秘密共享方案ppt
秘密共享方案 ppt课件
• 为了实现上述意义上的秘密共享,人们引入了门限方
ppt课件 案(THRESHOLD SCHEME)的一般概念
2
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-1次
LAGRANGE插值多项式
f (x)
k
k
(x j )
j 1
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此 这个方案是完善的。
ppt课件
10 10/
项式F(X),所以令X=0,仅需以下表达式就可以求出S:
• S= k j 1
k
f (ij )
l 1
il
il ij
(modq)
k
bj yij (modq)
j 1
l j
不需保密
)
,( b j 可以预计算
对可验证秘密共享方案的
区块链应用
结合区块链技术,实现去 中心化的可验证秘密共享 ,提高数据共享和交易的 安全性。
07
结论与展望
研究结论
安全性
在安全性方面,可验证秘密共享方案提供了强大 的保护措施。由于采用了先进的加密算法和安全 协议,该方案能够有效防止未经授权的访问和数 据泄露。
灵活性
在灵活性方面,可验证秘密共享方案提供了多种 访问模式和共享方式。这使得该方案能够适应不 同的业务需求和场景,并灵活地支持多种应用。
提高扩展性和灵活性
可验证秘密共享方案需要具有良好的扩展性和灵 活性,以支持大规模的共享和更新操作。
3
减少验证时间和延迟
在可验证秘密共享方案中,需要尽可能减少验证 时间和延迟,以提高系统的响应速度和效率。
实用性问题
用户隐私保护
01
在可验证秘密共享方案中,需要考虑用户隐私保护问题,以避
免用户的敏感信息被泄露。
03
可验证秘密共享方案 分类
基于密码学的方法
01
02
03
定义
基于密码学的方法主要是 利用密码学的性质,如加 密、解密、签名等,来实 现可验证秘密共享。
安全性
此类方法的安全性主要依 赖于密码学的安全性质, 如加密算法的强度、密钥 管理等。
应用场景
广泛应用于各种需要保护 秘密的场景,如数据安全 、身份认证等。
基于代数几何的方法
定义
基于代数几何的方法主要是利 用代数几何中的一些性质,如 椭圆曲线、二次曲线等,来实
现可验证秘密共享。
安全性
此类方法的安全性主要依赖于代数 几何中的一些特殊性质,如椭圆曲 线的离散对数问题等。
应用场景
在某些需要高度安全性的场景中应 用较为广泛,如高级数据加密、数 字签名等。
可验证的(nn)门限量子秘密共享方案
( Co l l e g e o f Ma t h e ma t i c s a n d I n f o r ma t i o n S c i e n c e , S h a a n x i No r ma l Un i v e r s i t y, Xi ’ a n 7 1 0 1 1 9, Ch i n a )
Be l l s t a t e s . I n t h e d i s t r i bu t i o n p h a s e, Al i c e d i s t r i b u t e s t h e s h a r e s t O t h e pa r t i c i p a n t s t h r o u g h t h e q u a n t u m s e c u r e c h a n n e 1 . I n t h e r e c o v e r y p h a s e, Al i c e g e n e r a t e s a t wo — b i t Be l l s t a t e i n Hi l b e t r s p a c e, a n d t h e n t h e p a r t i c i p a n t s a n d Al i c e p e r f o r m s o me
r e t r a n s mi s s i o n a t t a c k, e n t a n g l e d me a s u n e me n t a t t a c k, p a r t i c i p a n t s a t t a c k, a n d t r o j a n h o r s e a t t a c k .
秘密共享方案ppt课件
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
(I=1,…,K-1)
• 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)
7
)
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
一种公开的可验证秘密共享方案
( . co lfC m ue c ne eh o g A h i nvrt, C A h i 30 9, hn 2 D p.o C m ue Si c 1Sho o p t Si c &Tcnl y, n u U i sy H ̄ i nu 2 0 3 C i o r e o ei e a; . et f o p t ce e&T hoo , n r n c e nl y g Ui e syo c ne& eh o o hn Hf hi 0 2 C i vrt Si c Tcnl C i , e i nu 30 7, hn ) i f e o g f y a eA 2 a
p rii a t e evn e s a e . S ee ae mo e a p iai n f l s ta e f b e s c e h rn . n n i tr cie a d at p s r c iig t h s o t r r r p l t ed h n a v r a l e r ts ai g A o — e a t n c n h r h c o i i i n v
维普资讯
第2 卷第 3 4 期
20 0 7年 3 月
计 算 机 应 用 研 究
Ap l ain Ree r ho mp t ̄ pi t sa c fCo ue c o
Vo. 4, . 12 No 3
Ma c 0 7 rh2 0
案, 验证并不局限于共享所属的参与者本人 , 所以它比一般 的可验证秘密共享方案有着更广泛的应用。提 出了
一
个基 于公钥 密码 和零 知识证 明的 , 非交 互式的 , 息论 安全 的 P S方案 。该 方案 实现 简单 , 易 于扩展 和 更 信 VS 且
网络安全-第17讲续 秘密共享
Pj = Pv j lv j (vi )
v 3) i 节点验证
g
Pj
=g
Pv j
g
lv ( vi ) j
= g .( g ) .( g ) ...( g
SK a1 v j
2 a2 v j
k −1 ak −1 v j
)
.g
lv ( vi ) j
)
mod(q )
到此完成CA私钥份额的安全分发。管理节点保留自己的份额, 其它信息全部删除。
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
2.新加入节点分额生成 .
k −1 ak −1 v j
)
.g
lv ( vi ) j
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
4.拉格朗日插值多项式 .
F ( x ) ≡ SK + a1 x + a2 x + ... + ak −1 x
Computer Network
School of Computer Science & Technology Ludong University
安全公平理性秘密共享方案
本栏目责任编辑:梁书计算机工程应用技术安全公平理性秘密共享方案周全兴,吴冬妮,李秋贤(凯里学院,贵州凯里556011)摘要:传统秘密共享方案因未考虑参与者的自利行为而导致方案的效率较低。
为了提高秘密共享的通信效率和安全性,结合博弈论与双线性映射技术,设计公平的理性秘密共享方案。
首先,在博弈论框架下引入理性参与者并设计理性秘密共享博弈模型;其次,利用双线性映射技术保证方案和理性参与者的可验证性和公平性;最后,通过对方案进行性能分析,表明了该方案不仅保证了安全性,并且有较高的秘密共享通信效率。
关键词:理性秘密共享;博弈论;双线性映射;公平性;通信效率中图分类号:TP309文献标识码:A文章编号:1009-3044(2021)05-0250-02开放科学(资源服务)标识码(OSID ):Safe and Fair Rational Secret Sharing Scheme ZHOU Quan-xing,WU Dong-ni,LI Qiu-xian(Kaili University,Kaili 556011,China)Abstract :Traditional secret sharing schemes do not take into account the self-interested behavior of participants,which leads to low efficiency of the scheme.In order to improve the communication efficiency of secret sharing,game theory and bilinear mapping technology are combined to design a fair and rational secret sharing scheme.Firstly,introduce rational participants and design a ra⁃tional secret sharing game model under the framework of game theory.Secondly,this paper uses bilinear mapping technology to en⁃sure the verifiability and fairness of the solution and rational participants.Finally,the performance analysis of the scheme shows that the scheme not only guarantees safety,but also has higher communication efficiency.Key words:rational secret sharing;game theory;bilinear pairings;fairness;communication efficiency1引言近年来,秘密共享[1]已成为现代密码学的重要研究领域,在研究各类密码协议中起着越来越重要的作用。
秘密分享
动态秘密共享方案通过在不改变秘密的情况下解 决了秘密共享方案在周期上的安全性问题。 动态秘密共 享方案在保证秘密不变的情况下周期性的更换子秘密, 从而使得每次更换子秘密后攻击者在前一个周期内所 获得的信息完全失效。 更新周期一般是一个比较短的时 间,这就使得攻击者必须在一个较短的时间段内,攻破 至少 t 个成员,才能获得原秘密。动态秘密共享还要保 证过期的子秘密所包含的信息不回对未来秘密的构造 产生不安全的影响。 这样就能在很大程度上提高系统的 安全性。
秘密分享的概念是由 Shamir 在 1979 年提出的。 其 基本思想是将秘密分解为多个碎片并将这些碎片分发 给不同的人掌管,在秘密丢失的情况下,这些人中的某 些特定子集可以通过将他们拥有的碎片凑在一起以恢 复整个秘密。
秘密分享的概念
一般的, 一个由秘密分发者 D 和参与者 P1, P2,· · · , Pn 构成的(t,n)秘密分享体制包含下面两个协议: (1)秘密分发协议 碎片 si,i = 1,· · ·,n。 (2)秘密重构协议 原秘密 s。 在这个协议中,任意不少于 t 个参与者一起合作,以自己的碎片 si 作为输入,重构 在这个协议中,秘密分发者 D, 在 n 个参与者中分享秘密 s,每个参与者 Pi 获得一个
同样的,在秘密重构协议中,如果参与者 Pi 没有 使用正确的碎片 si,而是使用一个随机值,那么最终重 构出的秘密将没有任何意义。如果只重构过程中, Pi 是唯一一个没有使用正确碎片的参与者, 那么他就能够 使用其他 t-1 个参与者的正确碎片计算出被分享的真正 秘密。正是由于存在上述攻击,我们需要设计更强的秘 密分享体制以抵抗这种潜在的攻击方式。
( x 3)( x 5) ( x 3)( x 5) 5 5 5 (3 1 mod19) ( x 3)( x 5) (2 3)(2 5) (1)(3) 5 13( x 3)( x 5) 65( x 3)( x 5)
秘密共享方案解析
• S=
,( bj 可以预计算
不需保密
)
9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方 程构成的线性方程组,其中有K个未知量
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足 13-1方程组
• 为了实现上述意义上的秘密共享,人们引入了门限方 案(THRESHOLD SCHEME)的一般概念
2/
13.1引言
• 秘密分割门限方案的定义 • 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S 则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门限 值。 • 极端的情况下是(N,N) -秘密分割门限方案,此时用户必须 都到场才能恢复密钥
3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• A0+A1(I1)+…+AK-1(I1)K-1=F(I1)
• A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
新型有效的秘密共享方案
新型有效的秘密共享方案石润华;黄刘生;杨威;仲红【摘要】提出了一种新的秘密共享方案.该方案分两层实现:上层,基于Stern-Brocot树把一个大的秘密拆分为t个小整数(子秘密);底层,借鉴一维元胞自动机模型中的进化方法,把上层的t个子秘密作为初始状态,动态生成各参与者的共享.特别地,该方案能够动态扩展参与者,动态调整门限值,动态更新秘密和共享.另外,还具有计算简单,各参与者共享份额短的优点.分析结果表明,该方案安全、有效.%A novel secret sharing scheme was proposed. This scheme consisted of two layer protocols: in the first layer, a larger secret was split into / smaller integers (sub-secrets) based on the Stern-Brocot tree; in the lower layer, (sub-secrets obtained from the first layer were regarded as t initial states in one-dimensional cellular automaton model, and then from the t initial states it could dynamic create all participants' shares according to the simple fixed rule. This scheme could dynamic add new member, adjust the threshold value and renew the secret and the shares. Besides, there were still other advantages that the costs of the computation were very low and the size of the shares was very small. The results of analysis show that it was secure and very efficient.【期刊名称】《通信学报》【年(卷),期】2012(033)001【总页数】7页(P10-16)【关键词】秘密共享;门限;动态;Stern-Brocot树【作者】石润华;黄刘生;杨威;仲红【作者单位】安徽大学计算机科学与技术学院,安徽合肥230039;中国科学技术大学计算机科学与技术系国家高性能计算中心,安徽合肥230026;中国科学技术大学苏州研究院,江苏苏州215123;中国科学技术大学计算机科学与技术系国家高性能计算中心,安徽合肥230026;中国科学技术大学苏州研究院,江苏苏州215123;中国科学技术大学计算机科学与技术系国家高性能计算中心,安徽合肥230026;安徽大学计算机科学与技术学院,安徽合肥230039【正文语种】中文【中图分类】TP3091 引言秘密共享在现实生活中有着非常重要的应用。
第十章机密共享机制
第十章機密共享機制本章摘要10.1 機密共享機制之設計考量10.2 一般化機密共享機制設計理念10.3 小結本章前言秘密共享在密鑰管理的方法上是一個很重要的課題,尤其是當人類生活愈仰賴電子通訊,使用電子方式儲存重要檔案也愈來愈普遍。
隨之而產生對各種不同檔案加解密鑰如何加以管理,也成了很大的問題。
假設有一大型系統,此系統內有許多檔案,依據不同類別、等級,系統使用不同密鑰加以保護。
為了操作方便起見,所有密鑰更以一主密鑰來加以保護。
若將此主密鑰交給單獨一位系統管理者保管,在操作上可能會出現弊端,或者是將此主密鑰複雜多份,交給多位系統管理者,雖然減少了主密鑰遺失的機會,但對系統安全的危害機會卻大幅提高,因此,為了解決這一方面的問題,本章主要探討機密共享機制,並針對機密共享機制之設計考量與一般化機密共享機制設計理念作一整體性介紹,期以讀者能一窺機密共享機制之全貌。
學習路徑機密共享機制允許分派者(dealer)將秘密(secret)分割(divide)成若干個子秘密(或稱秘密影子)(shadows)給予多個互相不信任的參與者(participants)共享,使得這些參與者在出示足夠個數或滿足預先定義之資格子集合(qualified subset)的子秘密後才可重建(reconstruct)共享的秘密,其應用領域包括分享作業系統supervisor的權力、分享資料庫或網路管理者的權力,與資料或文件保全。
本章主要探討機密共享機制之設計考量與一般化機密共享機制設計理念,其中並藉由數篇機密共享相關文獻來探討機密共享機制可能遭受到的一些攻擊與解決方法,並提出一套完整的一般化機密共享機制,包括設置系統、產生子秘密、產生票證與詰問,與重建秘密等階段。
藏寶圖子圖藏寶圖本章內容10.1 機密共享機制之設計考量所謂機密共享,是指分派者將秘密分割成若干個子秘密給予多個互相不信任的參與者共享,使得這些參與者在出示足夠個數或滿足預先定義之資格子集合的子秘密後才可重建共享的秘密,如圖10-1所示。
理想型(t,k,n)紧耦合秘密共享构造
秘密共享作为密码学的一个原语(primitive ),广泛应用在各种密码系统的构造,比如:安全多方计算[1-2]、组认证[3]、门限密码系统[4-5]等。
最早在1979年,由Shamir [6]和Blakley [7]提出的门限秘密共享的概念。
通常来说,门限秘密共享是用来保护秘密一种手段,通过将秘密分割成n 份子份额(share ),其中任意的t 份组合在一起可以恢复出秘密。
到目前为止,提出的门限秘密共享方案,主要分为以下几类,一类是Shamir 提出的用拉格朗日差值多项式实现的门限秘密共享。
一类是Massey [8]提出的使用线性码来实现门限秘密共享。
还有一类是Mignotte [9]和Asmuth-Bloom [10]提出的用中国剩余定理实现的门限秘密共享方案。
在门限秘密共享中,任意的t 个子份额的组合能够恢复出秘密。
当参与者人数为k (k >t )个时,实际只需要用到t 个份额就可以恢复秘密。
多出的子份额对恢复秘密没有任何帮助。
这就会带来问题,当k (k >t )个参与者参与恢复秘密时,这t 个子份额到底由谁出。
在理想的通信模型下,k (k >t )个参与者同时发送子份额,就会假定k (k >t )个参与者会同时收到除自身以外的k -1个理想型(t ,k ,n )紧耦合秘密共享构造白建峰,苗付友中国科学技术大学计算机科学与技术学院,合肥230027摘要:在(t ,n )门限秘密共享恢复过程中,任意多于t 个的参与者可以恢复得到秘密。
但是在实际的应用过程中,当参与者人数为k (t ≤k ≤n )时,只需获得t 个参与者的份额(share )即可恢复秘密,即使其中的k -t 个参与者不提供子份额。
(t ,k ,n )紧耦合秘密共享是指在(t ,n )门限秘密共享中,当参与者人数为k 时,k 个参与者作为一个整体,其中的每个人均参与到秘密恢复中,任意的k -1个参与者无法获取秘密的任何信息。
基于身份自证实的秘密共享方案
An I e t y ( D) B s d a d S l- riid S c e h rn c e d n i t I 一 a e n efCe tfe e r tS a i gS h me
1( 安 电子 科 技 大学 计 算 机 网络 与 信 息安 全 教 育 部 重 点 实 验 室 西
z( 国电 子 设 备 系统 工 程 公 司 研究 所 中
西 安 7 0 7 ) 1 0 1
北 京 1 0 4 ) 0 1 1 001) 5 0 8
3( 北 科 技 大学 信 息 科 学 与 工 程 学 院 石 家庄 河
o iity o u a in,Xi in U ie st f M n s f Ed c to r d a nv ri y,Xi n 7 0 7 ) 1 0 1 a
f n tt t f n eto i se En i ern r o ai n,Bejig 1 0l ) siueo Chia Elcr ncSy tm g n ei g Co p r to I i n 0 41
第 3卷 3
第 1 期
计
算
机
学
报
V o1 33 No. 1 .
21 0 0年 1月
CH I NES OU RNAL OF COM P EJ UTERS
Jn 0 0 a .2 1
基 于 身 份 自证 实 的 秘 密 共 享 方 案
裴庆祺” 马建峰” 庞辽军” 张红斌。
w h c r e e t d a d r d s rbut d b he s c e a e ny l g r The prv t e fe c i h a enots l ce n e i ti e y t e r tde l ra on e . iae k y o a h pa tcpa s c s n by t r ii n m s l , a v n t e t u t d t r a t a no a n hi r i i nti ho e he pa tcpa thi ef nd e e h r s e hid p r y c n t g i s
一个门限多秘密共享方案
限 ( rso l) 案 中 秘 密 s由分 发 者 D 分 成 份 s,2… , 并 t ehud 方 h 。 , s s
通过秘密信道 分发 给 n个参与者 p { ,:… , }其 中大于等 =p P , P , 于 t 的参与者可 由他 们分 享的 于秘 密恢 复出秘密信息 s 少 个 .
维普资讯
一
个 门限多秘密共享方案
一个可公开验证秘密共享方案的安全性证明
有 U i 才能从 h xi f (i ) 中解密出 h f (i ) 。这一子密钥加密方法具有同态性,所以任何人都可以 验证各个加密子密钥的一致性(这隐含了子密钥的一致性)。 一、初始化阶段
p , q 和 G 是公开的已知参数。 全部(或部分)成员执行某种合适的性协议(比如[14])以确 定乘法群 G 的两个独立生成元 g 和 h 。这样,无人知道 g 相对于 h 的离散对数。另外,各
3
机数 wi ∈R Z q 并计算:
a1i = g wi , a 2i = y i i .
w
然后利用 X i , Yi , a1i , a2i 计算公共的质询值(challenge) c 如下:
c = H ( X 1 || L || X n || Y1 || L || Yn || a11 || L || a1n || a 21 || L || a 2 n ) . ri = wi − f (i )c mod q . 至此,庄家 D 可以构作并公布如下的知识证据: PROOFD = (c, r1 , r2 , L , rn ) .
摘
要:可公开验证的秘密共享(PVSS)是一种特殊的秘密共享体制。在这种方案中,
任何人(不一定是系统中的成员)既可以在秘密分发阶段验证庄家是否给各个成员分发了正 确的子密钥, 又能在秘密恢复阶段验证每个成员是否提供了真实的子秘密; 而且也不需要 假设庄家和各成员之间有秘密信道。 在 1999 年的美洲密码会议上, B. Schoenmakers 提出了 一个基于离散对数的 PVSS 方案。 本文从理论上证明该方案的安全性, 结果表明: 该方案中 的子密钥加密算法的安全性等价于 Diffie-Hellman 假设: 且若 Diffie-Hellman 假设成立, 则 任何 (t − 1) 个成员利用他们的子秘密都不能恢复出秘密密钥。同时, 我们还指出整个方案 的安全性显著地依赖于两个系统参数的相互独立性。 关键词:秘密共享 可公开验证秘密共享 Diffie-Hellman 假设 密码学
动态门限多重秘密共享方案
[ sr c|T ip pr rp ssa y a ctrsodsce aigshmeE c at ia t ce a o lc db ep rcpn i ef Ab tat hs a e o oe nmi heh l erth r c e . ahprcp n’ s rth d w is et yt at iat msl p d s n i Se s se e h i h
此,他们之 间不需要安全信道 。当秘密更新、参与者加入或退 出系统时 ,各参与者的份额无须更新。秘密 份额的长度小于或等于秘密的长 度 。每个参与者只须维护一个秘密份额 ,就可以实现对 多个秘密 的共享 。在秘 密恢复过程中 ,每个参与者 能够验 证其他参与者是否进行了 欺骗 。该 方案 以 S a i 的门限方案 和 R A密码体制 的安全性为基础 ,是一个 安全、高效的方案。 hmr S 关键诃 :秘密共享 ;门限方 案;安全性
维普资讯
第3 4
计
算
机
工
程
20 08年 8月
Aug t20 us 08
No. S 1
Co put rEng ne rng m e i ei
安全: 术 ・ 技
文章 编号:1 o-48 08 5_6_0 文献 o _32(o) —0 4_2 o 2 1 _1 标识码: A
a d t e d a e e d n td lv r a y s c e n o ma i n t a h p r i i n , O a s c r h n e e we n t e i u n c s a . e s a o o n n h e lr n e o e i e n e r t if r t o e c a tcpa t S e u e c a n lb t e m s n e e s r T h d ws d ot o h y h n e o b h n e e e s a e e r t sr n we o d p r i ia t e d l td o e p rii a t e a d d Al t e e s d wsa e s r rt a e d t ec a g d wh n t h r d s c e e e d, l a tcp n sa e ee r n w a cp n sa d e . l h s ha o ho e n h i r t r r t h
一种有效的多重秘密共享方案
第3 卷 第 5 1 期
20 0 8年 5月
舍肥 工 业 大 学 学报 ( 自然科 学版 )
J RNAL OF HE E OU F I UNI R I E HNOL Y VE S TY OF T C OG
Vo . 1 No 5 13 .
秘密共享在现代密码学 , r中的元素称 为授 权子集 。显然 , (,) £ 门限方案是接 入结构上秘密共享方案 的特
用, 诸如在密钥分发 、 存取控制 、 安全多方计算及 电子商务等方 面, 甚至控制导 弹的发射 。最早 的 (,) £ 门限秘密共享方案是 由文献 [] 1 和文献 E] z
中图分类号 : 3 9 TP 0 文献标 识码 : A 文章编号 :0 35 6 (0 8 0 -7 10 10 -0 0 2 0 )50 0 —4
An fii n u t—e r ts r n c e e e fc e tm lis c e ha i g s h m
SHIRu - u ZHoNG o g , H UAN G i- h n z nh a, H n L u s e g
lg rt m r be ( P) o a ih p o lm DL .
Ke r s y wo d :m u t s c e h rn ;a c s t u t r ;v rf d s h m e ic e elg rt m l -e r ts a i g c e ssr c u e e ii c e ;ds rt o a i i e h
摘
要: 文章提 出了一般接人结构 上的多重秘密共 享方案 。该方 案可 以动态地 添加或删 除参与 者 , 态地更 动
新多重秘密 ; 论分析表 明该方案 满足秘密共享 的安全性 要求 , 理 是计算 安全的 ; 而实验结 果证实该方案操作简
第2章附_秘密共享协议
(2) 至少需要5个副校长同时提交自己保存的子秘密, 才能恢复校长签名用的秘密。
3
应用场景
示例三
假设 Coca-Cola公司的董事会想保护可乐的配方。该公司 总裁应该能够在需要时拿到配方,但在紧急的情况下,12位 董事会成员中的任意3位就可以揭开配方。
11
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
密钥
(2)秘密重构
•m个线性方程可以构造重构F(x)
(xs1 , ks1 ),..., (xsm , ksm )
F (x)
m
ksi
i 1
m j 1, j i
注意:示例二与示例三的区别。
4
应用场景
示例四
基于主密钥的信息安全系统的缺陷 (1)主密钥偶然或有意地被泄露,系统中的秘密信息会 遭受攻击; (2)主密钥丢失或损坏,系统中的秘密信息将无法恢复; (3)主密钥的解决方案导致权力过于集中——密钥管理。
5
基本概念
1、秘密共享的思想
将秘密以适当的方式拆分,拆分后的每一个份额由不同 的参与者管理,单个参与者无法恢复秘密信息,只有若干个 参与者相互协作才能恢复秘密消息。
的任何有用信息。
9
实例2:门限方案
SK
SK1
SK2
SK3
SK4
SK5
SK
SK
(3,5)门限秘密共享方案
10
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到
SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
4/
13.1 引言
• 秘密的分割 假设是一个(K, N)门限方案 • 选取一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1 • 该多项式有K个系数 • 令A0=F(0)=S,即把常数项指定为待分割的秘密 • 其它K-1个系数可随机选取
• 显然,对于该多项式,只要知道该多项式的K个互不相同的点的函
F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此
这个方案是完善的。
10/
13.2 SHAMIR门限方案
• 【例8-1】设门限K=3,份额数为N=5,模值Q=19,待分割的秘
密S=11,随机选取A1=2,A2=7,可构造多项式
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-
1次LAGRANGE插值多项式
f (x)
k
k
(xj )
j 1
Байду номын сангаас
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
第13章 秘密共享方案
报告人:
孙宗臣
13.1引言
• 有些场合,秘密不能由一个人独自拥有,必须由两 人或多人同时参与才能打开秘密,这时都需要将秘 密分给多人掌管,而且必须有一定人数的掌管秘密 的人同时到场才能恢复这一秘密,这种技术就称为 秘密分割(SECRET SPLITTING) ,也称为秘密共享 (SECRET SHARING)。例如: • 导弹控制发射 • 开启核按钮 • 重要场所通行检验等
• 为了实现上述意义上的秘密共享,人们引入了门限方 案(THRESHOLD SCHEME)的一般概念
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一
个子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得:
• ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S 则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门
• F(X)=(7X2+2X+11) MOD 19
数值F(XI)(I=1,2,…,K),就可恢复F(X)
• 生成N个子秘密
• 任取N个不同的点XI(I=1,…,N) 并计算函数值F(XI)(I=1,…,N) • 则(XI, F(XI)), I=1,…,N, 即为分割的N个子秘密 • 显然,这N个子秘密中的任意K个子秘密即可重构F(X),从而可得秘密S
限值。
• 极端的情况下是(N,N) -秘密分割门限方案,此时用户必
须都到场才能恢复密钥
3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K), 寻求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X), F(X)称为(X)的插值函数,也称插值多项式
程组
• A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2)
•… …
• A0+A1(IK)+…+AK-1(IK)K-1=F(IK)
(13-1)
8/
13.2 SHAMIR门限方案
• 因为IL(L=1,…,K)均不相同,所以可由LAGRANGE插值公
完善的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难于 恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
• 当N=2T+1时K=T=(N-1)/2的取值最佳
• 秘密分割应该由可信第三方执行,或者托管设备完成。
式构造如下的多项式:
•
F(X)=
k j 1
k
f (i j )
l 1
x il i j il
(modq)
从
而可得秘密S=lFj(0)
然而参与者仅需知道F(X)的常数项F(0)而无需知道整
个多项式Fjk(1Xf)(i,j )l所k1 il以il i令j (mXo=dq0) , jk仅1 bj需yij 以(mo下dq表) 达式就b可j 以求出S: l j • S=
,(
可以预计算不需保
密
)
9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方
程构成的线性方程组,其中有K个未知量
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1
个方程就可得到K个方程,并由LAGRANGE插值公式得出
(I=1,…,K-1) • 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I))
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复
• 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可 使用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方