密分发公司A把自己的利润SA用(t, n)门限方案拆分成n份发给n个服务器。公司B也把自己的利润SB拆分成n份发给同样的n个服务器每个服务器收到两个份额一份来自A一份来自B。本地计算每个服务器在本地把自己持有的来自A的份额和来自B的份额相加在有限域内做模加得到一个新的份额。恢复结果当需要知道总利润时只需要收集任意t个服务器上的新份额用拉格朗日插值法恢复。神奇的事情发生了恢复出来的秘密正是SA SB即两家公司的利润总和为什么可以这样这源于多项式加法的性质。公司A的秘密多项式是fA(x)公司B的是fB(x)。每个服务器持有的两个份额是(xi, fA(xi))和(xi, fB(xi))。它们相加得到(xi, fA(xi)fB(xi))。而fA(x)fB(x)恰好是一个新的多项式它的常数项正是fA(0)fB(0) SA SB。并且如果fA和fB都是t-1次多项式那么它们的和fAfB的最高次数不会超过t-1。因此只需要t个点新份额就能恢复这个和多项式的常数项即总和。这个过程完全不需要恢复各自的原始秘密完美保护了隐私。乘法同态思路类似但有限制。两个t-1次多项式相乘会得到一个最高2(t-1)次的多项式。要恢复这个乘积多项式的常数项即SA * SB就需要至少2t-1个点。这就要求最初分发份额时参与方n必须大于等于2t-1。否则即使所有人合作也无法恢复乘积。因此乘法同态是有条件的。这种同态特性使得Shamir秘密共享成为构建更复杂安全多方计算协议的基础砖石能够在不暴露个人数据的前提下完成集合统计、联合分析等任务在隐私计算领域有着广阔的应用前景。6. 动手实践用Python感受Shamir的奥秘理论说了这么多不写点代码总觉得少了点什么。下面我用Python实现一个简化版的(t, n)Shamir秘密共享方案帮助你直观感受整个过程。我们假设在有限域GF(p)下操作。import random from typing import List, Tuple class ShamirSecretSharing: def __init__(self, prime: int): 初始化指定一个素数 p 定义有限域 GF(p) self.prime prime def _eval_poly(self, coeffs: List[int], x: int) - int: 计算多项式在点x处的值 (模 prime) y 0 # 霍纳法则计算多项式值 for coeff in reversed(coeffs): y (y * x coeff) % self.prime return y def _mod_inverse(self, a: int) - int: 计算 a 在模 prime 下的逆元 (扩展欧几里得算法) # 简单实现要求 prime 是素数且 a 非零 return pow(a, self.prime - 2, self.prime) def split_secret(self, secret: int, t: int, n: int) - List[Tuple[int, int]]: 拆分秘密 :param secret: 要保护的秘密 (整数小于 prime) :param t: 恢复门限 :param n: 生成的份额总数 :return: 包含 n 个 (x, y) 对的列表 if t n: raise ValueError(门限 t 不能大于总份额数 n) if secret self.prime: raise ValueError(秘密必须小于素数 p) # 1. 构造 t-1 次多项式: f(x) secret a1*x a2*x^2 ... a_{t-1}*x^{t-1} # 系数列表coeffs[0] secret (常数项) coeffs [secret] [random.randrange(1, self.prime) for _ in range(t - 1)] shares [] # 2. 为 n 个参与者生成份额x 值通常取 1, 2, 3, ... n (非零且互异) for i in range(1, n 1): x i # 这里简单用序号作为 x 值 y self._eval_poly(coeffs, x) shares.append((x, y)) return shares def recover_secret(self, shares: List[Tuple[int, int]]) - int: 从至少 t 个份额中恢复秘密 (使用拉格朗日插值直接计算 f(0)) :param shares: 至少 t 个 (x, y) 对的列表 :return: 恢复出的秘密 if len(shares) 2: raise ValueError(至少需要两个份额才能恢复) x_coords [s[0] for s in shares] y_coords [s[1] for s in shares] secret 0 # 拉格朗日插值计算 f(0) for i in range(len(shares)): xi, yi shares[i] # 计算拉格朗日基函数在 x0 处的值: l_i(0) numerator 1 denominator 1 for j in range(len(shares)): if i j: continue xj shares[j][0] numerator (numerator * (0 - xj)) % self.prime denominator (denominator * (xi - xj)) % self.prime # l_i(0) numerator / denominator (在有限域中) lagrange_coeff (numerator * self._mod_inverse(denominator)) % self.prime # 累加贡献: f(0) y_i * l_i(0) secret (secret yi * lagrange_coeff) % self.prime return secret # 示例用法 if __name__ __main__: # 选择一个比可能秘密大的素数这里选个小的方便演示 PRIME 1000000007 # 一个常用的素数 sss ShamirSecretSharing(PRIME) my_secret 123456789 print(f原始秘密: {my_secret}) # 拆分成5份需要任意3份即可恢复 all_shares sss.split_secret(my_secret, t3, n5) print(f\n生成的5份秘密份额:) for i, (x, y) in enumerate(all_shares): print(f 份额{i1}: (x{x}, y{y})) # 模拟恢复随机选择3份 import random selected_shares random.sample(all_shares, 3) print(f\n随机选取的3份用于恢复: {[(x, y) for x, y in selected_shares]}) recovered_secret sss.recover_secret(selected_shares) print(f恢复出的秘密: {recovered_secret}) print(f恢复是否成功? {recovered_secret my_secret}) # 尝试用2份恢复 (应该失败) print(f\n尝试用2份恢复:) try: insufficient_shares selected_shares[:2] print(f使用的份额: {insufficient_shares}) wrong_secret sss.recover_secret(insufficient_shares) print(f恢复出的值: {wrong_secret} (这不是原始秘密!)) except Exception as e: # 在数学上用少于t份恢复会得到一个随机值不一定报错 # 这里只是演示逻辑 print(f恢复结果无意义: {wrong_secret})运行这段代码你可以看到秘密被成功拆分成了5个“乱码”一样的数字对。任意选取其中的3个程序都能准确地计算出原始秘密。而如果你只输入2个恢复出来的数字几乎不可能是正确的秘密在这么大的有限域里猜中的概率极低。通过亲手运行和修改参数比如改变t和n或者换一个秘密数字你能更深刻地体会到“门限”的意味和有限域运算的精妙。