基于双变量单向函数的门限可变秘密共享方案

第40卷第6期2018年11月Vol.40No.6JournalofTangshanNormalUniversityNov.2018──────────基金项目：福建省自然科学基金项目（2017J01761），厦门市科技局平台补助金项目（B16145）收稿日期：2018-05-07修回日期：2018-09-21作者简介：黄科华（1983-），男，福建泉州人，硕士，副教授，研究方向为密码学、信息安全。-41-数学与应用数学研究基于双变量单向函数的门限可变秘密共享方案黄科华1，陈和风2（1.泉州幼儿师范高等专科学校初等教育系，福建泉州362000；2.集美大学计算机工程学院，福建厦门361021）摘要：利用双变量单向函数和拉格朗日插值公式构造了一个门限秘密共享方案，该方案可以按照事先预定的门限来进行秘密共享（门限可变），不需要使用到安全信道，用户的份额不会暴露，可以多次使用，是一个完美的秘密共享方案。关键词：门限可变秘密共享方案；双变量函数；拉格朗日插值公式中图分类号：O1-0文献标识码：A文章编号：1009-9115(2018)06-0041-03DOI：10.3969/j.issn.1009-9115.2018.06.009ThresholdChangeableSecretSharingSchemesBasedonTwo-VariableOne-WayFunctionHUANGKe-hua1,CHENHe-feng2(1.DepartmentofPrimaryEducation,QuanzhouPreschoolEducationCollege,Quanzhou362000,China;2.ComputerEngineeringCollege,JimeiUniversity,Xiamen361021,China)Abstract:Byusingtwo-variableone-wayfunctionandLagrangeinterpolationformula,wecreateaperfectthresholdsecretsharingschemewhichisabletosharesecretaccordingtothesetthreshold(whichmeansit’schangable)formanytimes,whilenotusingsecurechannelsorrevealingusers’shares.KeyWords:ThresholdChangeableSecretSharingSchemes;Two-variableOne-wayFunction;Lagrangeinterpolationformula1研究背景为安全起见，银行保险柜的钥匙不能由一个人单独保存，必须由多个人，每个人掌握一部分钥匙。当足够多的人集中在一起的时候，才能打开保险柜。解决类似问题的方案我们称之为秘密共享方案（SecretSharingScheme，SSS）。一个秘密共享方案由以下几个部分组成：D：可信中心或者密钥分发者：合成密钥参与者集合P、密钥集合S、准入结构（由可合成密钥的集合组成）、分配算法和合成算法。(t,n)门限秘密共享方案是比较流行的秘密共享方案，它指的是n个参与者中，t个或者大于t个成员合作可以合成密钥，而少于t个人合作得不到密钥的任何信息的秘密共享方案。Shamir和Blakley于1979年分别独立提出了基于拉格朗日插值公式和线性集合投影方法的(t,n)门限秘密共享方案[1,2]。此后有一些研究者对方案进行了改进[3-6]。这些方案都存在着一些不足之处，如：（1）需要使用到安全信道来传输密钥份额；（2）份额只能使用一次，如果要合成新密钥，还需重新再次发送份额；（3）准入结构较为单一，确定完就无法改变等。针对这些不足，有的研究者提出了多秘密共享方案[7-8]、可验证秘密共享方案[9]、加权秘密共享方案等[10]。在解密之前，有可能需要对门限值进行改变，如系统安全等级升高或者下降、成员的份额泄露或者信任度降低等。Laih等人于1989年首次提出第40卷第6期唐山师范学院学报2018年11月-42-了门限可变秘密共享概念并给出了相应方案[11]。此后，一些研究者陆续利用插值公式[12]、基于格等技术[13]，构造门限可变秘密共享方案。本文在这些方案的基础上，提出了一个基于双变量单向函数的门限可变秘密共享方案。2预备知识2.1陷门单向函数函数()hx称为陷门单项函数，其满足以下两个条件：（1）给定x，能够容易地计算()yhx；（2）给定y，计算1()xhy是困难的，但是如果知道陷门，可容易计算出y。陷门单向函数可以选择RSA函数等。2.2双变量单向函数函数f(x,y)称为双变量单向函数，其满足以下条件：（1）对于确定的x,y，可容易计算z=f(x,y)；（2）给定x（或y）和z=f(x,y)，计算y（或x）是困难的；（3）x（或y）未知，无法为任何的y（或x）计算(,)zfxy；（4）无碰撞，即给定x和z=f(x,y)，当xx，无法得到(,)zfxy。文献[14]证明了双变量单向函数的存在，并在GF(q)（q为大素数）上提供了一种利用一对一hash函数的构造方法。2.3完美秘密共享方案设12,,,nPPPP为合成密钥参与者集合；S为密钥；为准入结构；123,,,,nSSSS为用户的份额，方案123:,,,,nSSSSS满足：如果A，则(|{})0iHSSA；如果A，则(|{})()iHSSAHS。其中H(x)为熵，则称方案为完美秘密共享方案。3基于双变量单向函数的门限可变秘密共享方案以下方案皆在GF(q)（q为大素数）上进行讨论。假设密钥分发者D要把k个密钥123,,,,kSssss分享给n个成员12,,,nPPPP，其中is作为门限值为it的方案的密钥。也即it或者大于it个成员联合能够恢复密钥is，而少于it个成员得不到密钥is的任何信息，1,2,3,,ik。3.1密钥的分发阶段（1）分发者D选择一个无碰撞陷门单向函数()hx并公布，陷门信息由D保存。（2）设有n个成员12,,nPPP可以进行主密钥的合成。每个成员iP选取ix作为成员自身的私钥，并计算()ihx。iP发送()ihx给D。D在收到()ihx时，如果发现()()ijhxhx，则要求iP和jP重新选择私钥直到()()ijhxhx，这样保证了,iixxij。其中,1,2,3,,ijn。（3）分发者D选择一个双变量单向函数(,)fxy并公布。（4）分发者D选择k个参数im，1,2,3,,ik，并保证ijmm，,1,2,3,,ijk。（5）分发者D选择k个多项式1231231()iitiitgxsaxaxaxax，1,2,3,,ik，并计算()iijgjS，1,2,3,,ik，1,2,3,,jn（6）分发者D计算(,)ijijijTSfmx，并公布ijT，其中1,2,3,,ik，1,2,3,,jn。3.2密钥的合成阶段（1）假设有it个成员12,,,tijjjPPP要恢复密钥is，1,2,3,,ik。（2）第ajP个用户从D发布的信息中得到im，结合自己的私钥ajx，可以计算出(,)aijfmx，进而通过D发布的信息aijT，可以计算出(,)aaaijijijSTfmx。1,2,3,,iat（3）it个人可以获得it个二元对,aaijjS，通过拉格朗日插值公式可以容易求出对应于门限值it的密钥(0)iisg，其中1,2,3,,iat。4对本方案的分析4.1门限可变通过分发者D设置的多项式，D可以在不同的情况下改变门限值，解决了系统安全性升高和降低的问题，也可以在用户退出系统或者私钥泄黄科华，等：基于双变量单向函数的门限可变秘密共享方案-43-露的情况下保证了系统的安全性。4.2不需要安全信道由于陷门单向函数()hx的使用，成员iP可以在公共信道上传输()ihx，而不担心私钥ix的泄露，私钥由成员和D同时掌握也避免了双方作弊的可能。（其中1,2,3,,in。）4.3成员的私钥可以重复利用由4.2，在传输过程的中ix不会泄露，合成密钥的过程中，成员iP并没有直接提供ix，而是提供了经过双变量单向函数计算出来的(,)Iifmx（其中Im对应门限值It的参数，），因而攻击者即使得到了Im和(,)Iifmx（其中1,2,3,,In，1,2,3,,in。），由双变量单向函数的性质可知，也得不到ix的任何信息。所以成员iP的私钥ix可以重复使用。4.4该方案是一个完美的秘密共享方案在门限值为it的秘密分享过程中使用了双变量单向函数和拉格朗日插值公式两种技术。经过4.3分析可知攻击者无法从Im和(,)Iifmx中得到ix的任何信息，进而无法到密钥is的任何信息。从文献[1]中可知，少于it个用户无法得到插值多项式的任何信息，进而也无法得到密钥is的任何信息。所以方案满足(|()(,))()ijjiijiHsxxtfmxHs的数量少于是一个完美秘密共享方案。其中熵函数()Hx用来衡量密钥is信息的不确定性，1,2,3,,ik。5结语引入双变量单向函数构造了一个可变门限的秘密共享方案，该方案可以按照事先预定门限来进行秘密共享（门限可变）；不需要使用到安全信道；密钥合成后，用户份额不会暴露，可以多次使用；该方案是一个完美秘密共享方案。[参考文献][1]ShamirA.Howtoshareasecret[J].CommunicationsoftheACM,1979,(11):612-613.[2]BlakleyGR.Safeguardingcryptographickeys[A].ProceedingsoftheNationalComputerConference[C].US:AmericanFederationofInformationProcessionSocieties,1979:242-268.[3]AsmuthC,BloomJ.Amodularapproachtokeysafeguarding[J].IEEETransactionsonInformationTheory,1983,(2):208-210.[4]MignotteM.Howtoshareasecret[A].ProceedingsoftheWorkshoponCrytography[C].BurgFeuerstein,Germany,1983:371-375.[5]KarninE,GreeneJ,HellmanM.Onsecretsharingsystems[J].IEEETransactionsonInformationTheory,1983,29(1):35-41.[6]BrickellEF,DavenportDM.Ontheclassificationofidealsecretsharingschemes[J].JournalofCryptology,1991,(2):123-134.[7]HeJ,DawsonE.Multistagesecretsharingbasedonone-wayfunction[J].ElectronicsLetters,1994,30(19):1591-1592.[8]YangC,ChangT,HwangM.A(t,n)multi-secretsharingscheme[J].AppliedMathematicsandComputation,2004,151(2):483-490.[9]ChorB,GoldwasserS,MicaliS.Verifiablesecretsharingandachievingsimulataneityinthepresenceoffaults[A].26thAnnualSymposiumonFoundationsofComputerScience