一种可验证的(t,n)门限秘密共享方案
一个新的(t,n)门限多级秘密共享方案
于
YU Da L U Hua pi n, I n— ng
哈尔滨师范大学 数学与计算机科学学院 , 哈尔滨 10 2 05 5
C l g f Mah mais a d C mp t r S i n e, r i r l Un v ri , r i 0 5, h n ol e o te t n o u e ce c Ha b n No ma i e st Ha b n 1 0 2 C i a e c y 5
照 特定 的顺 序恢复 出来 ,这 个特 定 的顺 序是 由系统 预先 设
定的。
案, 并指 出其不 足 ; 3 , 出一个新 的(,) 第 章 将给 t 门限多级秘 n 密共享方案 , 该方案基 于双变量单 向函数 ; 4章 , 出的新 第 对提 方案进行性 能分析 ; 5章 , 第 得出结论。
1 引言
秘密共享是保密通信中的重要手段 。 一个秘密共享方案包
方案, 该方案基于双变 量单 向函数 。 本 文其它部分组织 如下 :第 2章 ,简述 H e和 H m 的方 a
括—个可信 的秘密分发者和 n 个参与者 。 秘密分发者为要共享 的秘密选取 n 子密钥 ,通过安全信道将 其分发给 n 个 个参 与 者 ,每个参与者 只知道 自己的子密钥而不知道 其他人 的子密 钥。 同时 , 秘密分发者定义一些授权子集 , 授权子集 中的参与者 合作可恢复共 享的秘密 , 而非授权子集 中的参与者合作不能恢 复共享的秘 密。 17 ,hmil Ba l m 9 9年 S a r和 l e 分别提 出了(, ) t l ky tn 门限方案 。 在 (9) t 门限方案 中 , 有 ≥ 个参 与者组 成的集 合都 是授权 子 n 所 集, 任意 r ≥t ( ) 与者合作都能恢复 共享 的秘密 , r r t r 个参 而 t) (< 个参与者合作不能恢复共享的秘密。如果 r r t ) ( < 个参与者合 作对恢复秘密没有任何帮助 , 称该 门限方案是完美的。 多级秘 密共 享方案是指授权子 集中的成员将 多个 秘密按
两种实用的可验证多秘密共享方案
收稿日期:2009209221;修回日期:2009211209 作者简介:贺军(19712),男,副教授,硕士,主要研究方向为数据库技术、信息安全(hejun_1971@ );李丽娟(19572),教授,硕导,主要研究方向为指纹技术、信息安全;李喜梅(19732),女,讲师,主要研究方向为数据库技术、信息安全.两种实用的可验证多秘密共享方案贺 军1,李丽娟2,李喜梅1(11怀化职业技术学院计算机与信息工程系,湖南怀化418000;21湖南大学计算机与通信学院,长沙410082)摘 要:基于齐次线性递归构造了两个新的可验证多秘密共享方案,新方案由参与者自己选取各自的秘密份额,降低了分发者的计算量,避免了使用安全信道。
与最近的两个类似方案相比,新方案的公开值和计算量都更有优势,安全分析也表明新方案可以抵抗常见的攻击。
关键词:密码学;秘密共享;可验证性;多秘密共享中图分类号:TP309 文献标志码:A 文章编号:100123695(2010)0521882203doi:10.3969/j .issn .1001Ο3695.2010.05.079T wo p ractical verifiable multi Οsecret sharing schemesHE Jun 1,L IL i Οjuan 2,L I Xi Οmei1(1.D ept .of Co m puter &Infor m ation Engineering,Huaihua V ocational &Technical College,Huaihua Hunan 418000,China;2.College ofCo m puter &Co mm unication,Hunan U niversity,Changsha 410082,China )Abstract:This paper p r oposed t w o verifiable multi Οsecret sharing sche mes based on the homogeneous linear recursi on tech 2nique .I n the sche mes,the partici pants chose their own secret shares which not only decreased the computati onal cost of the dealer but als o avoid the using of security channel .Compared with the t w o recent si m ilar schemes,the schemes had advantages on public values and computati onal cost .Security analysis shows that the sche mes can resist t o the attacks available .Key words:cryp t ography;secret sharing;verificati on;multi Οsecret sharing 秘密共享对于保护秘密信息免受丢失、破坏或落入敌手等情况都发挥着重要作用,这一技术自从1979年被Sha m ir [1]和B lakley [2]独立提出以后,已经发展成为现代密码学的重要分支。
高效的强(n,t,n)可验证秘密共享方案
W U C h u n - y i n g ’ LI S h u n - d o n g 1
( S c h o o l o f C o mp u t e r S c i e nc e , S ha a n x i No r ma l Un i v e r s i t y, Xi ’ a n 71 0 0 6 2, Ch i n a )
一种新的可验证秘密共享方案(IJMSC-V2-N2-1)
Abstract Shamir’s (t, n)-SS scheme is very simple to generate and distribute the shares for a secret among n participants by using such polynomial. We assume the dealer a mutually trust parity when he distributes the shares to participants securely. In addition when the participants pooling their shares in the secret reconstruction phase a honest participants can always reconstruct the real secret by Pooling areal shares. The property of verifiability enables participants to verify that their shares are consistent. Tompa and Woll suggested an important cheating scenario in Shamir’s secret reconstruction. They found a solution to remove a single cheater with small probability, unfortunately, their scheme is based on computational assumptions. In addition each participants will receive a huge number of shares. In this paper we will construct scheme to be information theoretically secure verifiable secret sharing which does not contain a single cheater. On the other hand we will eliminate these problems in Tompa and Woll scheme. Our proposed scheme is not only to detect and identify a cheater, but to prevent him from recovering the secret when the honest participants cannot. Index Terms: Secret sharing, verifiable secret sharing, honest participants, dishonest participants, single cheater, cheaters’ group. © 2016 Published by MECS Publisher. Selection and/or peer review under responsibility of the Research Association of Modern Education and Computer Science 1. Introduction Secret sharing schemes introduced by both Blakley [1] and Shamir [2] independently in 1979 as a solution for safeguarding cryptographic keys and have been studied extensively in the literatures. In basic secret sharing scheme, a secret S is divided into n shares and shared among a set of n shareholders by a mutually trusted dealer in such a way that any t or more than t shares will be able to reconstruct this secret; but fewer than t shares cannot know any information about s. Such a scheme is called a (t, n) secret sharing, denoted as (t, n)-SS.
一个可验证的门限多秘密分享方案
yo f&
y.
mdTc o g Cu gu. ha 109 G ka a e/ / y.ln d , un603 hl mo '  ̄'
, s 60 6 , 103 )
A sr t A r wmu il s r ss r gshm . a do h n a t i yo te i . t bt c: e a l l D  ̄e a n e e bs nt t e c t hi c e ei r a l fh  ̄ e tcbi t d re
( 西南交通大学计算机 与通信工程学 院, ) 成都 .L 2 四川工业学院计算机科学与工程 系 , L I l  ̄ l 6 ̄3 ; L 四川成都 .10 603 9 3 四川大学电子信息学院 . . 四川成都 ,1 6 ) 60 5 0
摘
要 : 基于离散对数计算 和大整数分解的困难性 , 利用 R A加密体 制提 出了一个新 的门限多秘密分享 方案 S
等 人提出了一 个可 防止分发者( el ) Dae 欺诈 的秘 密分享方案 , r 但这 个方案不能 防止分享者 的欺诈 之后各种 防欺诈秘 密 分享方案陆续提 出_ 5 …, 中大部分方案仅 能防止分发者 或 其 分享者一方 的欺诈 , 且这 些方案 只 能一次 分享 一个秘 密 而 H m 95年提出 了一 个多秘 密分 享方案 能同时 肪止 分发 者 a 19 与分享者 的欺诈 J在 H m 的方案 中 , 密分发者 给每 一个 a 秘
( L n h S l D )adt R A e- e l
பைடு நூலகம்
c hn 鲫 Inipe ne, hc h a ̄i n saoslli s r n a er s , nia  ̄ r o  ̄' l s r et i i 1 s d nw hte re at hdw ' ̄ n e eadClh e e r p p s e ct l l ud f ls l
(t,n)门限秘密共享体制的研究的开题报告
(t,n)门限秘密共享体制的研究的开题报告一、研究背景秘密共享是一种保护数据安全的方法,它通过将原始的秘密分成多个份额,并分配给多个用户,使得只有在满足一定条件下,才能重组出原始的秘密。
其中,(t,n)门限秘密共享体制是一种比较常见且有效的方法,它可以在n个用户中,只需要t个或更多的用户才能重建出原始的秘密,而任何少于t个用户都无法得到原始的秘密。
因此,(t,n)门限秘密共享体制在各个领域都有着广泛的应用,如保险、金融、网络安全等。
二、研究内容本次研究的主要内容是(t,n)门限秘密共享体制的研究。
具体包括以下几个方面:1.(t,n)门限秘密共享体制的基本原理及其实现方法;2.多项式求值问题及其在门限秘密共享体制中的应用;3.门限秘密共享体制的安全性分析;4.门限秘密共享体制在实际应用中的具体实现。
三、研究意义(t,n)门限秘密共享体制是一种对数据进行安全保护的有效方法,它在保证数据安全的同时,还能够提高数据的可用性和容错性。
本次研究的结果将有助于加深人们对门限秘密共享体制的理解,促进其在更广泛的应用领域中的应用。
四、研究方法本次研究采用文献调研和数据分析的方式,对门限秘密共享体制的基本原理、算法及实现方法进行系统性的研究和总结,并通过实验验证模型的有效性和安全性。
五、预期目标本次研究的预期目标为:1.深入掌握(t,n)门限秘密共享体制的基本原理;2.掌握门限秘密共享体制的多项式求值问题及其在实现中的应用;3.对门限秘密共享体制进行安全性分析,寻找其中存在的安全隐患;4.深入研究门限秘密共享体制在实际应用中的具体实现;5.通过实验验证,验证门限秘密共享体制的可行性和安全性。
六、结论(t,n)门限秘密共享体制在各个领域都有着广泛的应用,因为它能够保证数据的安全性、可用性和容错性。
本次研究的结果将对门限秘密共享体制的理论和实践研究提供一定的参考和帮助。
一个可公开验证秘密共享方案的安全性证明
a0 = s , ai ∈R Z q 。庄家保密多项式 f ( x) ,计算并公布以下的承诺 C j 和加密子密钥
(encrypted shares) Yi :
Cj = g
aj
,
j = 0, 1, L, t − 1;
Yi = yif (i ) , i = 1, 2, L, n.
(2-2) 构作证据:现在,要做的就是构作知识证据,以便使各成员相信他们收到的加密子 密钥 Yi 是有效的、一致的,即满足:
X i = g f (i ) , Yi = yif (i ) .
其中的 X i ,任何人都可根据公开的、庄家对多项式 f ( x) 的各系数的承诺 C j 来计算:
X i = ∏ C ij .
j =0 t −1
j
(2)
为此,采用 Fiat 和 Shamir 的办法[15]构作此证据。对于每个 i ∈ {1, 2, L, n} ,庄然后,按下式计算出对各成员 U i 的应答(response) ri :
(2-3) 子密钥的验证: 任何人(当然包含各成员)都可利用公开信息 C j (0 ≤ j ≤ t − 1) 按(2)式 计算出 X i ,然后再利用公开信息 yi , Yi , ri (1 ≤ i ≤ n) 及 c 验证所有成员收到的加密子密钥是 否有效。首先计算出各 a1i 和 a2i :
摘
要:可公开验证的秘密共享(PVSS)是一种特殊的秘密共享体制。在这种方案中,
任何人(不一定是系统中的成员)既可以在秘密分发阶段验证庄家是否给各个成员分发了正 确的子密钥, 又能在秘密恢复阶段验证每个成员是否提供了真实的子秘密; 而且也不需要 假设庄家和各成员之间有秘密信道。 在 1999 年的美洲密码会议上, B. Schoenmakers 提出了 一个基于离散对数的 PVSS 方案。 本文从理论上证明该方案的安全性, 结果表明: 该方案中 的子密钥加密算法的安全性等价于 Diffie-Hellman 假设: 且若 Diffie-Hellman 假设成立, 则 任何 (t − 1) 个成员利用他们的子秘密都不能恢复出秘密密钥。同时, 我们还指出整个方案 的安全性显著地依赖于两个系统参数的相互独立性。 关键词:秘密共享 可公开验证秘密共享 Diffie-Hellman 假设 密码学
一个(t,n)门限秘密共享方案
可知 , 解 D等价 于求解 一个具 有 “个 方程 t 个未 知量 的 求 t t
秘密时 , 任意 t 个参与者合作 , 用他 们所掌握的 t 利 个影 子 即 可计算恢 复出共享 的秘密 k 而任意 t , 一1个或更少个参 与者 合 作则无法计算 出共享 的秘 密 k 。如果任 意少 于 t 个参 与者
线性方程组 , 解不唯 一 , 任选 其一作 为矩 阵 D。密钥 分 配中
心 K C计算 D
S=G ・D
可知 , 阵 S是一 个 n行 u列 的矩 阵 , 矩 设矩 阵 S的 n行依 次 表示为 S 、: . 5 , 。S … 、 它们均 是 u维向量。 密钥分 配 中心将 s 、 . s 别分 配给 参与 者 P 、 s … 、 分
P … .P 、 作为他们保管 的影 子, 中参 与者 P ( ≤i z 其 1 ≤, )
保管的影子是 s。由于共享 的秘 密 和 ,个影 子都是 u维向 . z 量 , 以本 门限秘 密共 享方案是无数据扩展 的。 所 13 共 享秘密的恢复方法 .
没任意 t 个参 与者 P P … . P 合作 , 他们 所掌 握 、 将
维普资讯
第 8卷 第 3期 辽 宁科 技学 院学报 . o. N . V 18 o3 20 0 6年 9月 J U N L O I O I G I S IU E O C E C N E H O O Y O R A FLA N N TT T FS I N E A D T C N L G N S p 2 0 e . 06 文 章编号 :0 8— 7 3 20 )3— 03— 2 10 32 (06 0 0 0 0
Baly 和 Sa i 在 17 l e… k hm r 99年 分别 提 出了 ( , ) tn 门限
一种基于可验证秘密分享的密钥管理方案
一种基于可验证秘密分享的密钥管理方案引言随着计算机网络与因特网技术的发展与普及,电子商务的应用已经越来越广泛,它正悄悄改变人们的购物、消费方式及生活观念,更加方便人们的日常生活。
目前,影响电子商务发展的最大障碍之一就是消费者担心他们的信用卡信息会泄露。
利用公钥密码体制实现的数字签名技术,为电子交易的顺利开展提供了保障。
而签名的信息主要由用户的私钥决定。
现在网络中信息的交换通常采用公钥基础体系(PKI)来保证数据的安全性。
而PKI系统的关键是密钥管理问题,用户的公钥由数字证书保存,而私钥由用户自己保存,一旦泄露或丢失,会给用户造成无法估量的损失,虽然用户可以通过认证中心(CA)声明停止使用该证书及相应的公钥,但以前利用该证书加密的信息将无法读取。
CA负责证书的管理工作,其证书库里面保存了用户私钥的备份,但显然这种赋予CA极大的权利行为并不利于信息安全。
正是鉴于此,国家规定必须建立密钥管理中心(KMC)独立于CA由国密委监督管理,负责在电子商务活动中为用户提供加密密钥和进行国家政策规定的密码技术和产品服务。
而秘密分享技术的兴起为用户私钥的管理带来极大的便利,它可以将一些重要的信息分割成多个子秘密(秘密份额),然后分发给多个参与者,只有通过一些授权的参与者一起合作才能恢复出秘密,而其他参与者则得不到任何关于秘密的信息。
秘密分享方案在防止重要信息丢失、被破坏、落入敌手等方面都可起到重要的作用。
这里提出的密钥管理方案是基于门限密码学中的秘密分享方案,它将用户的私钥分割成多个子秘密,然后动态分发给用户、CA及KMC。
这样可以设定只有当其中的两方或者三方共享自己的子秘密才能恢复出用户的私钥,这样从技术上保证了任何一方不能独自恢复私钥。
2 理论准备2.1 Shamir(t,n)秘密分享方案Shamir(t,n)秘密门限方案是第一个(t,n)门限方案,该方案的基本结构是秘密分发者D根据初始秘密计算出n个秘密份额,然后D把它们通过安全信道发送给秘密分享的参与者。
一种动态(t,n)门限多重秘密共享方案
自第一个 (, ) tn 门限秘密共 享方 案在 17 9 9年被 Sa il hm rl J 和 Baey 分别独立地提 出 以后 , l l k 由于其广 泛 的实 际应用 前
工作量太大 , 可操作 性差 J ) 共享多 个秘 密时 , 能一 。C 在 不 次恢复 出来 , 需要多 次重 复秘密 的分 发和恢 复过程 。d 在 ) 防止欺诈时 , 必须 有一个专 门的验证协议 , 增加 了方案 的 复杂性。这些 问题 可能在某一篇文章 中得到 了解决 , 没有 全 但
L U Xio l ,Z I a —i HANG in z o g ,HAO Xi— ig Ja — h n uqn
(.C lg 1 oeeo te ai l fMahm ts& h omai c ne h ax N r lU i rt, ’ n70 6 c f r t nSi c,S an i oma nv sy Xia 10 2,C ia . colo Si c,X ’nS 咖 M o e ei hn ;2 Sho f c ne ia h e
一
种 动 态 ( 几 门 限 多 重 秘 密 方 术 , ) , 共享/案 、 l ,
刘 晓莉 , 张建 中 , 郝修清
(. 西师 范大 学 数 学与信 息科 学学院 , 1陕 西安 70 6 ; . 102 2 西安石 油大 学 理 学院 , 西安 70 6 ) 105
维普资讯
第2 5卷 第 2期 20 0 8年 2月
计 算 机 应 用 研 究
Ap l a i n Re e r h o mp t r p i t s a c fCo u e s c o
Vo 5 N . L2 o 2
Fb 2o e. 08
一种新的(t,n)门限多重秘密共享方案
初始 化 阶段主 要 完 成 系统 参 数 的选 定 , 为后 续 工作 做 准 备 。秘 密 分 发 中心 为 S C, 参 与 者 为 D 几个 “ - ; - 秘密 分发 中心选 择 大 素 数 P 方 案在 有 限 , , 域 G P) 进 行 ; D F( 上 S C选 择 双 变 量 单 向 函 数 . 厂 . G p 一 ( ) 参 与者 在 有 限域 G p 上选 择 F( ) P; F( )
第 1 O卷
第3 4期
21 0 0年 1 2月
科
学
技
术
与
工
程
V0 . 0 No. De . 01 11 34 c2 0
1 7 — 1 1 ( 0 0 3 —5 9 0 6 1 8 5 2 1 )4 8 8 .3
S in c oo y a d En n e n ce ceTe hn l g n o e f g i
在这一阶段 中,D S C将计算并公布一些信息 ,
操作步 骤为 :
2 性 能 分析
G ( ) 发给 个 参与者时 , 选定这 一周期 的时变 Fp分 就
参数 ( 选定 的时变 参 数 满 足 : i 时 ,( , ) 当 ≠ 厂 TS ≠
,
s , 并把 函数 _ 素数 P及 s 公布在 公告 牌上 。 厂 、 。
89 50
科
学
技
术
与
工
程
1 0卷
12 秘密分发 阶段 .
的防欺诈 的秘 密共 享 方 案 , 均存 在参 与者 的子 秘 密
只能 使用 一次 的缺 陷 。H m_ 在 1 9 a 4 9 5年 提 出 的方
案是 建立 在 门限方 案 的基 础 上 , 它克 服 了 以上 的 缺 点 : 与 者 可 以 用 同 一 个 子 秘 密 共 享 任 意 多 个 秘 参 密 , 是 该方案 有计 算 量 大 和 为 了 防止 参 与 者 的相 但 互欺骗 、 要执 行 一个 交 互 式 验 证 协议 的缺 点 。所 需
可验证的(t,n)门限秘密共享方案及其安全性
可验证的(t,n)门限秘密共享方案及其安全性
庞辽军;李慧贤;王育民
【期刊名称】《华南理工大学学报(自然科学版)》
【年(卷),期】2007(035)001
【摘要】为了在无可信中心存在的情况下将一个秘密在一组参与者之间实现共享,并且防止参与者间的相互欺骗,提出了一种动态的、可验证的(t,n)门限秘密共享方案.在该方案中,各参与者的秘密份额由所有参与者共同协商,而不是由秘密分发者进行分配.因此,在秘密分发过程中,秘密分发者只需计算一些公开信息,而无需向各参与者传递任何信息.在秘密重构过程中,每个合作的参与者只需向秘密计算者提交一个由秘密份额计算的伪份额,且秘密计算者能够验证伪份额的有效性.方案的安全性是基于离散对数问题的难解性.
【总页数】4页(P102-105)
【作者】庞辽军;李慧贤;王育民
【作者单位】西安电子科技大学,综合业务网理论及关键技术国家重点实验室,陕西,西安,710071;西北工业大学,计算机学院,陕西,西安,710072;西安电子科技大学,综合业务网理论及关键技术国家重点实验室,陕西,西安,710071
【正文语种】中文
【中图分类】TP918
【相关文献】
1.一种可验证的(t,n)门限秘密共享方案 [J], 史英杰
2.基于特征值的可验证特殊门限秘密共享方案 [J], 张艳硕;李文敬;陈雷;毕伟;杨涛
3.可验证的(n,n)门限量子秘密共享方案 [J], 麻敏;李志慧;徐廷廷
4.可验证的Asmuth-Bloom门限秘密共享方案 [J], 程宇;刘焕平
5.N个Shamir门限秘密共享方案组合的通用可验证性设计 [J], 郭涌浩;卫宏儒因版权原因,仅展示原文概要,查看原文内容请购买。
一种独立定期更新的(t,n)门限秘密共享方案
20 0 6年 2月 1 日收 到 6
子 秘 密 的 分 发 由 分 发 中 心 负 责 。具 体 工 作
如下 。
第一 作者简介 : 惠( 9 8 ) 女 , 士 , 究方 向 : 邹 17 一 , 硕 研 信息 安 全。
第二步
计算 g og 一 g f ; a, a , _ al
= I , D)
维普资讯
科
学
技
术
与
工
程
6卷
y :C ( 。
)卢 = ,
( =12 … , ) i ,, n 。
定理
在 保证 D i , … ,) ( =12, t经验 证 正确 的
立定 时更新 的(, 门限 秘 密共 享 方 案 。此 方 案 能 t ) 使更新 者 在 不 获 知 任 何关 于共 享 秘 密 以及 参 与 者 子秘 密 的情 况 下 , 立 于子 秘 密 的分 发 者对 子 秘 密 独
进行 更新 , 且能较 好 地 防止欺 诈 问题 。 并
有 两个 重要 参数 , 门限值 t以及 子 秘 密 的数 目 , , 一 般 皆用 (, 门 限方 案来 表 示 。这 一 方 案 的具 体 含 t ) 义为 , 共享 秘 密 打造 成 n份 不 同 的子 秘 密 。让 每 将
第三 步
公 开 信 息 o ,
一,
, y 将
情况下, 汇集点 t 个点( 。 l) (D , ) …, I , D , , D x D ,
(D , ) 即可恢 复 共享 秘密 K, K= 。 I D , 且 n。
密及 其 他 成 员 的 子 秘 密 进 行 验 证 , 效 防 止 了攻 击 者 对 子 秘 密 的 获取 及 内 部参 与 者 之 间 的互 相 欺 诈 。 有
基于椭圆曲线的(t,n)门限多重秘密共享方案
C A为每个签名者提供的身份是 I f -12 …,, ,其中当 D ( ,, f , z )
3 C 随机 构 造 一个 ,1 )A 一 次多 项式
, ) =d+a +ax+ +a l 。 d l 2 … tt _ mo , X
时,I fI D≠ 。
2 可信中心 C ) A随机取 d∈ 作为组 的私钥,组的公钥是 y ・ =d GEE( 。 )
第2 期
11 系统初 始 化阶 段 .
该方案 的安全 参数 如下 :
1可信中心 c ) A选取有限域 F上一条安全的椭圆 曲线E )保证该椭圆 曲线的离散对数问题是难解 的。 q ( ,
在 E( ) 上选 一个 基 点 G ,G 的阶数 为 是 一个 大素 数) 。令 组 a= { , 2…, 是 m个 签 名者集 合 , PlP , P )
其 中 a’2 al , 并计算 d=fI ) dn ( la, ∈ …, i ( mo Di =12 …,,。 ,, ,) z C A再 随机选 取 一个 数 r ,计算 G’ EZ =r G。然 后 C 再计 算 =dG (=1 A i’f , . ,。C … ,, z A将 通 过 ) 安全 信道送 给 P,并公布 W1WE , ,d ’ l ,2 ’… ,口 。而 每个 验证 d的正确 性 只需验 证 i , , …, G’ G, G’ G, a a HG’ i
维普资讯
第2卷 第2 4 期
2 0 年 6月 07
上海第二工业大学学报
J OURNAL OF S HANGHAI E COND OL S P YTE CHNI UNI RS T C VE I Y
Vb .4 No 2 1 . 2
Jn 2 o u.07
一个可公开验证的多重秘密共享门限方案
l)门 限 秘 密 共 享 方 案 ,可 以 共 享 多 个 秘 密 .
[
1]
任何在实际中应用的密码方案及其 算 法 都 应 该 具 有 抵 抗 攻 击 的 能 力,Shami
r秘 密 共 享 方 案 和 其 他
秘密共享方案是在秘密分发者和参与者都可信的前提假设下设计的,这样就导致了秘密共享方案在实际应
收稿日期:2019 07 01
基金项目:贵州省教育厅青年科技人才成长项目(黔教合 KY 字[
2016]
130;贵州省科学技术基金项目 (黔科合 J字[
2014]
2125 号 );国
家自然科学基金项目(
61462016).
作者简介:蔡兆政,硕士,主要从事编码理论和密码学的研究 .
通信作者: 包小敏,博士,教授 .
与 者 联 合 可 以 重 构 多 项 式 ,得 到 的 常 数 项 即 为 分 享 的 秘 密 .反 之 ,任 何 小 于t 个 参 与 者 的 集 合 不 能 重 构
多 项 式 ,从 而 不 能 获 得 秘 密 .文 献[
2]利 用 线 性 投 影 几 何 原 理 的 性 质 构 造 的 门 限 方 案 ,t 个t-1 维 超 平
案 ,但 是 该 方 案 需 要 将 子 秘 密 通 过 秘 密 信 道 发 送 给 参 与 者 ,在 动 态 秘 密 共 享 情 形 下 ,秘 密 共 享 者 的 工 作
量较 大 ,同 时 维 护 秘 密 信 道 增 加 了 通 信 开 支 .本 文 提 出 了 一 个 安 全 有 效 的 可 公 开 验 证 的 (
t,n)多 重 秘 密
[
17]
,不 需 要 维 护 秘 密 信 道 而 增 加 通 信 成 本 ;计 算 的
一种新的(t,n)门限多重秘密共享方案
一种新的(t,n)门限多重秘密共享方案李金凤【摘要】提出了一个基于单向函数的(t ,n)多重秘密共享方案.在该方案中,参与者的子秘密可反复使用,来共享任意多个秘密;能有效预防秘密分发中心欺诈及参与者之间的互相欺骗, 且在验证是否有欺诈行为存在的过程中不需要执行交互协议.重要的是计算量相对较小.【期刊名称】《科学技术与工程》【年(卷),期】2010(010)034【总页数】3页(P8589-8590,8593)【关键词】单向函数;时变参数;多重秘密共享;门限方案;欺诈【作者】李金凤【作者单位】华南理工大学理学院,,广州,510640【正文语种】中文【中图分类】TP393.08门限方案自 1979年由 Shairm[1]提出以后,由于有广泛的应用前景,许多学者对之进行了深入的研究,并取得了许多成果。
针对 Shairm方案中管理者可以欺诈及不良的参与者的欺骗问题,研究者提出了多种解决方法,即所谓的防欺诈秘密共享方案[2,3]。
不管是一般的秘密共享方案还是相对安全的防欺诈的秘密共享方案,均存在参与者的子秘密只能使用一次的缺陷。
Harn[4]在 1995年提出的方案是建立在门限方案的基础上,它克服了以上的缺点:参与者可以用同一个子秘密共享任意多个秘密,但是该方案有计算量大和为了防止参与者的相互欺骗、需要执行一个交互式验证协议的缺点。
所以Chen对该方案进行了改进,但计算量大的缺点还是没被克服。
许春香和肖国镇[5]在 2004年提出基于 RSA签名的多重秘密共享方案,解决了计算量大的问题,但是计算量还是相对较大。
本文提出了一个基于单向函数的(t,n)多重秘密共享方案,因为使用了单向函数和时变参数,参与者的子秘密可反复使用,可用来共享任意多个秘密;另外,本文还设计了新方法,能有效预防秘密中心欺诈及参与者之间的互相欺骗,且在验证是否有欺诈行为存在的过程中不需要执行交互协议;因为参与者选择子秘密,减小了攻击者对秘密分发中心的攻击,和已有的方案相比较,本方案的计算量较小。
_t_n_门限的动态秘密共享方案_许春根
2.2 Amir Herzberg 方案的改进
事实上 Amir Herzberg 的子秘密更新方案相当于 n 个参与 者协商了一个常数项为零的 t-1 次多项式, 事实上少于 n 个参 与者也可以进行子秘密更新, 步骤和原方案相同, 如果参与子 秘密更新的参与者少于门限值 t 时,可以对此方案进行改进, 使它具有更好的灵活性和执行效率, 方案描述如下: 下面是子秘密更新阶段。 其他步骤同 Amir Herzberg 方案, 设参与更新子秘密的集合为 { P 1 , …, (t 为门 P2 , P k }, k<t 限值 ) ) 首先 P ( ,, …, ) 选择 χ i ∈R Zq* 并公布 g (g 是 Z q (1 k i i=1 2 的生成元 ) 。 (2) 如果 χi≠ χj 执行如下协议, 否则重新执行 (1) , P i 计算 ) …+λik (λij∈R Zq* 且两两不等 ) , 这相当于对 χi B( i m =λi1 +λi2 + ) 做随机分解, 先随机选取 k -1 个数, 进而确定第 k 个 χ i B( i m m-j ) 数, 其中 B( i m =仪 j =1 i-j
许春根, 杨彦炯, 窦本年, 等: (t, ) 门限的动态秘密共享方案 n 体制的核心特征进行了归纳: 应用动态方法将秘密的生命周期 分为若干个时间段, 在每个时间段的开始, 子秘密的持有者参 与一个子秘密更新协议, 之后他们便持有全新的子秘密, 原来 的子秘密变得无效并被安全地删除。对于 (t, ) 动态门限秘密 n 共享方案来说,攻击者必须在一个时间段内获取 t 个子秘密, 由于时间的限制, 这大大增加了攻击者的攻击难度, 使方案更 加安全。Amir Herzberg 等人提出动态秘密共享方案是一个门 限体制下的动态秘密共享方案, 其安全性可以达到在每一个时 间段内至多有 n/2-1 个子秘密被破坏的情形。 文献[4]提出了一个可动态调整门限值的 (t, ) 多秘密分享 n 对于不同的共享秘密, 秘密分发者可根据秘密的重要性, 方案。 动态地调整恢复该秘密的门限值, 可高效地增加或删除成员, 无需更改其它成员的秘密份额,因而具有较高的安全性和实 用性。 为了克服现有的门限秘密共享方案在处理参与者集合动 态变化时灵活性差的缺点, 文献[5]构造了一个门限秘密共享方 案, 并给了一个简单实用的计算 Lagrange 插值的方法。该方案 可以动态添加或者删除参与者,而不需要重新分发子秘密, 减 小了方案实施的代价, 子秘密由参与者自己保存, 公开的是子 秘密的一个影子, 从而子秘密可以复用。与直接用基于一般访 问结构的共享方案实现门限秘密共享相比,该方案运算代价 小。 文献[4]给出了一个基于椭圆曲线公钥密码体制的动态秘密 共享方案, 安全性基于求解有限域上椭圆曲线离散对数的困难 从而, 只要参与者 性。对 Amir-Herzberg 动态方案进行了改进, 中的部分人 (甚至少于门限值 ) 就可发起更新子秘密, 并具有更 好的灵活性和执行效率, 进一步考虑, 对于参与子秘密更新的 人数大于或等于门限值时, 此方案仍可以更新子秘密。
一个可验证的门限多秘密分享方案
一个可验证的门限多秘密分享方案何明星1,2,范平志1,袁丁1,3(1.西南交通大学计算机与通信工程学院,四川成都,610031;2.四川工业学院计算机科学与工程系,四川成都,610039;3.四川大学电子信息学院,四川成都,610065)摘要:基于离散对数计算和大整数分解的困难性,利用RSA 加密体制提出了一个新的门限多秘密分享方案.该方案通过零知识证明等协议来防止秘密分发者和秘密分享者的欺诈行为,因而是一个可验证的门限多秘密分享方案.该方案还具有:秘密影子可重复使用;子秘密影子可离线验证;供分享的秘密不须事先作预计算等特点.该方案可用于会议密钥(秘密)分配、安全多方计算、门限数字签名等应用领域.关键词:秘密分享;门限体制;离散对数;RSA 加密体制;零知识证明中图分类号:TN918文献标识码:A文章编号:0372-2112(2002)04-0540-04A Verifiable Multiple Secrets Sharing SchemeHE Ming-xing 1,2,FAN Ping-zhi 1,YUAN Ding 1,3(1.Southwest Jiaotong Uniuersity ,Chengdu ,Sichuan 610031,China ;2.Sichuan Uniuersity of Science and Technology ,Chengdu ,Sichuan 610039,China ;3.Sichuan Uniuersity ,Chengdu ,Sichuan 610063,China )Abstract :A new muitipie secrets sharing scheme ,based on the intractabiiity of the discrete iogarithm(DL )and the RSA en-cryption aigorithm is presented ,in which the participants'shadows remain secret and can be reused ,even if aii subshadows are made pubiic.Meanwhiie ,by using a zero-knowiedge proof protocoi ,the vaiidity verification of shadow and subshadow is aiso provided to pre-vent both deaier cheating and other participant cheating ,and any freeiy given secrets without pre-computation by deaier can be recon-structed.The scheme can be appiied to many areas such as conference key distribution ,secure muiti-part-computation ,threshoid signa-ture etc.Key words :muiti-secret sharing ;threshoid scheme ;discrete iogarithm ;RSA ;zero-knowiedge proof!引言秘密分享在现代密码学中占有重要的地位.秘密分享的基本问题是如何给参与者集合的每个参与者适当分配子秘密(秘密影子),使得只要根据一定的授权存取结构汇集其中一部分参与者的子秘密经过计算就可恢复秘密.在秘密分享方案中,门限秘密分享方案是应用较广也是研究最早、成果最多的一种秘密分享方案.具体地说,(I ,n )门限秘密分享是分发者在n 个参与者即所谓秘密分享者中把一个或多个秘密分拆成若干个子秘密,分配给各个参与者,使得这n 个参与者中任何I 个合作就可恢复秘密,但任何少于I 个的参与者都无法获得该秘密.最早的秘密分享方案是在1979年由Shamir 和Biakiey 分别基于Lagrange 插值多项式和射影几何理论独立提出的[1].20多年来,门限秘密分享方案的研究与设计受到人们的广泛关注,取得了长足的进步,其应用涉及通信密钥管理、安全多方计算、金融网安全、电子商务等诸多领域[1,2].虽然Shamir 和Biakiey 的方案奠定了门限方案的基础,但M Tom-pa 与H Woii[3]发现他们的方案不能防止秘密分发者与分享者的欺诈行为,而且分享者所得到的秘密影子(Shadow )只能使用一次,若有多个秘密则需多次分发秘密影子.1985年Chor等人提出了一个可防止分发者(Deaier )欺诈的秘密分享方案,但这个方案不能防止分享者的欺诈[4].之后各种防欺诈秘密分享方案陆续提出[5~10],其中大部分方案仅能防止分发者或分享者一方的欺诈,而且这些方案只能一次分享一个秘密.Harn 1995年提出了一个多秘密分享方案能同时防止分发者与分享者的欺诈[8].在Harn 的方案中,秘密分发者给每一个分享者一个秘密影子,然后分享者再由此计算秘密子影子(Subshadow )分发给他的门限合作者,这样即使公开子秘密影子,秘密影子也可保密.但Harn 方案的缺点是对于每个供分享的秘密都须事先作预计算.而且子秘密影子的认证都是各方在线合作的,从而计算量和通信量均很大,导致方案实施的困难.本文的贡献在于利用RSA 加密体制以及零知识证明等收稿日期:2000-12-29;修回日期:2002-01-31基金项目:国家自然科学基金(No.69825102)第4期2002年4月电子学报ACTA ELECTRONICA SINICA Voi.30No.4Aprii 2002协议,设计了一个具有较好综合性能的多秘密门限分享方案,主要有以下特点:(1)秘密影子可重复使用;(2)子秘密影子可离线验证;(3)可检测秘密分发者与分享者的欺诈行为;(4)不需事先对秘密进行预计算.!预备知识在给出方案之前,首先介绍本文用到的一些定义、记号与相关知识.定义"秘密分发者(Dealer)指把一个或多个秘密分发给I个秘密分享者的人或服务器.比如网上会议的大会主席.定义!公告栏(NB)指存放公开参数或数据的媒介.系统各方均可访问公告栏上的内容,但只有秘密分发者才能修改或更新公告栏上的内容.记秘密分发者为Pd ,S={S1,S2,…,Sm}为m个待分发秘密S的集合,G={P1,P2,…,PI}是I个秘密分享者P的集合.假设传送秘密影子的信道是安全可靠的.W!G是G中t 个秘密分享者的集合,t为门限值.I表示P的身份标识号(比如,1,2,…,m).对于秘密分发者Pd 与秘密分享者集合G={P1,P2,…,P I}之间的一个可验证的秘密分享方案,应满足以下要求:(1)如果秘密分发者遵循分发协议且各秘密分享者P遵循协议,则P可正确收到Pd的秘密信息.(2)对于同一个秘密S的分配方案,两个合法秘密分享者集合W1!G与W2!G,(这里I W1I=I W2I=t)恢复出的秘密是相同的.(3)秘密分享者可检测秘密分发者的欺诈行为.(4)秘密分享者可检测其他分享者的欺诈行为.零知识证明协议所谓零知识证明,是指一方(证明者)向另一方(验证方)证明某个论断正确的一种协议,同时要求在证明过程中不暴露证明方任何其它信息.零知识证明在设计密码协议时是非常有用的.在此,先介绍本文中要用到的零知识证明协议[2].设!是一个循环群(设其阶为m),g是!的生成元,h是!的一个元素.该零知识证明协议可以满足以下要求:证明者在已知G、g、H、h且H=h S的条件下向验证者证明他知道S,而且有以g为底元素G的离散对数等于以h 为底H的离散对数S,即G=g S,同时证明者不会泄露S的信息.协议描述如下:设A是证明者,B是验证者,证明者A随机选取r并计算x=g r和x'=h r.令c=H'(g,h,G,H,x,x'),其中H'是一个hash函数.他先计算y=r+cS,再把数据对(c,y)传给验证者B作为证据.验证者收到(c,y)后验证c =H'(g,h,G,H,g y/G c,h y/H c)是否成立.若是则B认为A 知道S;否则B认为A不知道S.#方案描述基于第2节的准备,本节提出多秘密分享方案.设秘密分发者Pd 有m个待分发的秘密S={S1,S2,…,Sm},Pd需要将这m个秘密分发给G={P1,P2,…,PI}中的t个授权的秘密分享者,这些分享者的集合为W.方案包含以下四个模块:初始化;秘密影子的生成算法;秘密子影子的生成算法;秘密恢复算法.初始化秘密分发者Pd创建公告栏并定义如下参数:p,g为P d秘密选择的两个不同的强大素数,即p=2p' +1,g=2g'+1,且p',g'仍为大素数;N=pg发布在公告栏上;N'=p'g',由Pd保密;e,d为秘密分发者Pd的RSA公钥和私钥,满足ed=1mod"(N),其中"是Euler函数.即d由P d保密,而e发布在公告栏上;g为ZN中阶为N'的生成元,发布在公告栏上.H'是一个公开的hash算法.秘密影子的生成算法首先,Pd随机生成(t-1)次多项式f(x)=a+a1x+…+a t-1x t-1mod N',a I"Z N',0<a I< N'-1,然后计算检测向量!=(10,11,…,1t-1),其中1I=g a I mod N(I=0,1,…,t-1)(1)并在公告栏NB上公开V.令I=#PI"G\{P}(I-I I)mod N'(2)这里I表示分享者P的身份标识号.注意到p'、g'是两个大素数,应有I I-I I I<p',I I-I I I<g'于是I-I I与p'、g'分别互素,而p'、g'也互素,因而I与N'=p'g'互素,从而I-1mod N'存在.于是对于秘密分享者P"G,P d可按如下定义为其计算秘密影子x=f(I)·I-1mod N'(3)并通过安全信道给P发送{g I mod N,x},P d同时为P计算公钥y=g x mod N(4)将其发布在NB上.当P"G收到P d发来的秘密影子后,通过下式对x的有效性进行验证(g I)x=#t-1I=0(1I)I I(mod N)(5a)若式(5a)不成立,则可检测到秘密分发者Pd有对P的欺诈行为(Pd传递的秘密影子不满足式(4)或者式(3)).事实上,任何一个参与者也可通过验证下式是否成立(y)#PI"G\{P}(I-II)=#t-1I=0(1I)I I(mod N)(5J)来对Pd的公钥发布是否存在欺诈行为进行检测.秘密子影子的生成算法首先,对任意待分配的秘密Si (i=1,2,…,m),Pd随机选取相应的整数ri"Z N',再随机选取gi"Z N',计算c i=(gg i)d mod N(6)h i=g a0i r i-S i(mod N)(7)然后Pd在NB上发布四元组(ci,ri,gi,hi).为了恢复秘密Si,每个秘密分享者P须为秘密Si计算子影子Ii:I i =g x i mod N(8)c i =c x i mod N(9)P再随机选取整数r i "[1,N]并计算c'i =H'(g,g i,y,I i ,g r i ,g r i i),y i =r i +c i 'x.最后,将四元组(I i ,c i ,c i ',y i )传给W中的其他所有合作者,作为向合作者证明秘密子影子I i 计145第4期何明星:一个可验证的门限多秘密分享方案算正确的证据.每个秘密分享者P 在收到其他所有合作者P j 传来的四元组(I ij ,c ij ,c ij ',y ij )后可首先按下式离线检测秘密子影子I ij 的正确性:c e i j =y j I ij (mod N )(10)若式(10)不成立,则可断定秘密分享者P j 伪造秘密S i 的子影子I ij .若式(10)满足,则可认为秘密子影子I ij 是正确的.在安全性要求更高的情况下,为了进一步加强安全性(以防对式(10)的其它攻击),P 可以利用第2节中描述的零知识证明协议再次检测P j 所传子影子的(I ij ,c ij )的合法性.例如,P j 想欺骗接收者P 以使接收方P 不能恢复正确的秘密,他可能用虚假秘密影子x j '代替自己的真秘密影子x j ,计算虚假秘密子影子:I'ij =g x'j i mod N ,也即P 可能收到信息I'ij =g x'j i mod N.但注意到P j 的公钥y j =g x j mod N 是发布在NB 上的,于是P 可以利用第2节中介绍的零知识证明协议来检验是否有x j '=x j ,而不会泄露P j 的秘密影子x j ,这只需将协议中的(g ,h ,G ,H )替换为(g ,g i ,y j ,I ij )即可.这时根据P j 的证据(c ij ',y ij ),P 可以检验下式是否成立:c'ij =H'(g ,g i ,y j ,I ij ,g y ij /y c'ij j ,g y ij i /I c'ij ij )(11)若成立,则确认子影子的合法性.否则,则认为P j 有欺诈行为.秘密恢复算法W 中的每个秘密分享者P 现在可以从NB 上获得{r i ,h i },从W 中的其他分享者P j 处收到I ij .于是P 可以离线独立计算S i =(!P j"WI jij )r i -h i mod N (12)其中!j =!P j "W \{P j}(-I I )·!P I"G \W(I j -I I )(13)因为由下面定理1即可保证:如果秘密分发者遵循分发协议且秘密分享者遵循协议,则P 可正确恢复P d 发送的秘密信息S i .定理1W 中的每个秘密分享者可通过式(12)恢复秘密S i " .证明有了t 个秘密子影子I ij ,与 j (j =1,2,…t ),由Lagrange 插值公式易知a 0=f (0)=#P j"W jf (I j )!P I"W \{P j}(-I I )(I j -I I )-1=#P j"W f (I j )!P I"G \{P j}(I j -I I )-1!P I"G \W (I j -I I )!P I"W \{P j}(-I I )=#P j"W f (I j )I -1j !j =#P j"W (x j !j )(mod N')于是由下面的推导可得S'i =S iS'i =(!P j"WI !j ij )r i -h i =(!P j"W (g x j i )!j )r i -h i=g #P j"W x j !j i r i -h i =g a 0i r i -h i =S i (mod N )4安全性分析上述方案的安全性是基于离散对数计算和大数分解的困难性的,因而是计算安全的.尽管子影子I ij 在恢复秘密S i 的计算中在门限组W 中是公开的,但P j 的秘密影子x j 仍可保密.因为由式(8),若已知I ij ,g i 求解x j 等价于离散对数的计算.同样,知道秘密S i 也不会影响其余的秘密S t 的安全性,因为不同的秘密S i 有不同的g i ,r i 来对其进行随机化,因此每个秘密分享者可以利用同一个秘密影子重复产生不同的子影子来恢复不同的秘密,而系统的安全性不会受到影响.欺诈检测一个可验证的秘密分享方案应该为每个秘密分享者提供验证的能力,比如验证:(a )秘密分发者所提供的秘密影子是属实的;(6)一个秘密分享者发送给另一个秘密分享者的秘密子影子是属实的[4,5,7,8,10].事实上,在实际通信中,秘密分发者可能给分享者提供虚假的秘密影子;一个秘密分享者也可能给另一个秘密分享者发送虚假的秘密子影子.下面的定理可保证本方案所提供的检测方法的正确性.定理2秘密分发者对秘密影子的伪造可由每个分享者根据式(5a )识别.证明因为x j =f (I j )I -1j mod N',有(g I j)x j=g I j f (I j )I -1j=gf (I j )=g#t -1I =0a I I Ij=!t-1I =0(1I )(I j )I(mod N )定理3(子影子离线检测)若子影子I ij 真,则式(10)即c e i j =y j I ij (mod N )成立.亦即若等式c e i j =y j I ij (mod N )不成立,则P j 必有欺诈.证明显然有c e i j =(c x j i )c =((gg i )d )x j e =(g x j )de g x ji =y j I ij mod N 由此可知,若秘密分享者企图伪造子影子I ij 而逃过检测必须知道RSA 加密体制的私钥,这又等价于破译RSA 因而是困难的.定理4第2节中的零知识证明是正确的.因而若式(11)成立,则可确认P j 所传子影子的合法性.否则可确认P j 有欺骗行为.证明(1)假设(c ,y )是有效证据,显然有c =H'(g ,h ,G ,H ,g y /G c ,h y /H c ).(2)反之,若c =H'(g ,h ,G ,H ,g y /G c ,h y /H c ),令x =g y /G ,x'=h y /H c ,由于 是循环群,生成元为g ,因而 中任何一个元素可用g 的幂来表示,于是设有整数 , , , 使得h =g ,H =g ,x =g ,x'=g ,根据x ,x'的定义,可得x =g y /G =g ,x'=h y /H c =g ,即g y -Sc =g ,g y - c =g,从而y -Sc = mod m , y - c = mod m ,因此可得 - =c (-S )mod m ,注意到c 为由hash 函数得到的随机值,所以 -S =0modm ,故H =g =g S =h S ,由已知G =g S ,这说明G 与H 相对于底数g ,h 有共同的离散对数.再者,若有必要,子影子的合法性检测可通过式(10)与式(11)两次验证,更进一步加强了本方案的安全性.5结论文中提出的多秘密门限分享方案,具有比较满意的特性,可用于会议秘密分配、安全分布式计算、电子商务等应用领域.若考虑把本方案作适当的改进还可用于具有不同权限(如大会不同密级的文件分发)的秘密分享解决方案.同时,由于它是基于离散对数计算和大数分解的困难性的,所以总体上是计算安全的.当然,本方案是在假定安全信道已存在的情况245电子学报2002年下着重讨论如何检测秘密分发者与秘密分享者的欺诈行为的.若考虑秘密分发者与秘密分享者之间所传信息的认证功能,以避免中间截获攻击,可以采取签名或签密的办法[9]对方案进行加强.感谢Ericsson研究院Roif.J.Bium,Andras Mahes,Gorian Seiander博士对本文初稿的建设性评论.参考文献:[1]E F Brickeii,D M Daveport.On the ciassification of idea secret sharing scheme[J].J Cryptoiogy,1991,4(2):123-134.[2]P A Fougue,G Poupard,J Stern.Sharing decryption in the context of voting or iotteries[A].Proceedings of Financiai Cryptography2000[C].Beriin:Springer Veriag,2000.90-104.[3]M Tompa,H Woii.How to share a secret with cheaters[J].Journai of Cryptoiogy,1988,1(2):133-138.[4]B Chor,S Goidwasser,S Micaii,B Awerbuch.Veriabie secret sharing and achieving simuitaneity in the presence of fauits[A].Proceedings of26th FOCS[C].1985.251-260.[5]M Stadier.Pubiiciy verifiabie secret sharing[A].Advances in cryptoio-gy-Eurocrypt'96[C].Beriin:Springer Veriag,1996.190-199.[6]R G E Pinch.Oniine muitipie secret sharing[J].Eiectronics Letters,1996,32(12):1087-1088.[7]R Gennaro,S Micaii.Verifiabie secret sharing as secure computation [A].Advances in cryptoiogy-Crypto'94[C].Beriin:Springer Veriag,1995.168-182.[8]L Harn.Efficient sharing of muitipie secrets[J].IEE Proc-Comput Digit Tech,1995,142(3):237-240.[9]张福泰,王育民,郑东.用签密构造可验证秘密分享方案[A].CCICS’2001论文集[C].北京:科学出版社,2001.244-248.[10]F Boudot,J Traor'.Efficient pubiiciy verifiabie secret sharing schemes with fast or deiayed recovery[A].Lecture Notes in Computer Science1726[C].Beriin:Springer Veriag,1999.87-102.作者简介:何明星男,1964年生于四川省南江县,1990年获重庆大学应用数学专业硕士学位,现为四川工业学院计算机科学与工程系副教授,西南交通大学计算机与通信工程学院通信与信息系统专业博士生,主要研究兴趣为网络与信息安全、电子商务.范平志男,1994年获英国Huii大学通信工程专业博士学位,现为西南交通大学计算机与通信工程学院教授,博士生导师,IEEE高级会员,国家杰出青年基金获得者,主要研究兴趣为移动通信、无线IP、网络与信息安全.(上接第535页)参考文献:[1]U M Maurer.Secret key agreement by pubiic discussion from common information[J].IEEE Trans IT,1993,39(3):733-742.[2]M J Gander,U M Maurer.On the secret key rate of binary random vari-abies[A].Proc.of the1994IEEE Symp on Information Theory[C].1994.351.[3]U M Maurer.Protocois for secret key agreement based on common in-formation[A].Advances in Cryptoiogy-CRYPTO’92,Lecture Notes inComputer Science[C].Beriin:Springer-Veriag,1993.740:461-470.[4]Christian Cachin.Enropy measures and unconditionai security in cryp-tography[D].ETH,1997.[5]Stefan rmation-theoreticaiiy and computationaiiy secure key agreement in sryptography[D].ETH,1999.345第4期何明星:一个可验证的门限多秘密分享方案一个可验证的门限多秘密分享方案作者:何明星, 范平志, 袁丁作者单位:何明星(西南交通大学计算机与通信工程学院,四川成都,610031四川工业学院计算机科学与工程系,四川成都,610039), 范平志(西南交通大学计算机与通信工程学院,四川成都,610031), 袁丁(西南交通大学计算机与通信工程学院,四川成都,610031四川大学电子信息学院,四川成都,610065)刊名:电子学报英文刊名:ACTA ELECTRONICA SINICA年,卷(期):2002,30(4)被引用次数:29次1.E F Brickell;D M Daveport On the classification of idea secret sharing scheme 1991(02)2.P A Fouque;G Poupard;J Stern Sharing decryption in the context of voting or lott eries 20003.M Tompa;H Woll How to share a secret with cheaters 1988(02)4.B Chor;S Goldwasser;S Micali;B Awerbuch Veriable secret sharing and achieving si multaneity in the presence of faults 19855.M Stadler Publicly verifiable secret sharing 19966.R G E Pinch Online multiple secret sharing[外文期刊] 1996(12)7.R Gennaro;S Micali Verifiable secret sharing as secure computation 19958.L Harn Efficient sharing of multiple secrets[外文期刊] 1995(03)9.张福泰;王育民;郑东用签密构造可验证秘密分享方案 200110.F Boudot;J Traor′Efficient publicly verifiable secret sharing schemes with fas t or delayed recovery 19991.潘红艳.蔡光兴一个新的基于门限RSA的分布式认证服务方案[期刊论文]-科技信息2010(7)2.张旭.赵翔探讨引入素域建立的门限RSA方案[期刊论文]-硅谷2009(4)3.李国文.李大兴.LI Guo-wen.LI Da-xing一种可验证的门限RSA签名方案[期刊论文]-计算机应用研究2007,24(5)4.崔竞松.彭蓉.CUI Jing-Song.PENG Rong门限RSA中的子密钥优化分配算法[期刊论文]-计算机学报2005,28(6)5.郭振.张建中.GUO Zhen.ZHANG Jian-zhong基于RSA的防欺诈的动态多重秘密共享方案[期刊论文]-计算机工程与应用2010,46(12)6.王贵林.卿斯汉.王明生Shoup门限RSA签名方案的改进[期刊论文]-计算机研究与发展2002,39(9)7.毕越.侯整风.BI Yue.HOU Zhengfeng一个基于向量空间秘密共享的新成员加入协议[期刊论文]-计算机工程与应用2011,47(16)8.韩忠.Han Zhong基于RSA门限密码体制[期刊论文]-计算机光盘软件与应用2010(16)9.张鹏门限数字签名相关特性研究[学位论文]200410.张文芳.何大可.王小敏.郑宇.Zhang Wen-fang.He Da-ke.Wang Xiao-min.Zheng Yu基于新型秘密共享方法的高效RSA门限签名方案[期刊论文]-电子与信息学报2005,27(11)1.晋玉星.茹秀娟一个新的广义秘密共享方案[期刊论文]-计算机工程 2009(17)2.陈桂强.王丽琴一种分布式动态的多秘密共享方案[期刊论文]-微计算机信息 2008(6)3.雷跃荣.詹旭.杜玲艳群密钥分配技术研究[期刊论文]-四川理工学院学报(自然科学版) 2008(2)4.陈桂强.王丽琴.袁志成.刘钰.马艳丽一种动态(t,n)门限的多级多秘密共享方案[期刊论文]-通信技术 2009(7)5.彭银桥.甘元驹.周继承基于广义接入结构的防欺诈多秘密分享方案[期刊论文]-计算机工程 2006(13)6.左振元.谢琪一种动态(t,n)门限多秘密分享方案的分析[期刊论文]-杭州师范学院学报(自然科学版) 2008(6)7.高萍.李伟华基于身份的Ad Hoc网络群签名算法设计[期刊论文]-计算机仿真 2008(7)8.甘元驹.谢仕义.付东洋防欺诈的动态(t,n)门限多秘密共享方案[期刊论文]-四川大学学报(工程科学版) 2006(6)9.莫乐群.姚国祥无可信中心的(t,n)门限签名方案的安全性分析[期刊论文]-计算机工程与设计 2009(21)10.甘元驹.谢仕义.付东洋.李小立防欺诈的广义多秘密分享方案[期刊论文]-电子科技大学学报 2008(1)11.黄东平.刘铎.王道顺.戴一奇一种安全的门限多秘密共享方案[期刊论文]-电子学报 2006(11)12.杜红珍.张建中一个高效的广义动态多秘密分享机制[期刊论文]-计算机应用研究 2006(7)13.谢琪.于秀源.王继林一种安全有效的(t,n)多秘密共享认证方案[期刊论文]-电子与信息学报 2005(9)14.李雄.李志慧动态防欺诈的多组秘密共享方案[期刊论文]-计算机工程与应用 2008(27)15.黄东平.刘铎.戴一奇安全的多级门限多秘密共享[期刊论文]-清华大学学报(自然科学版) 2007(4)16.黄挚雄.黎群辉.危韧勇.李志勇一种防欺骗的广义多秘密分享方案[期刊论文]-铁道学报 2007(6)17.肖攸安.李腊元数字签名技术的研究[期刊论文]-武汉理工大学学报(交通科学与工程版) 2002(6)18.宋法根.刘振海.梅江林一种改进的BLP模型[期刊论文]-制造业自动化 2012(16)19.张建中.侯建春一个新的可验证的(t,n)多秘密共享方案[期刊论文]-陕西师范大学学报:自然科学版 2012(5)20.张青坡.王立鹏.陈鲁生可用于公开信道的密钥共享方案[期刊论文]-计算机工程与应用 2005(8)21.赵恒.权义宁.胡予濮一种新的P2P数据共享解密授权方案[期刊论文]-西安电子科技大学学报(自然科学版)2005(5)22.于佳.李大兴.范玉玲基于加法共享的可验证秘密再分发协议[期刊论文]-计算机研究与发展 2006(1)23.刘锋.何业锋.程学翰动态的(t,n)门限多秘密分享方案[期刊论文]-计算机应用研究 2008(1)24.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)25.魏楚元安全群组通信中分布式密钥管理协议的研究[学位论文]硕士 200526.白凤伟.闫德勤.张鑫彦.郑宏亮二次剩余下改进He-Dawson的多秘密共享方案[期刊论文]-计算机工程与应用2011(13)27.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)28.何明星面向群组的分布式密钥管理协议[期刊论文]-西华大学学报(自然科学版) 2006(6)29.赵恒P2P网络中信誉体制的安全性研究[学位论文]硕士 2005引用本文格式:何明星.范平志.袁丁一个可验证的门限多秘密分享方案[期刊论文]-电子学报 2002(4)。
一种可验证的门限多秘密共享方案的设计与实现
华中科技大学硕士学位论文一种可验证的门限多秘密共享方案的设计与实现姓名:***申请学位级别:硕士专业:信息安全指导教师:***20090526华中科技大学硕士学位论文摘要随着计算机网络技术的快速发展和电子商务、电子政务的兴起,对重要信息、敏感信息的保护越来越受到整个社会的高度重视。
秘密共享是实现信息安全和数据保密的重要手段之一,它将责任进行分散,提高系统的安全性和健壮性。
在论述了门限秘密共享的产生以及目前国内外的发展状况的基础上,仔细研究分析了门限秘密共享方案、可验证的秘密共享方案和可验证的多秘密共享方案的优点和不足。
针对这些方案中存在的问题和不足,利用RSA 公钥密码算法理论设计了一种可验证的门限多秘密共享方案,并对其安全性进行了分析。
该方案具有以下特点:秘密共享的参与者能够对秘密分发者分发的可验证份额进行验证,防止秘密分发者试图分发假的可验证份额对参与者进行欺诈。
各合格子集中的参与者成员,能够对彼此提供的秘密子份额进行相互验证,防止了不诚实的参与者企图通过提供假的子份额对其他参与秘密恢复的成员的欺诈。
秘密分发者可以动态增加共享的秘密,秘密分发者不需要重新进行可验证秘密份额的分发,各参与者的可验证秘密份额可以重复使用,每个参与者只需保护好一个可验证秘密份额就可以共享多个秘密。
此外,探讨了方案所涉及的一些基本理论,如RSA 公钥密码算法、生成元的求解方法、伪随机数发生器、大素数的选择算法等。
在Windows XP 系统下,借助VC++ 6.0 开发工具和Oracle 9i 数据库建立了该方案的原型系统,试验结果表明,方案是正确和可行的,同时具有很好的安全性和健壮性。
最后进行了总结和展望。
关键词:秘密共享,RSA 公钥算法,可验证秘密共享华中科技大学硕士学位论文AbstractWith the rapid development of computer Network Technology and the rise of e-commerce and e-government, the protection of sensitive information and important information is increasingly attached great importance to society as a whole. Secret sharing is one of the important means to achieve information security and data confidentiality, with it the responsibility dispersed, the system security and robustness can be improved.Based on the discussion of the threshold secret sharing of the produce and the current state of development at home and abroad, careful analysis of the threshold secret sharing scheme, verifiable secret sharing scheme and the number of verifiable secret sharing scheme of the strengths and weaknesses of. Programs for these problems and lack of use of RSA public key cryptographic algorithm, a theoretical threshold verifiable multi-secret sharing scheme and its security analysis. The program is characterized by the following:Secret sharing of the participants were able to distribute the secret share distribution of the secret for authentication, to prevent the Density distribution of the distribution of false attempt to share the secret of the participants in fraud.Members of the various participants in the secret recovery phase, can provide the secret of each other sub-share for mutual authentication to prevent participants in the dishonest attempt to leave through the provision of sub-share participation of other members of the secret fraud recovery.Dynamic secret can increase the distribution of shared secret, the secret is no need for re-distribution of secret distribution, the participants share the secret can be re-used, just to protect each participant shares a secret can be shared on a number of secrets.In addition, the program explored some of the basic theory, such as the RSA public key cryptography algorithm, the solution generator, pseudo-random number generator, large prime numbers, such as the choice of algorithm. In the Windows XP system, using VC++ 6.0 development tool and Oracle 9i database to establish a prototype system of the华中科技大学硕士学位论文program, test results show that the program is correct and feasible, at the same time has good security and robustness. Finally, a summary and outlook.Key words:Secret sharing,RSA public key algorithm,Verifiable secret sharing独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一种可验证的(t,n)门限秘密共享方案
作者:史英杰
来源:《无线互联科技》2014年第07期
摘要:秘密共享能够避免秘密过于集中,分散安全风险,提高系统的安全性和健壮性,是信息安全专业一个重要的分支。
本文提出了一种可验证的(t,n)门限秘密共享方案,该方案中,所有用户的私钥由自己产生,无需可信中心,可以防止可信中心的权威欺骗。
此外,该方案中,验证者之间不需要互相交换秘密份额,有效的保证了方案的公平性。
关键词:秘密共享;门限加密;可验证;可信中心;公平性1引言
1979年,Shamir A[1]和Blakley G[2]分别独立的提出秘密共享的概念,其基本思想是将共享秘密分割成n个影子,将n个影子交给n个参与者,任意t个或t个以上的参与者可以解密,少于t个无法恢复秘密。
文献[1][2]存在如下问题:(1)共享秘密不能重复使用;(2)秘密份额交换过程中没有验证秘密份额的真伪,存在参与者欺骗问题,导致诚实的参与者无法恢复秘密[3];(3)秘密恢复,需要依赖可信中心,降低了系统的安全性。
文献[4]提出一种防欺骗的门限共享方案,但该方案存在以下问题:(1)共享秘密只能使用一次,不能重复使用;(2)每个成员私钥由KAC分配,降低了方案的安全性;(3)该方案中,密文只能由一人获得,即只能一对一通信。
本文针对文献[4]存在的问题,提出了一种可验证的(t,n)门限秘密共享方案。
本方案中,无需可信中心,每个成员自己产生私钥,有效防止了权威欺骗,提高了系统的安全性。
任意t个参与者协同合作才可恢复明文,并且t个参与者都能获得明文,实现了一对多通信。
在恢复明文过程中,任一成员都不知道组私钥,组私钥可重复使用。
2本方案构成
设用户UA为加密者,其标识为IDA,为n个参与者的集合,每个参与者的标识为IDi。
NB为公告牌。
2.1初始化
⑴生成方案中每个成员的私钥及公钥
每个参与者pi∈P随机秘密选取两个大素数ki和hi,计算:
其中xi为pi的私钥,yi为pi的公钥。
g为GF(p)上的q阶生成元。
q为大素数。
同理,用户UA计算出其私钥为xA,公钥为yA。
⑵组公钥及组私钥S的影子的生成
①每个参与者pi∈P随机秘密选取大素数λi,计算:λixi,并把λixi发送给用户UA。
UA 计算组公钥。
②用户UA构造多项式:
用户计算f(1),f(2),……,f(n),分别分发给参与者p1,p2,……,pn
⑶生成方案中每个成员的公钥证书
解同余方程:
求出,计算
将(IDi,yi,vi)作为每个参与者的公钥证书。
同理求出用户UA的公钥证书(IDA,yA,vA)。
将方案中每个成员的公钥证书在公告牌NB上公布。
2.2 成员公钥的验证
用户UA可以验证任一参与者pi的公钥证书,有效的防止了攻击者假冒pi。
用户UA验证公式:(6)是否成立,若成立,证明yi是参与者pi的公钥。
因为:
由式(5)可得
又因为:
所以:
2.3 明文加密
用户UA随机选择一个与p互素的整数k,计算:
用户UA将密文(C1,C2)发送给每个参与者pi。
将验证信息Vi在信息公告牌上公布。
2.4 恢复明文
⑴pi收到私钥影子后,计算:。
⑵pi向其他成员广播,其他成员根据式(10)验证信息的正确性。
⑶若有不诚实成员提交假的秘密份额,则停止恢复。
⑷若所有成员的影子正确则根据Language插值定理,则可用式(11)恢复。
假设用(Xi,Yi)代表所得到的t个数偶:。
⑸恢复明文:(12)
3方案特点分析
⑴每个参与者都不知道组私钥S。
因为t个参与者协同合作恢复的是,根据离散对数难求解问题,很难根据,退出组私钥S。
因此,组私钥S可以反复利用。
⑵文献[4]中,每个成员的私钥是由密钥认证中心KAC产生,容易受到攻击者的合谋攻击,大大的降低了系统的安全性。
本方案中,每个成员自己产生私钥,无需可信中心,有效的避免了权威欺骗。
在恢复私钥S的过程中,能够识别秘密份额的有效性,从而识别欺骗者。
⑶文献[4]中,用户加密明文后,只能由指定的一人恢复,其余t-1个为验证者,无权恢复明文。
不仅降低了方案的灵活性,而且不能有效的预防权威欺骗。
本方案中,任意t个参与者协同合作,不仅提高了方案的灵活性,而且t个参与则会间相互制约,有效的防止了权威欺骗。
4结束语
本文提出一种可验证的(t,n)门限加密方案。
在该方案中,每个成员自己产生私钥,无需可信中心,有效的避免了可信中心的权威欺骗。
在恢复私钥S的过程中,能够识别秘密份额的有效性,从而识别欺骗者。
每个参与者都不知道组私钥S,组私钥S可以反复利用。
任意t 个参与者协同合作,不仅提高了方案的灵活性,而且t个参与者间相互制约,有效的防止了权威欺骗。
[参考文献]
[1]Shamir A.How to share a secret[J].Communications of the ACM,1979,22(11):612-613.
[2]Blakley G R.Safeguarding Cryptographic Keys[C].Proc.of AFIPS National Computer Conference.New York,USA:AFIPS Press,1979.
[3]侯整风,史英杰,胡东辉,朱晓玲.一种公平的(t,n)门限加密方案[J].仪器仪表学报(增刊)2011,12(32):15-18.
[4]侯整风,韩江洪.防欺骗(t,n)秘密共享模式研究[J].浙江大学学报(理学版),2007,6(34):633-635,701.。