可區(qū)分共享者角色的可驗(yàn)證的多秘密共享方案

劉 恒

(玉林師范學(xué)院計(jì)算機(jī)科學(xué)與工程學(xué)院，廣西玉林537000)

0 引言

1979 年，Shamir［1］和 Blakley［2］獨(dú)立地提出了秘密共享這一思想.此外，還有基于中國剩余定理的Asmuth-Bloom法［3］和使用矩陣乘法的Karnin-Greene-Hellman法［4］等.近 30年來，學(xué)者們針對(duì)不同的應(yīng)用問題，提出了各種各樣的方案，例如可驗(yàn)證的秘密共享和多秘密共享，具體可參考文獻(xiàn)［5-6］.

筆者前期研究中提出的可區(qū)分秘密分享者角色的防欺詐秘密共享方案［7］已假定秘密分發(fā)者誠實(shí)可信，在進(jìn)行秘密共享方案的初始化過程中，一旦秘密分發(fā)者作弊，分發(fā)出來的是錯(cuò)誤的或者虛假的數(shù)據(jù)，則秘密共享方案失敗，該方案是單秘密共享方案，也就是說，秘密份額是一次性的，只能使用一次，這在現(xiàn)實(shí)應(yīng)用中是很難讓人滿意.為了可以同時(shí)共享多個(gè)秘密，且達(dá)到防止秘密分發(fā)者的欺詐和共享者的欺騙，筆者在前期方案［7］的基礎(chǔ)上提出了一個(gè)可區(qū)分共享者角色的可驗(yàn)證的多秘密共享方案.

1 改進(jìn)后的方案

在下面的描述中，E(M，K)表示用密鑰K對(duì)報(bào)文M加密后得到的密文.為討論方便，先假設(shè)分享秘密的共享者分別為A、B和C共3種角色，若有更多的角色類別可類推.

1.1 參數(shù)建立

方案有1個(gè)秘密分發(fā)者和n個(gè)共享者.秘密分發(fā)者設(shè)為 D，n 個(gè)共享者是 P1，P2，…，Pn，擔(dān)任A、B、C 共3 種角色中的1 種，M1，M2，…，Mm是所要共享的m個(gè)秘密.D利用密鑰分配器分別向三類共享者分配密鑰，密鑰分配器是產(chǎn)生密鑰和加密所產(chǎn)生密鑰的中心源G，事先為G設(shè)置一個(gè)密鑰KG.有一個(gè)系統(tǒng)公告牌，每個(gè)共享者均可讀到公告牌上的內(nèi)容，但無權(quán)向公告牌上寫內(nèi)容，只有D可以在公告牌上修改或?qū)懭雰?nèi)容.D事先進(jìn)行幾項(xiàng)工作.

(1)選定一個(gè)大素?cái)?shù)p和一個(gè)生成元g，g為Zp的生成元，這兩個(gè)數(shù)字公布在公告牌上.

(2)選定一個(gè)素?cái)?shù)q，其中q|p-1.

(3)選h是p的一個(gè)素根，即hn≡1 mod p.

(4)D的私鑰，即要分割的密鑰為S.選擇正整數(shù) a、b、c(a+b+c＞ =p)，這 3 個(gè)數(shù)字保密，滿足S=a+b+c mod p，且將S分解為n個(gè){si}，將它的公開密鑰T=gSmod p公布在公告牌上.

(5)設(shè)f(r，s)是一個(gè)二元單向函數(shù)，具有如下性質(zhì)：

a) 已知 r、s，容易計(jì)算出 f(r，s);

b)已知 s和 f(r，s)，不能求出 r;

c)已知 r和 f(r，s)，不能求出s;

d) 未知 s，對(duì)任意 r，難以計(jì)算 f(r，s);

e)已知s，找到不同的r1和r2滿足f(r1，s)=f(r2，s)在計(jì)算上是不可行的;

f) 已知任意多的(ri，f(ri，s))對(duì)，其中 r≠ri，求f(r，s)是不可行的.

隨機(jī)選擇一個(gè)整數(shù)r將其公布在公告牌上，r∈Zp，計(jì)算出 f(r，si)和 σi=gf(r，si)mod p(i=1，…，n).

(6)在［m，p-1］中選取n個(gè)隨機(jī)整數(shù)ui(i=1，…，n)分別作為每個(gè)共享者Pi的公開身份信息.

(7)根據(jù) n+m 個(gè)數(shù)值對(duì)(0，M1)，(1，M2)，…，(m-1，Mm)以及(ui，f(r，si))，i=1，…，n，構(gòu)造n+m-1次多項(xiàng)式：h(x)=a0+a1x+a2x2+…+an+m-1xn+m-1.計(jì)算出 εj≡gajmod p(j=0.1，…，n+m-1)，并公布在公告牌上.

(8)從集合［m，p-1］/Y{ui}(i=1，…，n)中取出最小的 n+m-t個(gè)整數(shù) d1，d2，…，dn+m-t，并計(jì)算出 h(dk)和 τk=gh(dk)mod p，其中 k=1，…，n+m-t，并將τk公布在公告牌上.

1.2 秘密分發(fā)

密鑰分配器對(duì)共享者進(jìn)行身份鑒別后，先向A類用戶分配密鑰，過程如下：密鑰分配器隨機(jī)產(chǎn)生大量密鑰 K1，K2，…，Kt，這些密鑰都滿足條件Kimod p=a，并用KG加密形成密鑰流.設(shè)某A類共享者A1獲得G發(fā)來的一些經(jīng)過KG加密的密鑰后，選擇其中一個(gè)，如 E(KA1，KG).這時(shí)，A1在電腦終端輸入一個(gè)密碼，用來加密所選擇的密鑰，形成 E(E(KA1，KG))，并將這個(gè)經(jīng)過兩次加密的密鑰回送給G解密這一密鑰，使之只處在保護(hù)下，即 E(EA1)，并將其發(fā)送給A1，A1用對(duì)之解密，則得到自己挑選的密鑰KA1，同時(shí)它在域中產(chǎn)生隨機(jī)數(shù)aA1，將aA1KA1作為自己的私鑰，然后將之代入到下面的式子中：PA1=gKaA1mod p.求出PA1作為自己的公鑰，并將PA1發(fā)送給G.

接下來密鑰分配器向B類共享者分配密鑰，流程與前面所述的A類共享者相似，唯一改變的是，密鑰分配器隨機(jī)產(chǎn)生的大量密鑰都滿足條件：Kimod p=b;而對(duì)于C類共享者，密鑰分配器隨機(jī)產(chǎn)生的大量密鑰都滿足條件：Kimod p=c.

分配結(jié)束后，每個(gè)共享者都得到了個(gè)人的私鑰，而密鑰分配器G上則有每個(gè)共享者的公鑰.D可以把這些公鑰整理成共享者的公鑰表公布在公告牌上，以后可以用于驗(yàn)證共享者的數(shù)字簽名.

在新方案中，a、b、c是秘密片段，是共享秘密的影子，而每個(gè)共享者的私鑰可以認(rèn)為是a、b、c的影子，正因?yàn)橛羞@種影子的擴(kuò)展，每種角色的人員都可以有無數(shù)個(gè).密鑰分配器可以同時(shí)分配多個(gè)密鑰，達(dá)到多秘密共享，則有：

1.3 密鑰使用

當(dāng)需要獲得共享的秘密時(shí)，只要每種角色中各有一人合作即可恢復(fù).但有時(shí)并不需要恢復(fù)秘密，而只需要確認(rèn)某3個(gè)人分別持有3個(gè)角色的秘密片段，且他們都認(rèn)可某個(gè)消息.假設(shè)一個(gè)消息M要求必須經(jīng)過上述3種角色中各一人的認(rèn)可才能生效，設(shè)A角色中某個(gè)Ai看過消息M后認(rèn)可此消息，則他需要用到他的私鑰進(jìn)行以下操作：

①求出a=KAimod p;②計(jì)算T1=gamod p;③用私鑰對(duì)消息M與T1進(jìn)行簽名，并發(fā)送給驗(yàn)證者.

同時(shí)，如果B角色中的某個(gè)Bi看過消息M后也認(rèn)可此消息，則他也進(jìn)行類似的計(jì)算并簽名.在經(jīng)過最后一個(gè)人簽名后，驗(yàn)證者可利用D的公鑰驗(yàn)證：T=(T1×T2×T3)mod p.如果該式成立，則可確認(rèn)：

(1)這3個(gè)人分別是A、B、C共3個(gè)角色的成員;(2)這3個(gè)人都認(rèn)可消息 M，則 T1、T2、T3是這3個(gè)人的認(rèn)證片段.

如果該式不成立，則可以對(duì)T1、T2、T3分別驗(yàn)證 T1=gamod p，T2=gbmod p，T3=gcmod p，哪個(gè)式子不成立則說明哪個(gè)人是非法的共享者.

更進(jìn)一步，如果要區(qū)分某種角色中不同人員的權(quán)限，則先要對(duì)該角色的秘密片段進(jìn)行進(jìn)一步的切割，比如，對(duì)A角色中的高級(jí)共享者，向其分配秘密片段a;對(duì)A角色的普通共享者，向其分配的秘密片段為，這樣，兩個(gè)普通共享者認(rèn)可消息M就相當(dāng)于一個(gè)高級(jí)共享者認(rèn)可消息M，從而區(qū)別其權(quán)限.對(duì)各角色的秘密片段做更精細(xì)的切割，可以實(shí)現(xiàn)更精細(xì)的權(quán)限管理.

2 安全性論證

(1)識(shí)別秘密分發(fā)者的欺詐.根據(jù)公告牌上的相關(guān)參數(shù)，每一個(gè)共享者都可以通過

(2)識(shí)別共享者的欺騙.當(dāng)需要恢復(fù)共享的秘密信息M時(shí)，n個(gè)共享者中可能存在內(nèi)部欺騙者或外部欺騙者，其中，內(nèi)部欺騙者出示假的片段以阻止共享的秘密信息的正確恢復(fù)，外部欺騙者則設(shè)法參與共享的秘密信息的恢復(fù)以獲得M.

檢測內(nèi)部或外部欺騙者，一是可以根據(jù)對(duì)T1、T2、T3分別驗(yàn)證 T1=gamod p，T2=gbmod p，T3=gcmod p識(shí)別;二是即使欺騙者竊取了秘密片段a或b或c，并由此得出了合法的認(rèn)證片段，但是由于合法的共享者的私鑰是由a或b或c隨機(jī)生成的，欺騙者很難由其得到某個(gè)合法共享者的私鑰，這樣秘密分發(fā)者在利用公鑰表驗(yàn)證共享者的簽名時(shí)就可識(shí)別出欺騙者，因?yàn)槠垓_者的簽名是用假私鑰冒充某個(gè)合法共享者簽的.

3 結(jié)論

筆者在前題研究的基礎(chǔ)上提出了一個(gè)可區(qū)分共享者角色的可驗(yàn)證的多秘密共享方案，除了保留原方案的優(yōu)良特性外，還能有效地防止惡意的秘密分發(fā)者分發(fā)偽信息.同時(shí)，根據(jù)二元單向函數(shù)的特性，在秘密恢復(fù)過程中，使用子秘密si的偽份額為f(r，si)，可知任何參與者的子秘密都不會(huì)被泄露，因?yàn)楸M管秘密恢復(fù)了，但是子秘密仍然是安全的，可以在下次秘密共享中繼續(xù)使用，只要重新選擇一個(gè)隨機(jī)數(shù)r即可，從而達(dá)到了多秘密共享.數(shù)字簽名可繼續(xù)沿用原方案［7］中的簽名算法，共享者完成簽名后，別人無論何時(shí)要驗(yàn)證其簽名，只要從秘密分發(fā)者原來制作的公鑰列表上讀取其公鑰，對(duì)其運(yùn)用DSS數(shù)字簽名的驗(yàn)證算法即可.該方案具有廣闊的應(yīng)用前景，如何產(chǎn)生f(r，s)的表達(dá)式和增強(qiáng)密鑰使用的安全性，將是筆者下一步的研究方向.

［1］SHAMIR A.How to share a secret［J］.Comm of ACM，1979，22(1)：612-613.

［2］BLAKLEY G R.Safeguarding cryptographic keys［C］∥Proc NCC，AFIPS Press，Montvale，1979，48：313-317.

［3］ASMUTH C，BLOOM J.A Modular approach to key safegrarding［J］.IEEE Transactions On Information Theory，1983，29(2)：208-210.

［4］KARNIN E D，GREEN J W，HELLMAN M E.On sharing secret systems［J］.IEEE Transactions On Information Theory，1983，29(1)：35-41.

［5］龐遼軍，李慧賢，李志潔，等.一個(gè)可驗(yàn)證的門限多秘密共享方案［J］.哈爾濱工業(yè)大學(xué)學(xué)報(bào)，2008，40(9)：1462-1465.

［6］周洪偉，郭淵博，李沁.門限多重秘密共享方案［J］. 計(jì)算機(jī)工程與設(shè)計(jì)，2008，29(8)：1946-1951.

［7］LIU Heng，WU Hua-jian.A cheating-proof secret-sharing scheme capable of differentiating the roles of the secret sharers［J］.Journal of zhengzhou：Natural science，2006，38(3)：35-38.