动态多重秘密分享外文翻译资料

英语原文共 11 页，剩余内容已隐藏，支付完成后下载完整资料

Int. J. Contemp. Math. Sciences, Vol. 3, 2008, no. 1, 37 - 42

动态多重秘密分享

国立交通大学计算机科学系

Hsinchu, 300, Taiwan, Republic of China

* e-mail: hanyu.cs94g@nctu.edu.tw

摘要

秘密分享计划是密钥管理的非常重要的技术。本文提出了一种动态多秘密共享方案，为秘密共享的应用提供了更有效、更灵活的替代方案。该方案的一个显著特点是，每个参与者必须只保留一个主秘密共享，根据阈值的数量，可以使用它来重建不同的组秘密。通过应用连续单向散列函数和异或(XOR)操作,该方案在即使伪秘密被盗用的情况下对恶性阴谋攻击是安全的。此外，当其中一组机密被更新时，每个参与者的主秘密份额仍然保持不变。这些主秘密可以实现真正的多用而不是一次性的。

关键字：动态，秘密分享，密钥管理，拉格朗日差值，门限

1. 介绍

因为Diffie和Hellman[2]在1976基于求解离散对数问题的难解性(DLP)[2,9]年介绍了第一个公钥系统,公钥密码体制[3, 12]已被广泛用于各种场合,如电子现金[1],网上投票[8],[11]和电子交易市场等公钥系统的一个重要的问题是管理的关键。考虑到企业组织的实际操作，许多机密文件通常存放在一个安全的保险箱里面。因此，对保险箱的秘密钥匙的管理就变得至关重要了。一个负责保管秘密密钥的人必须是一个值得信赖的人。然而，秘密密钥丢失的情况可能会发生。一个更好的选择是，通过将关键管理的责任分配给许多人，从而降低关键损失的风险。,密钥分成几块,然后发送到不同的个体。如果有足够的参与者愿意合作，他们可以通过提供他们的关键股份来重建原始的秘密密钥。

1979年,Shamir [13]把想法付诸实践,提出的(t,n)门限秘密分享计划，将主秘密分为n个秘密分享，并传递给不同的用户。任何t以上的n用户可以合作重建主秘密而小于或等于tminus;1不能。然而,Shamir 的计划不能分享多个秘密,一旦主秘密与一个新的更新,系统必须补发新的秘密份额每一个用户,它被认为是系统资源消耗和行不通的。消除弱点,在1994年,他和Dawson[5]提出了一种基于单向函数多级秘密共享方案。通过应用连续单向散列函数,He-Dawson方案实现多秘密共享的概念。然而,在2007年,Geng et al[4]指出,He-Dawson方案实际上是一次性方案[6],并进一步改进了一个新的多秘密共享方案。保留了Geng方案的优点,根据阈值的数量实现不同组的秘密重构,提出了一个动态的多秘密共享方案也优于Geng et al。”年代方案的计算复杂性。

1. 多重秘密分享方案

本节介绍动态多秘密共享方案。该方案可划分为三个阶段:系统初始化、伪秘密共享生成和多秘密重建阶段。

系统初始化：

使SA成为权威系统，负责分发的初始公共参数如下：

p : 一个大素数;

g : GF(p)内的一个初始元素;

h( ) : 一个安全的单向哈希函数，他能接受任何长度的输入之后生成一个固定长度的输出；

ID_j : 参与者的标识符U_j, 其中 j = 1, 2, hellip;, n;

伪秘密共享生成：

假设SA想在n用户中分享k个秘密s_i,i= 1,2,hellip;,k。SA可以执行以下步骤来生成伪秘密份额并分发主秘密份额。

步骤 1 选择不同的 x_j , 其中 j = 1, 2, hellip;, n, 作为主秘密份额分享;

步骤 2 构造一个多项式(i minus; 1)阶的多项式f_i(x)，其中 i = 1, 2, hellip;, k,

其中 （1）

步骤 3 设i = 1, 2, hellip;, k 和j = 1, 2, hellip;, n计算

V_ij = f_i(ID_j), （2）

动态多重秘密共享方案：

， （3）

（4）

这里,c_ij是伪秘密份额, 符号 表示异或(XOR)操作和hⁱ(x_j)表示i阶关于x_j的h函数。

步骤 4 给每个用户Uj提供主秘密分享x_j, j = 1,2,hellip;,n，通过一个安全通道和发布它们所有的R_ijrsquo;s;

多秘密重建阶段：

重建第l个秘密,例如s_l,至少l个或更多的参与者参与合作才能重组秘密且按顺序执行以下步骤:

步骤 1 每个用户Uj，其中j=j = 1,2,hellip;,l。计算他们的伪秘密份额

c_lj = h^l(x_j) x_j （5）

然后提交给秘密分发者。

步骤 2 根据接收的所有c_ljrsquo;s, for j = 1, 2, hellip;, l, 秘密分发者再根据下面公式重构第l个秘密

（6）

作为定理1的证明，(6)可以保证它的正确性。

定理 1 在收到至少l伪秘密份额,多秘密分发者可以重建第l个秘密(6)。

证明: 证明从左手边开始我们可以通过

（根据（3），（4））

（根据（3））

（根据（2））

（根据拉格朗日差值[14]）

等式成立，可以证明

3。安全性考虑和性能评估

在本节中，我们将讨论所提议的方案的一些安全性考虑，然后进行性能评估。

3.1安全注意事项

我们提出的安全假设方案是一个方法哈希函数(OHF)[2, 9]和异或操作。OHF简要重申如下的定义:让h作为一个 OHF。从m上获得 h(m)在计算上是不可行的。此外,发现一对(m, m) 满足h(m) = h(m)也不可行。在下面，我们分析了所提议的方案的一些安全考虑。

(1)保密的伪秘密份额:获得用户的伪秘密份额cij。(4),攻击者可能会首先获得相应的公共信息Rij。然而，伪秘密共享cij受到了Vij的保护而Vij只能通过计算多项式fi(IDj)得到。因此，攻击者将无法成功。相反,如果攻击者试图直接获得cij。(3),首先他必须知道主秘密分享xj,也却是不可行的。

(2)主秘密的秘密份额:主秘密分享xj SA是随机选择的,然后通过一个安全的通道交付给每个用户Uj。即使伪秘密份额cij是被发现，在OHF和异或操作的保护下攻击者也不能通过它来得到xj。(3)

(3)多秘密的保密性:考虑臭名昭著的阴谋袭击lminus;1个恶意的内部人员合作试图重建重建第l个秘密sl。不幸的是,据分析伪秘密秘密份额,他们不能获得足够的有效clj重建多秘密的秘密sl。(6)在OHF和异或操作的保护下攻击者通过求得在计算上是不可行的。

从以上讨论中我们可以看出，基于OHF和异或操作难度假设，我们提出的方案是安全的。

3.2绩效评估

在细节方面我们比较可行的Geng et al.的方案在计算方面的复杂性为了便于比较，我们首先定义以下符号:

T_h: 执行单向散列函数h的时间

T_m: 执行模块化乘法运算的时间

T_e:执行模幂运算的时间计算

执行模块的时间加法和异或(XOR)操作将被忽略,因为他们相比可以忽略不计。Mitchell et al [10]还指出,一个哈希函数不需要长时间的模块化乘法计算。因此，我们可以得到一个近似的评估中，而不影响评估的正确性。为便于比较,上述各种计算可以利用到相同的模块化单元乘法计算[7,10]。详细的比较是列出的表1。在括号中，给出了对执行模块化乘法运算的时间的粗略估计。正如表1所示，我们可以看到，提议的方案比Geng等人的整个方案方案都要出色。

表1。比较计算复杂度