DE102021006430B4

DE102021006430B4 - Verfahren zur Erzeugung verteilter One-Way-Trapdoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler

Info

Publication number: DE102021006430B4
Application number: DE102021006430.5A
Authority: DE
Inventors: Kirill A. Korinsky
Original assignee: Kcrypt Lab Ug Haftungsbeschraenkt
Current assignee: Kcrypt Lab Ug Haftungsbeschraenkt
Priority date: 2021-12-31
Filing date: 2021-12-31
Publication date: 2023-12-07
Anticipated expiration: 2042-01-01
Also published as: DE102021006430A1

Abstract

Verfahren zur Erzeugung von verteilten One-Way-Trapddoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler in einem Kommunikationssystem mit einer Anzahl von Teilnehmern n aufweisend die folgenden Schritte:
(a) Die Anzahl n der Parteien P definieren zusammen eine verteilte einseitige Trapdoor-Permutation ε über ein t-aus-n additives Secret-Sharing-Schema, mit Zugang zu mindestens t Teilen von S Parteien für alle

x \in ℕ_{N^{2}} :

{\begin{matrix} s_{1} & = x^{N + 1} \\ s_{2} & = x^{N^{2}} \\ x & = s_{1} \times \prod_{i \in S} s_{2}^{ϵ_{i}} \end{matrix} (m o d N^{2})

(b) Um den Teil einer Partei ε_i zu erhalten, verwendet jede Partei P_i:

ϵ_{i} = τ N_{i} + \sum_{j = 1}^{n} r'_{j, i}

(c) Um τN_i = τN(i) und r'_i,j = r'_i(i) zu erhalten, verwenden alle Parteien eine t-aus-n additives Secret-Sharing-Schema, um τ ÷ N als τN(x) und r_i als r'₁ (x) zu teilen.
(d) Der Parameter τ wird definiert als:

τ = - (\sum_{i = 1}^{n} (N \times \sum_{j = 1}^{n} r_{j, i} \times \sum_{j = 1}^{n} ζ_{j, i} + \sum_{j = 1}^{n} p'_{j, i} \times \sum_{j = 1}^{n} q'_{j, i})

(e) Zur Erlangung r_i,j = r_j(j) und ζ_i,j = ζ_i(j) zu erhalten, verwenden alle Parteien eine n-aus-n additives Secret-Sharing-Schema, um r_i als r_j(x) und ζ_i als ζ_i (x) zu teilen.
(f) Der Parameter ζ_i wird definiert als:

ζ_{i} = β'_{i} \times ψ m o d N

(g) Um β'_i und r_i zu erhalten, definiert jede Partei K' = (log₂N) ÷ n und wählt Zufallszahlen β'_i ∈ _R ℕ *_K' und r_i ∈ _R ℕ *_K'.
(h) Der Parameter ψ wird definiert als:

ψ = {(\sum_{i = 1}^{n} (\sum_{j = 1}^{n} β'_{j, i} \times \sum_{j = 1}^{n} p'_{j, i} + \sum_{j = 1}^{n} q'_{j, i}))}^{- 1} (m o d N)

(i) Um p'_i,j = p'_i(j), q'_i,j = q'_i(j) und β'_i,j = β'_i(j), p'_i(x) zu erhalten, werden q'_i (x) und β'_i (x) über ein n-aus-n additive Secret-Sharing-Schema definiert, um p'_i, q'_i und β'_i zu teilen.
(j) Um p'_i und q'_i zu erhalten, wählt jede Partei p_i zwei sehr große Zufallszahlen aus p_i und q_i aus, wobei jede dieser Zahlen mindestens k/2 Bits enthält.
(k) p und q werden berechnet über

p = \sum_{i = 1}^{n} p_{i} und q = \sum_{i = 1}^{n} q_{i},

wobei p und q Primzahlen sein müssen, wobei gilt, dass

p' = \sum_{i = 1}^{n} p'_{i} und q' = \sum_{i = 1}^{n} q'_{i},

sodass p = p' + 1 und q = q' + 1.
(l) Eine Partei verwendet p'_i = p_i - 1 und q'_i = q_i - 1, und alle anderen Parteien verwenden p'_i = p_i und q'_i = q_i.
(m) Um eine N zu erhalten, verwenden alle Parteien eine n-aus-n additives Secret-Sharing-Schema, um p_i, q_i und 0 als p_i,x = p_i(x), q_i,x = q_i(x) und h_i,x = h_i(x) zu teilen, was es ihnen erlaubt, N ohne Offenlegung von p oder q zu berechnen mit:

N = \sum_{i = 1}^{n} (\sum_{j = 1}^{n} p_{j, i} \times \sum_{j = 1}^{n} q_{j, i} + \sum_{j = 1}^{n} h_{j, i})

Description

Die Erfindung betrifft ein Verfahren zur Erzeugung verteilter One-Way-Trapdoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler (Dealer). Das Verfahren wird in einem Kommunikationssystem mit mehreren Parteien als Teilnehmer eingesetzt.
Aus der US2007/01 33806 A1 ist ein Verfahren mit einer vorgegebenen Konfiguration bekannt. Mittels der Konfiguration können Informationsmengen, die in Geräten zum Entschlüsseln eines Chiffretextes gespeichert werden sollen, in einer Chiffretext-liefernden Konfiguration reduziert werden, auf die eine Baumstruktur angewendet wird, die auf einem SD-Schema basiert. In der Druckschrift WO 2008/127428 A2 wird ein Verfahren zur Konstruktion effizienter nicht- interaktiver Zero-Knowledge-Beweise beschrieben, die direkt für Gruppen mit einer bilinearen Karte funktionieren.
Bei dem erfindungsgemäßen Verfahren können die Parteien alle Teilnehmer eines Kommunikationsnetzes sein, wie Computer, APPs, Server usw.
Die verteilte One-Way-Trapdoor-Permutation ist ein Spezialfall des sogenannten RSA (Rivest-Shamir-Adleman)-Problems mit einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel ist ein Zahlenpaar (e, N) und der private Schlüssel ist ebenfalls ein Zahlenpaar (d, N), wobei N für beide Schlüssel gleich ist. N ist das RSA-Modul, e ist der Verschlüsselungsexponent und d der Entschlüsselungsexponent, unter der Annahme, dass e = N und d = ε ist, was ein gemeinsamer geheimer Schlüssel ist. Das bedeutet, dass diese Methode verwendet werden kann, um RSA ohne einen vertrauenswürdigen Händler aufzubauen, wobei RSA ein Kryptosystem mit öffentlichem Schlüssel ist, das weithin für die sichere Datenübertragung verwendet wird. Diese Methode kann auch verwendet werden, um ein beliebiges Public-Key-Kryptosystem zu erstellen, das eine solche Falltür-Permutation verwendet, darunter das Paillier-Kryptosystem (Pascal Paillier. Public-Key-Kryptosysteme auf der Grundlage von Residuositätsklassen zusammengesetzten Grades. In International Conference on the Theory and Applications of Cryptographic Techniques, Seiten 223-238. Springer, 1999. doi: 10.1007/3-540-48910-x 16).
Es gibt mehrere aus dem Stand der Technik bekannte Verfahren, die es erlauben, einen Schlüssel auf diese Weise zu erzeugen, die aber hohe Einschränkungen hinsichtlich der Schlüssellängen und/oder der Rechenzeit für die Berechnung des Schlüssels haben.
Nach dem Stand der Technik ist der Rekord eine Faktorisierung eines 829-Bit-Schlüssels, das 2700 Rechenjahre (core-years) mit einem einmaligen Zustand benötigte (z.B.: https://lists.gforge.inria.fr/pipermail/cado-nfs-discuss/2020-February/001166.html), weil es eine Menge vorberechneter Werte aus dem vorherigen Rekord des Factorings eines 795-Bit-Schlüssels wiederverwendet, der etwa 4000 Kernjahre benötigte (z.B.: https://lists.gforge.inria.fr/pipermail/cado-nfs-discuss/2019-December/001 139.html).
Ziel der Erfindung ist es, 1024-Bit-Schlüssel zu erzeugen, und zwar mit Standardcomputern mit normaler Rechenleistung wie 150.000 MIPS (Million Instructions Per Second).
Zur Lösung dieser Aufgabe schlägt die Erfindung ein Verfahren mit den Merkmalen des Anspruchs 1 vor.
Die erfindungsgemäße Methode ermöglicht es, einen 1024-Bit-Schlüssel auf einem modernen Computer innerhalb weniger Sekunden und einen 2048-Bit-Schlüssel innerhalb von höchstens einer Minute zu erzeugen. Diese beiden Schlüssel sind für den realen Gebrauch sicher, ohne dass sie in naher Zukunft (1024-Bit-Schlüssel) oder in ferner Zukunft (2048-Bit-Schlüssel) durch Faktorisierung gefährdet sind. Diese Annahme basiert auf dem Moore'schen Gesetz und der historischen Zeitachse für das Factoring von RSA-Schlüsselsätzen.
Die erfindungsgemäße Methode hat das beschriebene Schema funktionsfähig gemacht und ermöglicht es, es als Schlüsselbaustein für eine Plattform zu verwenden, die jeden Interessenkonflikt in ein digitales Format umwandelt, ohne eine dritte Partei als Schiedsrichter einzubeziehen, indem die Technologie selbst als Schiedsrichter verwendet wird.
Jeder Interessenkonflikt wird im Rahmen des erfindungsgemäßen Verfahrens als ein Schlüsselpaar mit zwei Parametern n und t beschrieben, wobei n die Anzahl der beteiligten Parteien ist, die einen Teil des geheimen Schlüssels behalten, und t die Anzahl der Parteien ist, die erforderlich ist, um eine Aktion durchzuführen, die als Quorum bezeichnet werden kann.
Da das erfindungsgemäße Verfahren sowohl Entschlüsselungs- als auch Signierverfahren unterstützt, erweitert es die Funktionen dieser Plattform auf zwei Primitive:

- einen beliebigen Bytestrom wie ein Dokument, ein Bild usw. zu signieren, wenn das Quorum zustimmt;
- einen beliebigen Bytestrom zu entschlüsseln, wenn das Quorum zustimmt.

Diese Bausteine ermöglichen es, auf einer Plattform neue Technologien aufzubauen, die im Folgenden beschrieben werden:

1) Eine Möglichkeit, B2B-Verträge zwischen mehreren Unternehmen zu unterzeichnen, wenn es sehr schwierig oder unmöglich ist, einen Schiedsrichter zu finden.
2) Verteilung von Informationen in einer Art und Weise, die gewährleistet, dass sie für eine bestimmte Anzahl von Parteien zum gleichen Zeitpunkt verfügbar sind, z. B. ein Video- oder Telemetrie-Stream, der für mindestens 2 von 3 Parteien nach deren Vereinbarung gleich sein sollte.

Ein sehr gutes Beispiel ist die Kontrolle der Temperatur eines Containers auf dem Schiff während seiner Reise, denn wenn die Temperatur außerhalb des festgelegten Grenzwerts liegt, wird eine Vereinbarung über die Lieferung gebrochen, und dies garantiert, dass mindestens 2 von 3 Parteien über denselben Telemetrie-Datenstrom verfügen, was durch die Verwendung der erfindungsgemäßen Methode möglich ist, und die rechtliche Herausforderungen viel klarer macht, da es unmöglich ist zu sagen, dass eine der Parteien eine falsche Aussage macht, weil derselbe Datenstrom für mindestens eine weitere Partei verfügbar ist.

3) Einführung einer verteilten Kontrolle für sensible Informationen wie medizinische Daten oder Kontoauszüge für Gemeinschaftskonten. Beispielsweise gewährt ein wissenschaftlicher Autor anderen Wissenschaftlern Zugang zu einigen medizinischen Daten und erstellt einen Schlüssel, der zwischen ihnen verteilt wird:
- - der Autor,
- - eine Regierungsbehörde, die den Zugang zu persönlichen und medizinischen Daten kontrolliert, die bestätigen, dass die Forschung ethisch und rechtlich einwandfrei ist usw,
- - eine bestimmte Gruppe von Wissenschaftlern, die einen Teil der Daten nutzen möchte.

Heute gewährt der Autor den Wissenschaftlern blinden Zugang zu all seinen Daten.
Das erfindungsgemäße Verfahren ermöglicht es, einen Schlüssel zu erstellen, der den Zugriff auf alle drei Komponenten eines geheimen Schlüssels zur Entschlüsselung von Daten erfordert.
So kann der Autor kontrollieren, welche Daten bestimmten Wissenschaftlern zur Verfügung stehen, während einer Regierungsbehörde dieser Zugang gesetzlich vorgeschrieben ist.
Ein ähnlicher Anwendungsfall ist ein gemeinsames Bankkonto, aber auch in diesem Fall können homomorphe Eigenschaften genutzt werden, die es ermöglichen, das Guthaben zu erhöhen oder zu verringern, ohne es zu entschlüsseln.
4) Ein Familien- oder Unternehmensschlüssel
Derzeit beschreibt elDAS (electronic IDentification, Authentication and trust Services) nur persönliche Schlüssel für die Entität. Das erfindungsgemäße Verfahren ermöglicht die Einführung einer neuen Art von Schlüsseln, die eine elektronische Identifizierung für eine Familie oder ein Unternehmen als Entität ermöglichen.
5) IM (Instant Messenger), Chats und Messenger.
Die erfindungsgemäße Methode löst das große technische Problem, einen geheimen Gruppenchat zu führen.
Alle gängigen IM wie Wire, Viber, WeChat, WhatsApp, Telegram usw. bieten Chats mit Ende-zu-Ende-Verschlüsselung an, aber keiner von ihnen kann Gruppenchats mit Ende-zu-Ende-Verschlüsselung anbieten.
Dieser Mangel bei diesen Technologien wird durch das erfindungsgemäße Verfahren behoben.
Andererseits ermöglicht das erfindungsgemäße Verfahren die Einführung einer neuen Art von Ende-zu-Ende-verschlüsseltem Privaten-Chats: Regierungsbeschwerden.
Der geheime Schlüssel wird mit t=1 und n=2 erstellt und diese beiden Teile werden zwischen einem Benutzer und einem Regierungsdienst geteilt, der es erlaubt, die Chats der Regierungsbehörde zu entschlüsseln, um sie zu überprüfen, ohne den Absender zu fragen.
6) Überprüfbare Wahlen.
Die Erfindung wird im Folgenden unter Bezugnahme auf die Zeichnungen näher erläutert. Sie zeigt:

1: Flussdiagramm eines erfindungsgemäßen Verfahrens;
2: Ein Anwendungsfall für ein erfindungsgemäßes Verfahren.

Die einzelnen Schritte des erfindungsgemäßen Verfahrens, die im Flussdiagramm in dargestellt sind, werden nun näher beschrieben:

Schritt a: Eine Anzahl n von Parteien Pdefinieren gemeinsam eine verteilte einseitige Trapdoor-Permutation ε über ein t -aus- n additives Secret-Sharing-Schema, mit Zugang zu mindestens t Teilen der S Parteien für jede $x \in ℕ_{N^{2}} :$

{\begin{matrix} s_{1} & = x^{N + 1} \\ s_{2} & = x^{N^{2}} \\ x & = s_{1} \times \prod_{i \in s} s_{2}^{ϵ} \end{matrix} (m o d N^{2})

Diese Falltür funktioniert, weil τ = -1(modN) , und es ist möglich zu beweisen, dass (1 + τ) ÷ N ≡ N^-1modλ(N) der private RSA-Exponent ist, da (1 + τ) × λ(N) ≡ Q(modN). Dies ermöglicht es also, ein RSA-ähnliches Prinzip zu konstruieren:
Für (s₁, s₂): ${\begin{matrix} x & \equiv x^{1 + N \times N^{- 1}} \\ x & \equiv x^{1 + N \times ((1 + τ) \div N)} \\ x & \equiv x^{1 + N \times (1 \div N + ϵ)} \\ x & \equiv x^{1 + (1 + N \times ϵ)} \\ x & \equiv x^{1 + N + N^{2} \times ϵ} \\ x & \equiv x^{1 + N} \times x^{N^{2} \times ϵ} \\ x & \equiv s_{1} \times s_{2}^{ϵ} \end{matrix} (m o d N^{2})$
die in jedem Kryptosystem verwendet werden können, das das gleiche Prinzip verwendet, wie zum Beispiel das Paillier-Kryptosystem. Die Siganture nach dem Paillier-Kryptosystem sieht folgendermaßen aus: ${\begin{matrix} s_{1} = \frac{L (h {(M)}^{λ} m o d N^{2})}{L (g^{λ} m o d N^{2})} \\ s_{2} = {(h (M) \times g^{- s_{i}})}^{N^{- 1} m o d λ} m o d N \end{matrix}$
„Nishide und Sakurai“ (Takashi Nishide und Kouichi Sakurai. Verteiltes Paillier-Kryptosystem ohne vertrauenswürdigen Händler. In International Workshop on Information Security Applications, Seiten 44{60. Springer, 2010. doi: 10.1007/978-3-642-17955-6 4.) haben gezeigt, wie man eine Grenzwert-Paillier-Entschlüsselung konstruiert, die s₁ im vollständigen Schema entspricht. Die vorliegende Erfindung eröffnet den Weg zur Berechnung von s₂ mit dem Genzwert-Paillier und erlaubt es, ein vollständiges Schwellenwert-Paillier-Kryptosystem zu konstruieren.
Schritt b: Um den Anteil einer Partei ε_i zu erhalten, verwendet jede Partei P_i: $ϵ_{i} = τ N_{i} + \sum_{j = 1}^{n} r'_{j, i}$
Schritt c: Um τN_i = τN(i) und r'_i,j = r'_i(j) zu erhalten, verwenden alle Parteien P ein t-aus-n additives Secret-Sharing-Schema, um τ ÷ N als τN(x) und r_i als r'_i(x) zuteilen.
Schritt d: Der Parameter τ wird definiert als: $τ = - (\sum_{i = 1}^{n} (N \times \sum_{j = 1}^{n} r_{j, i} + \sum_{j = 1}^{n} ζ_{j, i} \times \sum_{j = 1}^{n} p'_{j, i} \times \sum_{j = 1}^{n} q'_{j, i}))$
Schritt e: Um r_ij = r_i(j) und ζ_i,j = ζ_i(j) zu erhalten, verwenden alle Parteien n eine n-aus-n additives Secret-Sharing-Schema r_i als r_i(x) und ζ_i als ζ_i(x).
Schritt f: Der Parameter ζ_i wird definiert als: $ζ_{i} = β'_{i} \times ψ m o d N$
Schritt g: Um β'i und r_i zu erhalten, definiert jede Partei n K' = (log₂N) ÷ n und wählt Zufallszahlen β'_i ∈_R ℕ _*K, und r_i ∈_R ℕ _*K'.
Schritt h: Der Parameter ψ wird definiert als: $ψ = {(\sum_{i = 1}^{n} (\sum_{j = 1}^{n} β'_{j, i} \times \sum_{j = 1}^{n} p'_{j, i} \times \sum_{j = 1}^{n} q'_{j, i}))}^{- 1} (m o d N)$
Schritt i: Um p'_i,j = p'_i(j), q'_i,j = q'_i(j) und β'_i,_j = β'_i(i), zu erhalten, werden p'_i(x), q'_i (x) und β'_i(x) mittels einer n-aus-n additive additives Secret-Sharing-Schema definiert, um p'_i, q'_i und β'_i zu teilen.
Schritt j: Um zu erhalten p'_i und q'_i zu erhalten, wählt jede Partei P_i Zufallszahlen p_i und q_i aus, wobei jede dieser Zahlen mindestens k/2 Bits enthält;
Schritt k: wenn p und q berechnet werden über $p = \sum_{i = 1}^{n} p_{i}$
und $q = \sum_{i = 1}^{n} q_{i}$

berechnet, wobei p und q Primzahlen sein müssen, wobei $p' = \sum_{i = 1}^{n} p'_{i}$
und $q' = \sum_{i = 1}^{n} q'_{i}$
sind, sodass p = p' + 1 und q = q' + 1 ist.
Schritt I: Eine Partei verwendet p'_i = p_i - 1 und q'_i = q_i - 1, und alle anderen Parteien verwenden p'_i = p_i und q'_i = q_i.
Schritt m: Um die N zu erhalten, verwenden alle Parteien eine n-aus-n additives Secret-Sharing-Schema, um p_i, q_i und 0 als p_i,x = p_i(x), q_i,x = q_i(x) und h_i,x = h_i(x) zu teilen, was es ihnen ermöglicht, N ohne Offenlegung von p oder q zu berechnen: $N = \sum_{i = 1}^{n} (\sum_{j = 1}^{n} p_{j, i} \times \sum_{j = 1}^{n} q_{j, i} + \sum_{j = 1}^{n} h_{j, i})$
zeigt ein Anwendungsbeispiel für ein erfindungsgemäßes Verfahren. Eine Anzahl von Parteien t, die t verschiedene Teile des Geheimnisses ε_i besitzen, können alle Nachrichten entschlüsseln, die im Schritt a von einem dritten Verschlüsseler verschlüsselt wurden. Diese Parteien senden die teilweise entschlüsselte Nachricht v_i über einen sicheren Kanal oder auf andere Weise an eine Partei, die sie mit der entschlüsselten Nachricht kombiniert. Jeder, der Zugang zu genügend entschlüsselten Teilnachrichten hat, kann diese zu einer entschlüsselten Nachricht zusammenfügen.
Das erfindungsgemäße Verfahren erfordert keine Iterationen, da es auf einem einzigen Algorithmuslauf beruht. Es gibt keine Geheimnisse preis und deckt nicht nur RSA, sondern auch Pailler-Kryptosysteme ab. Es ermöglicht die Implementierung eines vollständigen Paillier-Grenzwertverfahrens und nicht nur die Entschlüsselung, wie sie z.B. in den Arbeiten von „Damgärd und Jurik“ (Ivan Damgard und Mads J. Jurik. A generalisation, a simplification and some applications of Paillier's probabilistic public-key system (BRICS Report Series, 7(45), June 2000. doi: 10.7146/brics.v7i45.20212.) und „Nishide and Sakurai“ beschrieben wurde.
Liste der Bezugszeichen und Parameter:

P: Partei
Pi: Partei i
E: gemeinsame einseitige Permutation der Falltür
x: secret
τ: Parameter
ζi: Parameter
β'i: Zufallszahl
ri: Zufallszahl
pi: Zufallszahl
qi: Zufallszahl
N: RSA-Modul

Claims

Verfahren zur Erzeugung von verteilten One-Way-Trapddoor-Permutationen durch additives Teilen ohne einen vertrauenswürdigen Händler in einem Kommunikationssystem mit einer Anzahl von Teilnehmern n aufweisend die folgenden Schritte: (a) Die Anzahl n der Parteien P definieren zusammen eine verteilte einseitige Trapdoor-Permutation ε über ein t-aus-n additives Secret-Sharing-Schema, mit Zugang zu mindestens t Teilen von S Parteien für alle $x \in ℕ_{N^{2}} :$
${\begin{matrix} s_{1} & = x^{N + 1} \\ s_{2} & = x^{N^{2}} \\ x & = s_{1} \times \prod_{i \in S} s_{2}^{ϵ_{i}} \end{matrix} (m o d N^{2})$
(b) Um den Teil einer Partei ε_i zu erhalten, verwendet jede Partei P_i: $ϵ_{i} = τ N_{i} + \sum_{j = 1}^{n} r'_{j, i}$
(c) Um τN_i = τN(i) und r'_i,j = r'_i(i) zu erhalten, verwenden alle Parteien eine t-aus-n additives Secret-Sharing-Schema, um τ ÷ N als τN(x) und r_i als r'₁ (x) zu teilen. (d) Der Parameter τ wird definiert als: $τ = - (\sum_{i = 1}^{n} (N \times \sum_{j = 1}^{n} r_{j, i} \times \sum_{j = 1}^{n} ζ_{j, i} + \sum_{j = 1}^{n} p'_{j, i} \times \sum_{j = 1}^{n} q'_{j, i})$
(e) Zur Erlangung r_i,j = r_j(j) und ζ_i,j = ζ_i(j) zu erhalten, verwenden alle Parteien eine n-aus-n additives Secret-Sharing-Schema, um r_i als r_j(x) und ζ_i als ζ_i (x) zu teilen. (f) Der Parameter ζ_i wird definiert als: $ζ_{i} = β'_{i} \times ψ m o d N$
(g) Um β'_i und r_i zu erhalten, definiert jede Partei K' = (log₂N) ÷ n und wählt Zufallszahlen β'_i ∈ _R ℕ *_K' und r_i ∈ _R ℕ *_K'. (h) Der Parameter ψ wird definiert als: $ψ = {(\sum_{i = 1}^{n} (\sum_{j = 1}^{n} β'_{j, i} \times \sum_{j = 1}^{n} p'_{j, i} + \sum_{j = 1}^{n} q'_{j, i}))}^{- 1} (m o d N)$
(i) Um p'_i,j = p'_i(j), q'_i,j = q'_i(j) und β'_i,j = β'_i(j), p'_i(x) zu erhalten, werden q'_i (x) und β'_i (x) über ein n-aus-n additive Secret-Sharing-Schema definiert, um p'_i, q'_i und β'_i zu teilen. (j) Um p'_i und q'_i zu erhalten, wählt jede Partei p_i zwei sehr große Zufallszahlen aus p_i und q_i aus, wobei jede dieser Zahlen mindestens k/2 Bits enthält. (k) p und q werden berechnet über $p = \sum_{i = 1}^{n} p_{i} und q = \sum_{i = 1}^{n} q_{i},$
wobei p und q Primzahlen sein müssen, wobei gilt, dass $p' = \sum_{i = 1}^{n} p'_{i} und q' = \sum_{i = 1}^{n} q'_{i},$

sodass p = p' + 1 und q = q' + 1. (l) Eine Partei verwendet p'_i = p_i - 1 und q'_i = q_i - 1, und alle anderen Parteien verwenden p'_i = p_i und q'_i = q_i. (m) Um eine N zu erhalten, verwenden alle Parteien eine n-aus-n additives Secret-Sharing-Schema, um p_i, q_i und 0 als p_i,x = p_i(x), q_i,x = q_i(x) und h_i,x = h_i(x) zu teilen, was es ihnen erlaubt, N ohne Offenlegung von p oder q zu berechnen mit: $N = \sum_{i = 1}^{n} (\sum_{j = 1}^{n} p_{j, i} \times \sum_{j = 1}^{n} q_{j, i} + \sum_{j = 1}^{n} h_{j, i})$