安全的多级门限多秘密共享

!""#$%%%&%%’( )#$$&***+,#清华大学学报-自然科学版.
/012345678329-":2;0<:5.=
*%%>年第(>卷第(期
*%%>=?@A B(>=#@B(
+’,(%
’C*&’C(安全的多级门限多秘密共享
黄东平=刘铎=戴一奇
-清华大学计算机科学与技术系=北京$%%%D(.
收稿日期E*%%F&%$&*%
基金项目E国家G八六三H高科技项目-*%%’I I$$($F%.
作者简介E黄东平-$C>>J.=男-汉.=四川=博士研究生K
通讯联系人E戴一奇=教授=
L&M72A E N O P Q R5<@S O B:1B R1234567B<N6B:3
摘要E为克服已有门限方案只能在同一级门限下共享秘密的限制!利用离散对数计算和大数分解的困难性!提出一种可认证的多级门限多秘密共享方案"通过一个多项式共享秘密!该多项式在不同级门限中退化为不同的低阶多项式"与已有诸多秘密共享方案相比!该方案可以同时有多级门限值!而在同级门限下又可以有多个秘密"恢复任意一级门限的任意一个秘密都不会影响其他未恢复秘密的安全性"该方案只要求每个参与者掌握一个子秘密!管理和使用都比较方便"
关键词E多级门限#多秘密共享#认证#分发者欺骗#参与者欺骗
中图分类号E0#C$D文献标识码E I 文章编号E$%%%&%%’(-*%%>.%(&%’C*&%+
T U V W X U Y W Z[\]Z U^U Z[_X U‘_a Z b
Y W Z[\]‘U V X U[‘_c X\d e
f g h i j k l m n o p m n=q r gk s l=k h r t p u p
-v U w c X[Y U d[a x y a Y w W[U X T V\U d V U c d bz U V_d a Z a e{=
z‘\d e_W c|d\^U X‘\[{=}U\~\d e!"""#$=y_\d c.
%&‘[X c V[E I9<S2’27(A<M6A R2&A<9<AR5S<15@A N M6A R2&1<:S<R157S234 1:5<M<(71<N@3R5<23R S7:R7(2A2R O@’R5<N21:S<R<A@47S2R5M73N 23R<4<S’7:R@S2)7R2@3*71N<9<A@+<N R@<A2M237R<A2M2R7R2@31@’+S<92@61R5S<15@A N1:5<M<1R57R1<:S<R1:73@3A O(<157S<N23R5< 17M<A<9<AR5S<15@A N B05<1<:S<R17S<157S<N*2R57+@A O3@M27A *52:5N<4<3<S7R<1R@7A@*<S@S N<S+@A O3@M27A’@S N2’’<S<3R R5S<15@A N1B)@M+7S<N*2R5+S<92@611:5<M<1=R5211:5<M< 12M6A R73<@61A OM723R7231M6A R2&A<9<A R5S<15@A N173NM6A R2+A<1<:S<R1’@S R5<17M<R5S<15@A NA<9<A B05<S<:@9<S O@’73O157S<N1<:S<R@3 73OR5S<15@A NA<9<A*2A A3@R A<7,73O@R5<S63&S<:@9<S<N1<:S<R B05< 1O1R<M21<712A O M7374<N73N61<116(&1<:S<R(<:761<@3A O@3< 16(&1<:S<R3<<N(<,<+R’@S<7:5+7S R2:2+73R B
-U{.a X b‘E M6A R2&A<9<A R5S<15@A N/M6A R2&1<:S<R157S234/ 76R5<3R2:7R2@3/N<7A<S:5<7R234/+7S R2:2+73R:5<7R234
秘密共享研究如何给共享参与者集合中的每个成员子秘密=使得每个授权子集里的参与者都拿出自己的子秘密时可以恢复秘密=而非授权子集的成员则不可能得到秘密信息K$C>C年"57M2S0$1和2A7,A<O0*1首先提出门限秘密共享方案后=秘密共享得到了大量研究K在-3=4.门限秘密共享方案中=一个秘密被分成4份=分发给4个参与者=4个参与者中的任意3个合作可以恢复秘密信息=而少于3个却无法恢复K
文0+1等提出在线秘密共享机制=引入公告牌
-#2.发布一些辅助信息=这些辅助信息进一步丰富了秘密共享的内容=之后被大量用于多秘密共享5分发者认证5参与者认证等问题中K研究人员注意到防止欺骗的重要性=进而提出了一些具有认证功能的方案0(C1K另外一些研究工作考虑了子秘密的复用问题=使得同一组子秘密可以完成多重秘密的共享=简化了密钥分配管理工作0FC1K
文0$%1利用中国剩余定理和"57M2S秘密共享
方案0$1提出多级门限的秘密共享K该方案可以设定
多个门限值6
$
=6*=7=68=在69门限值下=原方案会退
化为一个-6
9
=4.情形的"57M2S门限秘密共享方案K 另外=参与者只需要掌握一个子秘密=比较利于参与者管理和使用子秘密/但每个门限值只能共享一个
秘密K也就是说=当某6
9
个参与者合作=恢复出秘密:9后=该系统就无法在用于共享其他-69=4.秘密了K 本文在文0$%1基础上提出一种改进方案=该方案中=同样可以有多级门限=而每级门限下可以共享多个秘密=恢复任意一个秘密不影响其他共享秘密的安全性K
!多级门限多秘密共享方案
!B!参数准备
$.设方案共有8级门限为6$=6*=7=68=秘密
分发者!选定"#$个不同的强的大素数%&’%$
’(’%"’即对每一个%)’有*)+,%)-$./0也是大素数’令1)+2)3+&%3’14)+2)3+&
*3’其中$5)5"6选取一个整数7使得89:1",7.+14"’其中89:1",7.表示7模1"的阶6另外’选取一个小于所有%)
的大素数*6公布;1)<$5)5"=
7和*60.随机选择正整数>&’满足?>&@8:14)A&’$’)+$’0’(’"6
B .分发者随机选择
C $-$个正整数>$’>0
’(’>C $
-$
D 14"
6对于)+$’0’(’"-$’按如下方式选择>C )’>C )
#$’(’>C )#$-$?>3E F 3G 14)
,@8:14
".H ,$.
其中F 3为任意正整数’3+C )’C )#$’(’C )#$-$6计算I )+7>
),@8:1".’其中)+&’$’(’C "-$6公布;I )<&5)5C "
-$
6J .定义一个C "-$
次多项式为K ,L .+
M C "
-$
)+&
>)
L )H
,0.
N .O +;P $’P 0’(’P Q
<是参与者的集合’其基数Q 即为共享参与者个数6在R
*/0S 里选取Q 个两两不同的非零整数;L $’(’L Q <’求T )+K ,L ).6计算U )
+2
P 3
DV ’P 3
AP
)
,L )-L 3.’并求得W )+T )U -$),@8:14".’W )
将是参与者P )的子秘密’计算X )+7W
),@8:1".6参与者公布;L )<$5)5Q 和;X )<$5)5Q 并通过安全信道将W )
发送给参与者P )
6Y .参与者P )
通过下式验证子密钥的真实性?X )+7W
),
@8:1".’,B .
,X ).
2
P 3
DV ’P 3AP
),L )
-L 3
.
E
2C "
-$
3+&
I L
3
)
3
,
@8:1"
.H ,J .
Z H [秘密的共享
设需要共享一个门限为)的秘密\)3’要求\)3
D
*
6分发者随机选取一整数]’计算\^)3+\)3
#]*,@8:1).6选取一个密钥对_)3和‘)3’使得_)3‘)3
E $,@8:14).’计算a )3+7_)3
,@8:1).’b )3+\)3-a >
&
)3,@8:1).6分发者公布;‘)3’a )3’b )3
<6Z H c 秘密的恢复
任意C )个参与者V d +;P $’(’P C )
<合作就可以恢复出秘密\)36参与者通过其子秘密生成的影子信息恢复秘密’而不必暴露子秘密本身’从而子秘密可以复用以共享多个秘密6恢复过程如下?
$.参与者从公告牌下载‘)3=a )3
和1)e 0.参与者P f 计算并出示其影子信息g )3’f
+,a )3
.W
f ,@8:1).e B .其余参与者可以通过如下等式验证P f
出示的影子信息是否真实?
X f E g ‘
)3
)3’f
,@8:1).H ,N .
因为在P f
诚实的前提下’有g ‘)3)3’f E ,
a W f )3.‘
)
3E 7_)3W f ‘)3E 7W
f ,@8:1).’而另一方面’由于1)h 1"’有
X f E ,
7W f @8:1".,@8:1).E 7W
f ,@8:1).’因此可以通过式,N .验证用户P f
提供的影子信息6J .恢复秘密的操作者计算6i )3’f +
2P X
DV d
j ;P f
<
,-L X .k 2P X
DV j V
d
,L f -L X
.’,Y .l )3+
2P f
DV
d
,
g )3’f
.i )3’f
@8:1)’
,m .
\)3+l )3#b )3
@8:1)’,n .则\)3
即为共享的秘密6计算过程中’可以通过,l )3.‘
)3
E I &
,@8:1).,o .
验证l )3
的正确性6[方案分析
[H Z 方案正确性
在参数准备的步骤$.
中要求分发者选取一个7使得89:1"
,7.+14"
’这样的7一定能取得到?显然可以取得7)使得89:%)
,
7).+*)’其中&5)5"e 由中国剩余定理’一定存在7使得7E 7),@8:%)
.’容易证明7即满足89:1"
,7.+14"
6下面证明式,n .得到的的确是共享的秘密\)3
6定理Z 在方案的所有参与者都诚实而正确地执行协议的前提下’以上所述方案得到的\)3确实是秘密分发者所共享的秘密6
证明在计算式,m .
中’由于l )3E 2P f
DV
d
,
L )3’f
.i
)3’f
E
2P f
DV
d
,
a )3
.W f
i )3’f
,@8:1).’
而
W f i )3’f E
2
P X
DV d
j ;P f
<
,-L X .k 2P X
DV j V
d
,L f -L X
.k T f k 2P X
DV ’P X
AP
f
,L f -L X p q .-$
E
T f
k 2
P X DV d j ;P f
<,-L X .,L f -L X .,@8:14
".H
注意到14)h 14"’因此有
W f i )3’f E T f
k 2P X
DV d
j ;P f
<,-L X .,
L f -L X .,@8:14
).’B
o N 黄东平’等?
安全的多级门限多秘密共享
!"#
$%
&
’
(#)*+,#
-./0
’12345
*-6另一方面,由选择7的方式不难发现2834*
’7-945*,有:*+
.’7;*+-/0
’1234*-<因此,该过程恢复得到的的确是共享的秘密=*+<>6>安全性分析
为安全性讨论的方便,不妨设有限域上的离散对数问题是困难的,?@A
B C C D
公钥密码系统是安全
的<下面分几种情形讨论本方案的安全性<C -从E 0直接破解得到/0
不可行<如果某攻击者能从E 0得到/0
,即对于给定的7和E 0,它能得到一个/0,使得7/
0.E 0’1234F -,显然对于任意0G *G F ,均有7/
0.E 0’123H *
-,也即该攻击者具有了求解有限域上的离散对数问题的能
力,与题设矛盾<
I -通过参与者的认证信息得到其子秘密是不
可行的<
容易由C -的方法证明,不再赘述<J -直接从公开的E 0得K /
*+
’1234*-是不可行的<如果某攻击者可以得到K /0*+’
1234*-,由于’K /0*+
-L *
+.E 0’
1234C -,该攻击者具有了根据一个?@A 公钥密码系统的密文和公钥计算明文的能力,这与M ?@A 是安全的N 矛盾<O -通过已经恢复的一个同门限级不能得到同门限级的另一个秘密<
也就是说,攻击者不能因为参与者"#
曾经出示过的’K *+-(#’1234*-而得到’K *+P -(
#’1234*-<假设攻击者具有这样的能力,也即对于任意给定的/P Q L P
和L R ,攻击者可以求得/R ,使得’/P -L P
.’/R -L R
’1234C -<那么,任意给定密文/P 和公钥L 后,攻击者可以任意选取一个公钥L P ,令L R 9L P S L
,能得到/R ,使得’/P -L P .’/R -L R ’1234C -成立,那么有’/R -L
./P ’1234C -
<对于任意的密文和公钥,该攻击者都能得到明文,与M ?@A 密码系统是安全的N 矛盾<
T -少于U *
个参与者不能得*级门限里的秘密<本文的秘密共享机制恢复秘密需要的其实是7;*+
S /0
’1234*
-,那么参与者需要能根据掌握的子秘密恢复出/0
’12345*-<不难发现,多项式系数满足/+.0’12345*-,其中+9U *,V,U F W C ,还有U *
个未知系数,但此时知道的点少于U *
个,无法在大量可能的多项式中唯一确定原多项式,无法恢复秘密<
X 结
论
本文提出了一个拥有多级门限的多秘密共享方案<每级门限可以共享多个密码,恢复某一门限下的某一秘密=*+
不会影响该级门限下其他未恢复秘密=*+P 以及其他级门限下的秘密=*P +R 的安全性,而实现这一切,参与者需要掌握的都是同一个子秘密,从而方便了密钥管理<
参考文献
’Y Z [Z \Z ]^Z _-
B C D @‘a 1b 8A 6c 2d e 2f ‘a 8g a f g h 8g e B i D 6j k F F "l *m /U *k l n k oU K L
p j q,C r s r ,>>’C C -tu C I u C J 6
B I D v w a x w g y z ?6@a {g |}a 83b ~|h 8y
!e 2|8a !‘b h x g y f B "D #$82h g g 3b ~|f2{%a e b 2~a w "21!}e g 8"2~{g 8g ~h g 6&2~e ’a w g ,%i tA ()$@$8g f f ,C r s r ,O *tJ C J J C s 6
B J D )e 2&,@a b e 2A ,%b f ‘b +g x b ,6@g h 8g e f ‘a 8b ~|f h ‘g 1g 8g a w b +b ~|
|g ~g 8a w a h h g f f f e 8}h e }8g B "D #
$82h g g 3b ~|f )---z w 2.g h 21/*s 6,2x y 2,i a !a ~t )---$8g f f ,C r *s 6r r C 0I 6B O D @e a 3w g 8&6$}.w b h w y ’g 8b {b a .w g f g h 8g e f ‘a 8b ~|B "D #A 3’a ~h g f
b ~"8y !e 2w 2|y 0-}82h 8y !e /r u 6v g 8w b ~t @!8b ~|g 81g 8w a |,C r r u t C r 0C r r 6
B T D v 2}32e (a .8b h g ,,8a 282i a h 3}g f 6-{{b h b g ~e !}.w b h w y ’g 8b {b a .w g
f g h 8g e f ‘a 8b ~|f h ‘g 1g f d b e ‘{a f e 283g w a y g 38g h 2’g 8yB "D #4g h e }8g %2e g fb ~"21!}e g 8@h b g ~h gC s I u 6v g 8w b ~t@!8b ~|g 81g 8w a |,C r r r t *s C 0I 6
B u D 4b ~,5,6},"6,‘8g f ‘2w 3’g 8b {b a .w g1}w e b f g h 8g e f ‘a 8b ~|
f h ‘
g 1g .a f g 32~{a
h e 28b +a e b 2~b ~e 8a h e a .b w b e y a ~33b f h 8g e g w 2|a 8b e ‘1123}w 2a h 21!2f b e g !82.w g 1f B
i D 6788H #k m
j
k F 9"U :*7*U ;L m K
l k &,C r r r ,<=>’T -tI u O I u *6
B s D 何明星,范平志,袁丁6一个可验证的门限多秘密共享方案B i D 6电子学报,I 00I ,X ?’O -tT O 0T O J 6
c -&b ~|@b ~|,(A %$b ~|+‘b ,5A A %B b ~|6A ’g 8b {b a .w g 1}w e b !w g f g h 8g e f f ‘a 8b ~|f h ‘g 1g B i D 6p m U /8&L m U #k l *m /C *l *m /,I 00I ,X ?’O -tT O 0T O J 6’b ~"‘b ~g f g -B
*D 施荣华6一种多密钥共享认证方案B i D 6计算机学报,I 00J ,>>’T -tT T I T T u 6
@)?2~|‘}a 6A 1}w e b f g h 8g ef ‘a 8b ~|a }e ‘g ~e b h a e b ~|f h ‘g 1g B i D 6j K *l L n L D k "#l /&k oj k F 9"U L #n ,I 00J ,>>’T -t T T I T T u 6’b ~"‘b ~g f g -B r D "c A %z ,b ~|y b ,c 6A %z &b ~f ‘b a ~|,5A %z 6g b !a ~|6A ~
b 1!82’g 1g ~e 2~e ‘g 4b ~06~’e ,~-e ‘8g f ‘2w 3’g 8b {b a .w g 1}w e b 0f g h 8g e f ‘a 8b ~|f h ‘g 1gB i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>X ’C -tC u r C s *6
B C 0D "c A %"‘a 2d g b ,"c A %z "‘b ~h ‘g ~6A f h ‘g 1g {28e ‘8g f ‘2w 3
1}w e b 0f g h 8g e f ‘a 8b ~|B i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>>’C -tC C O 6
B C C D?b ’g f e ?4,@‘a 1b 8A ,A 3w g 1a ~46A 1g e ‘23{282.e a b ~b ~|
3b |b e a w f b |~a e }8g f a ~3!}.w b h x g y h 8y !e 2f y f e g 1B i D 6j k F F "l *m /U *k lk op j q,C r s *,><tC I 0C I u 6
O
r T 清华大学学报’自然科学版-
I 00s ,O s ’O -。