一種可驗證的(t,n)門限秘密共享方案

摘要：秘密共享能夠避免秘密過于集中，分散安全風(fēng)險，提高系統(tǒng)的安全性和健壯性，是信息安全專業(yè)一個重要的分支。本文提出了一種可驗證的（t，n）門限秘密共享方案，該方案中，所有用戶的私鑰由自己產(chǎn)生，無需可信中心，可以防止可信中心的權(quán)威欺騙。此外，該方案中，驗證者之間不需要互相交換秘密份額，有效的保證了方案的公平性。

關(guān)鍵詞：秘密共享；門限加密；可驗證；可信中心；公平性1引言

1979年，Shamir A[1]和Blakley G[2]分別獨立的提出秘密共享的概念，其基本思想是將共享秘密分割成n個影子，將n個影子交給n個參與者，任意t個或t個以上的參與者可以解密，少于t個無法恢復(fù)秘密。文獻[1][2]存在如下問題：（1）共享秘密不能重復(fù)使用；（2）秘密份額交換過程中沒有驗證秘密份額的真?zhèn)?，存在參與者欺騙問題,導(dǎo)致誠實的參與者無法恢復(fù)秘密[3]；（3）秘密恢復(fù)，需要依賴可信中心，降低了系統(tǒng)的安全性。文獻[4]提出一種防欺騙的門限共享方案，但該方案存在以下問題：（1）共享秘密只能使用一次，不能重復(fù)使用；（2）每個成員私鑰由KAC分配，降低了方案的安全性；（3）該方案中，密文只能由一人獲得，即只能一對一通信。

本文針對文獻[4]存在的問題，提出了一種可驗證的（t，n）門限秘密共享方案。本方案中，無需可信中心，每個成員自己產(chǎn)生私鑰，有效防止了權(quán)威欺騙，提高了系統(tǒng)的安全性。任意t個參與者協(xié)同合作才可恢復(fù)明文，并且t個參與者都能獲得明文，實現(xiàn)了一對多通信。在恢復(fù)明文過程中，任一成員都不知道組私鑰，組私鑰可重復(fù)使用。

2本方案構(gòu)成

設(shè)用戶UA為加密者，其標(biāo)識為IDA，為n個參與者的集合，每個參與者的標(biāo)識為IDi。NB為公告牌。

2.1初始化

⑴生成方案中每個成員的私鑰及公鑰

每個參與者pi∈P隨機秘密選取兩個大素數(shù)ki和hi，計算：

其中xi為pi的私鑰，yi為pi的公鑰。g為GF(p)上的q階生成元。q為大素數(shù)。

同理，用戶UA計算出其私鑰為xA，公鑰為yA。

⑵組公鑰及組私鑰S的影子的生成

①每個參與者pi∈P隨機秘密選取大素數(shù)λi，計算：λixi，并把λixi發(fā)送給用戶UA。UA計算組公鑰 。

②用戶UA構(gòu)造多項式：

用戶計算f(1)，f(2)，……，f(n)，分別分發(fā)給參與者p1，p2，……，pn

⑶生成方案中每個成員的公鑰證書

解同余方程：

求出 ，計算

將（IDi，yi，vi）作為每個參與者的公鑰證書。同理求出用戶UA的公鑰證書（IDA，yA，vA）。將方案中每個成員的公鑰證書在公告牌NB上公布。

2.2 成員公鑰的驗證

用戶UA可以驗證任一參與者pi的公鑰證書，有效的防止了攻擊者假冒pi。

用戶UA驗證公式： （6）是否成立，若成立，證明yi是參與者pi的公鑰。因為：

由式（5）可得

又因為：

所以：

2.3 明文加密

用戶UA隨機選擇一個與p互素的整數(shù)k，計算：

用戶UA將密文（C1，C2）發(fā)送給每個參與者pi。將驗證信息Vi在信息公告牌上公布。

2.4 恢復(fù)明文

⑴pi收到私鑰影子后，計算： 。

⑵pi向其他成員廣播 ，其他成員根據(jù)式（10）驗證信息 的正確性。

⑶若有不誠實成員提交假的秘密份額，則停止恢復(fù)。

⑷若所有成員的影子正確則根據(jù)Language插值定理，則可用式（11）恢復(fù) 。假設(shè)用（Xi，Yi）代表所得到的t個數(shù)偶：。

⑸恢復(fù)明文： （12）

3方案特點分析

⑴每個參與者都不知道組私鑰S。因為t個參與者協(xié)同合作恢復(fù)的是 ，根據(jù)離散對數(shù)難求解問題，很難根據(jù) ，退出組私鑰S。因此，組私鑰S可以反復(fù)利用。

⑵文獻[4]中，每個成員的私鑰是由密鑰認(rèn)證中心KAC產(chǎn)生,容易受到攻擊者的合謀攻擊，大大的降低了系統(tǒng)的安全性。本方案中，每個成員自己產(chǎn)生私鑰，無需可信中心，有效的避免了權(quán)威欺騙。在恢復(fù)私鑰S的過程中，能夠識別秘密份額的有效性，從而識別欺騙者。

⑶文獻[4]中，用戶加密明文后，只能由指定的一人恢復(fù)，其余t-1個為驗證者，無權(quán)恢復(fù)明文。不僅降低了方案的靈活性，而且不能有效的預(yù)防權(quán)威欺騙。本方案中，任意t個參與者協(xié)同合作，不僅提高了方案的靈活性，而且t個參與則會間相互制約，有效的防止了權(quán)威欺騙。

4結(jié)束語

本文提出一種可驗證的（t，n）門限加密方案。在該方案中，每個成員自己產(chǎn)生私鑰，無需可信中心，有效的避免了可信中心的權(quán)威欺騙。在恢復(fù)私鑰S的過程中，能夠識別秘密份額的有效性，從而識別欺騙者。每個參與者都不知道組私鑰S，組私鑰S可以反復(fù)利用。任意t個參與者協(xié)同合作，不僅提高了方案的靈活性，而且t個參與者間相互制約，有效的防止了權(quán)威欺騙。

[參考文獻]

[1]Shamir A.How to share a secret[J].Communications of the ACM,1979,22(11):612-613.

[2]Blakley G R.Safeguarding Cryptographic Keys[C].Proc.of AFIPS National Computer Conference.New York,USA:AFIPS Press,1979.

[3]侯整風(fēng),史英杰,胡東輝,朱曉玲.一種公平的（t，n）門限加密方案[J].儀器儀表學(xué)報（增刊）2011,12（32）：15-18.

[4]侯整風(fēng),韓江洪.防欺騙（t，n）秘密共享模式研究[J].浙江大學(xué)學(xué)報（理學(xué)版），2007,6（34）：633-635,701.