一種高效的防欺詐在線秘密分享方案

摘 要：基于離散對數難解性及Hwang-Chang方案提出了一種新的在線秘密分享方案。在該方案中，秘密分享的參與者自己選擇秘密份額，使得秘密分發者和各參與者之間不需要維護安全信道;每個參與者可以在秘密恢復階段驗證其他參與者是否進行了欺詐而不需要構造專門的驗證函數;每個參與者只需維護一個秘密份額就可以實現多秘密的分享。

關鍵詞：密碼學； 秘密分享； 離散對數； 單向函數

中圖法分類號：TP309.2文獻標識碼：A

文章編號：1001—3695(2007)02—0140—02

秘密分享是一種把一個秘密s分成n部分，每個部分都沒有關于s的信息，但s卻可以被一些特定成員恢復的方法。由于其在數據的安全保存、接入控制(Access Control)等方面的應用，很多學者進行了多方面的研究。

Shamir[1]和Blakley[2]分別基于Lagrange插值法和多維空間點的性質引入了(t，n)門限方案，其基本過程可分為兩個階段：①構造階段，秘密分發者通過利用參與者持有的秘密份額把要分享的秘密s分配給參與者；②恢復階段，一些參與者的集合(稱為授權子集)可以通過匯集子秘密或把子秘密送給指定的可信任方(稱為秘密生成者，他的職責是收集子秘密，恢復秘密并把恢復的秘密返回給這些參與者)恢復秘密，而其他子集(稱為非授權子集)，即使這些成員把自己的子秘密匯集，也得不到關于秘密的任何信息。在這種模型中，分發者與參與者假設是可靠的。然而在許多應用中可能存在不誠實的參與者，也可能存在不誠實的分發者。文獻[3]就指出了Shamir門限方案中可能存在的攻擊；Yeun等人[4]提出利用離散對數，同時引進數字簽名的方法檢測不誠實成員的秘密分享方案，但此方案在秘密恢復階段需要很大的計算量；文獻[5]利用強無碰撞的單向雜湊函數構造了新方案，雖然解決了Yeun方案計算量大的問題，但強無碰撞的單向雜湊函數在實際中不易實現，方案的實用性差；基于此，文獻[6]提出利用離散對數及單向函數的在線秘密分享方案，解決了計算量大的問題，且可以實現多秘密分享和秘密份額的重用。但是文獻[4—6]均存在以下問題：①秘密份額由秘密分發者產生，這樣不僅增加了秘密分發者的計算量，而且使其常常成為被攻擊的對象；②為了檢驗在秘密重構過程中參與者是否有欺詐行為，必須構造專門的驗證函數，增加了系統的復雜度；③由于秘密份額由秘密分發者產生，所以在分發者與參與者之間需要維護一條安全信道，提高了系統的代價。本文充分考慮了這些問題，基于文獻[6]及Hwang-Chang的方案[7]構造了一種高效的防欺詐的在線秘密分享方案。在本方案中，秘密份額由參與者選擇，從而不需要維護一條安全信道；不需要構造專門的驗證函數，降低了系統的代價；方案也允許參與者利用自己的秘密份額實現對多個秘密的分享。

1 方案設計

1.1 初始化階段

1.2 構造階段

以上在公告牌上公開的內容，只有D可以修改、更新，其他人只能閱讀或下載。

1.3 秘密恢復階段

2 方案分析

2.1 可行性分析

2.2 此方案可以實現多秘密的分享

為了在n個參與者中分享m個秘密s₁，s₂，…，s_m，使得選定的X(X∈Γ^*)中的參與者可以恢復任意一個秘密，并且一個秘密的恢復不會影響到其他未恢復秘密的安全性。我們只需要求D在更新秘密時，改變公告牌上的I_i，T_X與f(s)即可，而各個參與者的秘密份額Ai無須改變。

2.3 安全性分析

(1)對于本方案在構造過程中的安全性，與文獻[6]中的安全程度是相同的。由于在秘密的構造階段利用了公式T_X=s-f(I₁I₂…It) mod N，只有屬于且達到最小合格子集的成員才能恢復出秘密s。因此，(t-1)個或更少的參與者的合作不能夠重構TX=s-f(I₁I₂…I_t) mod N，也就不能恢復分享的秘密s。

（2）在本方案中，秘密份額的重復使用不會影響系統的安全性。假設有攻擊者E希望獲得參與者Pi的秘密份額Ai，根據本方案的構造過程，E能獲得的信息只有I′_i以及S_i。下面我們從兩個方面分析攻擊的不可能性:

(3)該方案可以驗證欺詐行為。利用本文的方案，不需要設計專門的驗證算法就可以檢驗在秘密重構過程中，每個參與者是否進行了欺騙，根據重構過程中的步驟(3)提供的方法即可。

2.4 性能分析

本方案有如下特點:①秘密份額由秘密分享的參與者產生，避免了秘密分發者經常成為被攻擊的目標，也減少了秘密分發者D的計算量;②由于秘密份額是由參與者產生的，所以在參與者及秘密分發者之間不需要維護一條安全信道，這也降低了系統的代價;③在秘密重構過程中，每個參與者都可以驗證是否存在欺詐行為，而不需要構造專門的驗證函數，提高了系統的效率;④本方案可以在重新計算部分參數后實現多秘密的分享。

3 小結

本文基于文獻[6]與Hwang-Chang方案[7]提出了一種高效的防欺詐的在線秘密分享方案。該方案與原方案比較有很多優點:秘密份額由參與者產生，所以不需要維護一條安全信道;在秘密重構過程中不必構造專門的驗證函數;可以實現多秘密的分享。這一方案對現實中不具備安全信道條件和計算能力較差的系統是行之有效的，可以得到廣泛的應用。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。