+ a t-2 xt-2 + … + a 0 を使って、
n人の各参加者のシェア(ID, f(ID))を計算し、各参加者に送信する。
2. シェアを受信した参加者は、シェア (ID, f(ID))が正しいか検証する。
※ 多項式の各係数は不明だが、共有されたコミットメント( C i = a i G)を使って検証可能
f(ID) = C t-1 ・IDt-1+ C t-2 ・IDt-2 + … C 0 ・ID0 3. 全参加者からシェアを受信したら、集約鍵のシェアを計算
s ID = f 1 (ID) + f 2 (ID) + … f n (ID)
4. 3から自分の公開シェアP ID = s ID Gを計算
他の参加者の公開シェアについても、全参加者のコミットメントとIDが分かるので計算可能
5. 各参加者のC ID, 0 = a ID,0 Gを合算して、集約公開鍵P = a 1,0 G + a 2,0 G + … a n,0 Gを導出
集約公開鍵Pに対応する秘密鍵は、各参加者の係数 a 0 の合算値
各参加者は集約秘密鍵のシェアを持っている状態