一种动态多秘密共享方案
2020-07-29
来源:好走旅游网
第9卷第7期 2010年7月 软件导刊 Software Guide Vo1.9 NO.7 Ju1.2O1O 一种动态多秘密共享方案 唐淑萍 (亳州师范高等专科学校计算机系,安徽亳州233500) 摘 要:提出了一种新的基于椭圆曲线密码体制的(t,n)动态秘密共享方案。该方案具有以下特点:参与者能自主选 择子密钥;在进行一次秘密恢复后,不会泄露关于子密钥的任何信息,子密钥仍可用恢复于下一个共享的秘密;参与 者的子密钥可定期更新,且更新工作由每个参与者独立完成。与传统的多秘密共享方案相比.该方案具有更高的安 全性和灵活性 关键词:秘密共享;椭圆曲线密码体制;多秘密共享;子密钥 中图分类号:TP309 文献标识码:A 文章编号:1672—7800(2010)07—0145—03 作由每个参与者独立完成,参与者可以随时更新自己的子密 0 引言 秘密共享是密码学的重要组成部分。它在重要信息和秘密 钥,并且对其他参与者子密钥对共享秘密的有效性不会产生任 何影响;子密钥可以多次使用,在进行一次秘密恢复之后不会 泄露关于参与者子密钥的任何信息.仍可用于下一个秘密的恢 复;该方案同时还提供了防欺诈的功能。 数据的保存、安全传输及合法利用中起着非常重要的作用。 1979年,Shamir和Blakley分别独立提出了(t,n)门限秘密共享 方案.其思想是将一个秘密分成n份子秘密.通过秘密通道分 发给n个参与者,n个参与者中的任意t个或多于t个合作就 可以恢复该秘密,而少于k个则无法恢复秘密。 秘密共享一经提出便得到了大量的研究.在Shamir秘密 共享思想的基础上,出现了很多类型的秘密共享方案:Kamin 1方案的构成 设椭圆曲线的基点为G,G点的阶为N;每个参与者U (i= 1,…,n)从(1,N)中随机选取一个整数Si c 作为自己的子密钥, 参与者计算P。=Si c G,并将P。和自己的编号Ui发送给秘密可 信中心TC;K。,K2,…,K ,为r个待分发的秘密;T为更新周期 (T=1,2,…),设初始时刻的时间为0,F ()表示取纵坐标操 作,F ()表示椭圆曲线上纵坐标和横坐标加和;NB为可信中心 提出了矩阵法构造的门限秘密共享方案:Benaloh于1986年提 出同态秘密共享的概念:Asmuth和Bloom等对基于中国剩余 定理的门限秘密共享进行了研究;文献[3]提出了可验证的秘 密共享(VSS),文献[4]提出了可复用子秘密的秘密共享。但是 在这些秘密共享方案中,参与者一次只能共享一个秘密,在实 TC管理的公告板,其信息对外公开。方案由秘密份额的产生、 子密钥更新和秘密恢复3个部分组成。 1.1秘密份额的产生 际应用中,当要共享多个秘密时,参与者需要保存多个秘密份 额,这样做的效率很低。为解决这个问题,文献[5]提出了多秘 密共享的概念。多秘密共享是指各参与者只需保存一个秘密份 额就可以实现多个秘密的共享。此后,文献[6]和文献[7]又分 别提出了基于单向函数的多秘密共享方案,与文献『5]相比效 率有了一定程度的提高。文献[8]基于系统分组码提出了一种 可信中心TC按如下步骤执行: (1)在(1,N)之间随机选取一个整数S0,计算P0=SoG,并 检查是否存在Po=Pi,若存在则重新选择So TC公布P0,Ui; (2)计算SoPi=(x ⑨,yi。 ),随机选取一整数d∈(1,N),根据数 值对(0,d),(U。,Y ‘。 ),…,(Un,Y 。 ),构造n次多项式: (x)= ∑ x ,并公布(dG) G和a。 G(i:1,2,…,n),作为验证信息; i:0 (t,n)门限多秘密共享体制。但是这些方案中,每个参与者的子 秘密只能由秘密分发者选定,文献[9]提出了一种参与者可自 (3)随机选取3r个互不相等的整数m ,m ,…,m ,w ,w:,…, w ,wr+】,wr+2,…,w2 ∈ZN,if ̄Gj=wiG,其中m 与K,和G 相对应,计 算: T,;K,一主选择子密钥的秘密共享方案,但该方案未实现子密钥的定期 更新。 本文基于椭圆曲线密码体制,提出了一种新的多秘密共享 方案。在该方案中,参与者可以自主选择子密钥;子密钥更新工 F (mdcj)modN (1) 并在NB上公布(mj,Tj,CJ,Gj )(j=l,2,…,r)。计算dG'j,a 基金项目:2010年高校省级自然科学研究项目(KJ2010B123) 作者简介:唐淑萍(1983一),女,安徽砀山人,毫州师范高等软件学校助教,研究方向为网络与信息安全。 ・146・ 软件导刊 2010正 , (Gj=q+ )并在NB上公布验证信息dGj,al ,ak ( =l,2,…,n =I,2,…,r; =t,t+l,…,n)。 / ;i =lt z t 器 。参与者根据自己的子密钥s 。 和公开信息G_可以计算出对 应秘密的秘密份额,F (si㈣P)G 为参与者U。对应的第J个秘密K 。的秘密份额(i=1,2,…n;j=l,2,…,r)。 j1.2 子秘密更新阶段 G 一u J]t lX-Um t 一 , t 瓦x-U 设在第T个周期参与者U:要更新子密钥: (1)随机选取子密钥更新份额 ,同时更新自己的子 ,骞 。【=J J厂 nram m J t=l,m U≠l ,—U 。 ,(3) 因为参与者u 在周期T一1时的子密钥为s (T-1)此时的秘密 整 : (2)计算 = 。 一 ,Jp。) ;根据数值对(0,o),( ,…, (ui,0)(i=1,2,…,n,i≠j),构造n次多项式,参与者在第T个周期 的n次更新多项式: I 骞6 m。 c2 (3)计算验证信息 , (G = + + ),然后发送TC。 TC收到参与者uj的验证信息后执行以下操作:计算a i G J= Gi+ n G i, G_I G J+ b三Gi.然后在NB上修改验 证信息ai ~G,i和 G,。 1.3秘密恢复阶段 设在第T个周期t个参与者参与共享秘密Kj的恢复。参与 秘密恢复的每个参与者U:按以下步骤恢复共享秘密Kj: 为不失一般性,假设参与共享秘密K的恢复的参与者为U 1U2…Ut。 (1)参与者u。从公告板NB上获取( ,rI、j,Gj,Gj+ ,dG j,af1] ,a mG (G j=q+Gi+r),分别计算yfI]= k G ,s m :(s ) ,s m”=(s ) G0, =s 一 相互交换s ,s ”;其他参与者通过等式 怕 +∑( ) cn 验证参与者u,是否存在欺骗行为; (2)将 个点做Lagra ge插值:( 。, ),( , ),…,(u ,z ,则得到第T个周期的t一1次多项式尸 G,:尸’ 。由 K ̄=-Ti+F (mjdG ̄)modN,则对应的秘密 被恢复。 证明:在第T个周期,参与者u。子密钥为 己uf1]=∑ ;由y ,s --t,(1)= = , : Pn) Gj一 =(s(I’s。C) -ufJ]Gj= { 一∑ ;m}G=i(i:1,2,…,1) 由t个点(u , ),(u ,z ),…,(u ,z )做拉格朗日插值,可以 计算得到第T个周期的t.1次多项式: 多项式为: 。 )一d+n(T-n 。 1+ +…+ H modN l4) 由(2)和(3)可知,在第T个周期参与者子密钥更新后的秘 密多项式为: 尸 喜 +喜 ‘+喜 ‘+..・+骞 三 d一+a + , + +.+…+ ..+ mod…N (5)) 参与者u.更新后的子密钥为: , 由(3)和(5)得:() fT l (Q l dG ̄modN 、 由(1)和(6) ; + / fDJJ + fmJ , 秘密 被恢复。 讦毕 2方案的分析 2.1方案安全-眭分析 下面讨论对本方案几种可能的攻击: (1)攻击者试图通过参与者U;的子密钥影子Pi来获取子密 钥s i,等价于求解椭圆曲线上的离散对数问题ECDLP(Ellipitc Cui-ve Discrete Logarithm Problem),这是非常困难的。 (2)在秘密恢复阶段,攻击者试图伪造秘密份额s 给其他 的参与者,但必需满足等式 n: G + ( ) ,这等 价于求解椭圆曲线上的离散对数。 (3)攻击者试图通过参与者Ui的秘密份额 获取子密钥, 这同样等价于求解椭圆曲线上的离散对数问题。 (4)在子密钥更新阶段,攻击者试图通过参与者发送的验 证信息6 Gtj,6 ,: + +rJ来获取参与者的子密钥,这等价 于求解椭圆曲线上的离散对数问题。 (5)如果攻击者已经获取了参与者U;的在周期T一1的子 密钥.但是没有获取第T个周期更新阶段子密钥更新份额6J 。 第7期 唐淑萍:一种动态多秘密共享方案 ・147・ 因此,无法获取更新后的子密钥。 以用于下一个秘密的恢复而无需重新分发:方案同时还提供了 (6)如果在某个周期参与者的子密钥被泄露,参与者可以 随时完成自己子密钥的更新而对其他参与者没有任何影响,其 防欺诈的功能.能有效地防止外部欺诈和内部欺诈等问题。因 此,本文提出的是一种更高效、更安全的多秘密共享方案。 参考文献 他参与者不必同步更新。因此,提高了安全性和效率。 2.2方案特点 (1)参与者可以自主选择子密钥,可信中心得到的只是参 与者的子密钥的影子。由子密钥的影子得到子密钥在计算上是 不可行的;当需要共享新的秘密时,可信中心只需要进行少量 【1] SHAMIR A.How to shairng a secret[J].Communications of the ACM,1979(11). [2]BLAKLEY G.Safeguarding cryptography keys[C].Proceeding of the National Computer Conference of AFIPS.NJ:AFIPS Press,1979. 的计算和公开一些信息,提高了方案的效率。 (2)有效地防止了更新份额泄露可能出现的安全性问题。 [3] T.P.Pedersen.Non—interative and information—theoretic secure veri— fiablesecret hating[C].In Advances in Crypto-logy CRYPTO'91, 更新由参与者自己独立完成,不需要和其他参与者进行交互, SpringerVerlag,1991. 克服了现有动态秘密共享的确定。减少了数据的传输量.提高 [4]LAIH C S,HARN L,LEE JY,et a1.Dynamic threshold scheme based 了方案的效率和安全性 on the definition of cross—product in an n-dimensional linear space (3)方案采用了椭圆曲线密码体制。椭圆曲线密码体制在 [C].Advance in Cryptology-Eurocrypt 89.Berlin:Springer-Verlag, 密钥长度、计算量和安全性等方面,都比传统的基于一般乘法 1990. 群上离散对数或大数分解问题的体制更具有优势。进一步地提 [5]HE,I,and DAWSOEN E.Multistage secret sharing based on one— 高了方案的效率和安全性。 way function[J].Electron.Lett,1994(19). [6]J HE,E DAWSON.Muhisecret-sharing scheme based on one-way 3结束语 function[J].Electronics Letters,1995(2). [7]L HARN.Efficient sharing(broadcasting)of multiple secrets[J]. 本文基于椭圆曲线密码体制,提出了一种新的动态多秘密 IEE Proceedings Computers and Distla Techniques,1995(3). 共享方案。在该方案中,参与者可以自主选择子秘密,参与者的 [8]H Y CHIEN,J K JAN,Y M TSENG.A practical(t,n)multi—secret 子密钥可以动态定期更新,且更新工作由每个参与者独立完 shairng scheme[J].IEICE Trnasactions on Fundamentals,2000(12). 成;共享多个秘密时,不需要重新计算参数和构造多项式,只需 [9] Jinajie Zhao,Jian zhong Zhang,Rong Zhao.A practical veriifable 要少量的计算和公布一些参数,只有在秘密更新时才需要构造 multi—secret sharing scheme[J].Computer Standards&Interfaces, 新的多项式;在进行一次秘密恢复后,其他参与者得到的只是 2007(11). 子秘密的一个影子,参与者的子秘密不会泄露。因此,子秘密可 (责任编辑:卓光) A Dynamic Multi-Secret Sharing Scheme Abstract:A new(t,n)secret sharing scheme based on the ECC was proposed.The scheme has properties as follow:participants can choose sub-secrets by themselves;the information of sub-secrets can not be leaked while a secret was recovered,another secret can be recovered by the same sub-secrets;sub-secrets of participants can be renewed periodically which is completed by themselves.So this scheme has better flexibility and more security. Key Words:Secret Sharing;Ecc;Multi-Secrets Sharing;Sub—Secre