Se llama encriptación de umbral (o, aquí, descifrado).
Un esquema bien conocido es El intercambio secreto de Shamir . Permite dividir un valor secreto en acciones n , de modo que cualquier acción t es suficiente para reconstruir el secreto. n y t se pueden elegir a voluntad (aunque usted querrá tener n mayor que t en la práctica) . Para el problema de encriptación de umbral, aplica el esquema de Shamir en la clave de descifrado. Cuando t los titulares de acciones se encuentran, pueden reconstruir la clave de descifrado y luego descifrar los datos.
Aunque el esquema de Shamir está bien (de hecho, es probable que sea seguro incluso contra atacantes con infinitas capacidades computacionales; muy pocos algoritmos criptográficos pueden afirmar que son igualmente seguros), tiene una limitación que es la siguiente: reconstruye un < em> secreto . Esto lo convierte de alguna manera en "un disparo": si los titulares de acciones reconstruyen el secreto, entonces tienen el secreto. Cada uno de ellos podrá realizar más descifrados solo simplemente recordando el secreto reconstruido.
Dependiendo de su contexto, esto puede o no ser un problema. Por ejemplo, hay sistemas de votación que utilizan el cifrado homomórfico (por ejemplo, con ElGamal), donde los votos cifrados se suman sin descifrarlos (ese es el punto del homomorfismo); pero el recuento final aún debe ser descifrado. Aquí queremos el descifrado de umbral: varias autoridades deben colaborar entre sí para realizar el descifrado. De esa manera, las autoridades se mantienen en jaque. Sin embargo, si aprenden la propia clave privada en el proceso, luego cada autoridad podrá descifrar los votos individuales, lo que anula todo el propósito.
Si estos problemas se aplican a su contexto, entonces debe hacer más matemáticas. Hay esquemas de descifrado de umbral que permiten, por ejemplo, un descifrado de ElGamal de umbral, de manera que el titular de la acción t debe comunicarse entre sí para cada instancia de descifrado, intercambiando "mensajes parcialmente descifrados. ". La clave privada nunca se reconstruye realmente, pero su acción (el descifrado) se reproduce gradualmente.
Existe una gran cantidad de teorías sobre los sistemas criptográficos de umbral, con varias características (cuántas acciones, a qué valores de umbral posibles, el esquema resiste bien cuando algún titular de acciones hace trampa activamente, cuántos mensajes se deben intercambiar, etc.) Si su problema actual puede resolverse con el esquema de Shamir, entonces, por supuesto, hágalo. Es razonablemente fácil de implementar (en particular, compartir archivos es fácil si realiza todos los cálculos en GF (2 8 ) ).