韓慧穎，劉煥平

(哈爾濱師范大學(xué))

0 引言

秘密共享對(duì)于密鑰管理來說是一個(gè)非常重要的技術(shù).而秘密共享方案的應(yīng)用其目的就是為了讓密鑰管理更加有效和靈活.在過去所提出的秘密共享方案都是針對(duì)同一門限值的，不同秘密的門限值一旦發(fā)生改變，那么原有的方案將無法恢復(fù)秘密，或者需要改變參與者手中的子秘密才能實(shí)現(xiàn)秘密的恢復(fù)，而此時(shí)參與者手中將持有多個(gè)子秘密，使得恢復(fù)秘密的成本大大提高.針對(duì)這種情況提出關(guān)于恢復(fù)可變門限的多秘密的共享方案.一個(gè)顯著的特點(diǎn)就是當(dāng)不同的秘密需要不同的門限值來恢復(fù)時(shí)，依然可以利用所提出的方案來實(shí)現(xiàn)秘密的恢復(fù).該方案的優(yōu)點(diǎn)是:在恢復(fù)不同門限值的多秘密共享時(shí)，可以讓每位參與者只保存一個(gè)子秘密，并且當(dāng)某些秘密被恢復(fù)后，并沒有影響其他秘密的安全性，它實(shí)現(xiàn)了恢復(fù)不同門限值的秘密共享方案.通過成功利用離散對(duì)數(shù)的難解性和Diffie-Hellman計(jì)算問題的難解性，可以成功地防止攻擊者對(duì)秘密的攻擊，即使在偽秘密暴露的情況下，也不會(huì)影響其他秘密的恢復(fù)，如果秘密需要更新時(shí)，每位參與者手中持有的子秘密也不需要改變，因此這是一個(gè)針對(duì)可變門限值的多秘密共享方案.

公鑰的密碼系統(tǒng)已經(jīng)廣泛應(yīng)用不同領(lǐng)域中，公鑰系統(tǒng)中重要一點(diǎn)就是私鑰管理，1976年Diffie和Hellman說明了離散對(duì)數(shù)問題求解是難的，考慮到現(xiàn)實(shí)中的可操作性，1979年，Shamir提出了(t，n)門限秘密共享方案.然而，Shamir方案并不能在門限值發(fā)生變化的時(shí)候去使用，也就是說Shamir方案只能恢復(fù)固定門限值的秘密共享，如果門限值發(fā)生改變時(shí)，則需要重新分發(fā)參與者手中的子秘密.例如，某公司要將公司內(nèi)部的三個(gè)機(jī)密文件進(jìn)行保存，將其放在三個(gè)不同的保險(xiǎn)柜當(dāng)中，由于機(jī)密文件的保密程度不同，將它們分為一號(hào)文件保密程度最低，只需要三個(gè)公司高管就可以恢復(fù)，二號(hào)文件保密程度較高，需要五名公司高管恢復(fù)，三號(hào)文件保密程度最高，要六名公司高管恢復(fù).在這種情況下，如果想讓公司每個(gè)高管手中僅僅只有一個(gè)子秘密，但能同時(shí)參與三個(gè)秘密文件的恢復(fù)，并且在恢復(fù)一個(gè)秘密之后并不會(huì)影響其他秘密恢復(fù).針對(duì)這種情況，該文提出一種基于離散對(duì)數(shù)問題的難解性和Diffie-Hellman計(jì)算問題的難解性的可變門限的多秘密共享方案.在這個(gè)方案中，只需要在一個(gè)系統(tǒng)中去完成不同門限值的秘密恢復(fù)，讓參與者手中只持有一個(gè)子秘密，但能恢復(fù)門限值不同的秘密.用到Stadler提出在線秘密共享體制，引入公告牌(NB)發(fā)布一些輔助信息的方法和田有亮提出的橢圓曲線上的可驗(yàn)證秘密共享方案中，利用在加法群構(gòu)造多項(xiàng)式的方法.

1 準(zhǔn)備知識(shí)

設(shè)G是有限加法循環(huán)群，g是G的生成元.

(1)離散對(duì)數(shù)問題是難解的:給定(g，ag)，對(duì)任意的a∈，求a是難解的.

(2)Diffie-Hellman的計(jì)算問題難解:給定(g，ag，bg)，對(duì)任意的 a，b ∈，計(jì)算(ab)g 是難解的.

2 提出的方案

假設(shè)有莊家D要在n個(gè)參與者U={U1，U2，…，Un}間共享秘密 s1，s2，…，sk∈ G1，在這里 t1個(gè)人能恢復(fù)秘密s1，t2個(gè)人能恢復(fù)秘密s2，…，tk個(gè)人能恢復(fù)秘密 sk，即對(duì)任意 i，i=1，…，k只有當(dāng)ti個(gè)或ti個(gè)以上的參與者聯(lián)合才能回復(fù)共享秘密si，少于ti個(gè)參與者的任何組合都無法恢復(fù)秘密，該方案分為以下三個(gè)過程:系統(tǒng)初始化過程，秘密分發(fā)的過程，以及秘密重構(gòu)過程.

2.1 系統(tǒng)初始化

G1是素?cái)?shù)階的加法群，其階為q，P是其生成元(比如可以令G1是某個(gè)橢圓曲線上的q階循環(huán)子群)，G1上的離散對(duì)數(shù)和Diffie-Hellman的計(jì)算問題都是難解的.

2.2 秘密分發(fā)過程

(1)參與者Uj選擇xj∈作為自己的子秘密，計(jì)算其偽秘密xjP，并將xjP發(fā)送給D，D看每個(gè)xjP是否相同，若有相同的則需要重新選擇直到互不相同為止.

(2)對(duì) i=1，2，…，k，莊家 D 任取 αi∈(要求αi互不相同，并且αiP要與參與者所公開的xiP互不相同)，并在公報(bào)牌上公開Ri，其中Ri= αiP，其中 i=1，2，…，k.

(3)莊家D收到xjP后，計(jì)算yij=xjαiP，并選取G1［x］上次數(shù)為ti-1次的多項(xiàng)式，其中x∈Zq，Ai∈G1，F(xiàn)i(x)=si+A1x+A2x2+ …Ati-1xti-1，滿足Fi(0)=si并計(jì)算Fi(j)=Sij，令Tij=Sijyij，i=1，2，…，k，j=1，2，…，n，其中 Tij∈ G1，將Tij公布在公告牌上.

2.3 秘密恢復(fù)過程

以恢復(fù)秘密si為例，任何ti個(gè)或大于ti個(gè)成員都可以恢復(fù)秘密si，現(xiàn)不妨設(shè)由集合{U1，U2，…，Uti}來恢復(fù)秘密si，那么參與者首先要計(jì)算yij=xjαiP，然后在公告牌上選出與自己相對(duì)應(yīng)的Tij，再計(jì)算出Sij=Tij+yij，最后向其他參與者提供(Sij，j)，再利用拉格朗日插值公式來恢復(fù)秘密，恢復(fù)出

3 性能分析

(1)合理性:這個(gè)方案不論是在系統(tǒng)初始化階段還是秘密恢復(fù)階段都是簡(jiǎn)單可行的.

(2)安全性:這個(gè)方案的安全性主要基于離散對(duì)數(shù)的難解性和Diffie-Hellman計(jì)算難解的.

①秘密si的安全性:

任何一個(gè)攻擊者據(jù)無法通過公開的(xjP，αiP，Tij)以及他們掌握的子秘密恢復(fù)出秘密si，這是因?yàn)楣粽咭胫纒i，只有Tij和yij同時(shí)知道的時(shí)候才能恢復(fù)si，但是由Diffie-Hellman計(jì)算難解性可知攻擊者并不能從公開的xjP知道參與者手中的子秘密xi，所以并不能利用公開的信息恢復(fù)秘密si.

②子秘密xj的安全性:當(dāng)其他參與者通過恢復(fù)秘密si而得到參與者Uj提供的yij時(shí)，由離散對(duì)數(shù)的難解性可知其他參與者是無法利用得到參與者Uj所提供的yij而得到Uj的子秘密xj.

③恢復(fù)秘密si后，秘密sj的安全性:當(dāng)其他參與者通過恢復(fù)秘密si而得到y(tǒng)ij時(shí)，他們并不恢復(fù)秘密sj，因?yàn)榇藭r(shí)除了公開的Tjj還需要知道yjj，當(dāng)秘密si被恢復(fù)后，由②可知也無法利用已知的yij去得到Uj的子秘密xj，所以也無法得到y(tǒng)jj.而由Diffie-Hellman計(jì)算難解性可知攻擊者無法利用公開的(αjP，xjP)而求出yjj，所以秘密sj也是安全的.這也實(shí)現(xiàn)了秘密的安全性.

④秘密的更新:參與者Uj手中只需要持有一個(gè)子秘密xj就可以恢復(fù)秘密sj.由于每個(gè)成員的子秘密在秘密恢復(fù)后并沒有被暴露，因此，一次只需為每個(gè)參與者重新選取一個(gè)(αiP，Tij)就可以利用上述方案恢復(fù)新秘密.

4 結(jié)束語

筆者給出了基于離散對(duì)數(shù)難解性和Diffie-Hellman計(jì)算問題難解性的可變門限的多秘密共享方案，它利用公開信道去恢復(fù)可變門限值的秘密共享方案，它只需參與者保存一個(gè)子秘密，但卻能同時(shí)參與多個(gè)秘密的恢復(fù)，恢復(fù)后也不會(huì)影響到其他秘密的恢復(fù).

［1］ Shamir A.How to share a secret［J］.Comm ACM，1979，22(11):612-613.

［2］ Blakey G R.Safeguarding cryptographic keys［A］.Proc AFIPS 1979 Natl Conf［C］.New York，1979.313-317.

［3］ Stadler M.Publicly verifiable secret sharing［A］.Cryptology-EUROCRYPT’96［C］.Berlin，1996.190-199.

［4］ 劉煥平，呂學(xué)琴.基于單向函數(shù)的廣義秘密共享方案［J］.通信學(xué)報(bào)，2004，25:5.

［5］ 鄒惠，王建東，宋超.加權(quán)門限多秘密共享方案［J］.計(jì)算機(jī)工程，2012，38:3.