秘密共享方案 ppt课件
合集下载
秘密共享方案ppt课件
6
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
(I=1,…,K-1)
• 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)
7
)
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
(I=1,…,K-1)
• 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)
7
)
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
保密课件ppt
合作伙伴风险
与外部合作伙伴合作过 程中,可能存在的信息
泄露风险。
物理环境风险
如火灾、水灾等自然灾 害导致课件数据丢失或
损坏的风险。
评估保密风险
风险等级划分
根据保密风险的大小,将 风险划分为高、中、低三 个等级。
风险影响评估
评估风险可能对保密课件 造成的损失和影响,包括 财务损失、声誉损害等。
风险发生概率评估
02
保密措施和方法
物理保密措施
保密场所
文件加密
建立专门用于存储和保护保密课件的 场所,确保只有授权人员能够进入。
采用高强度的加密算法对保密课件进 行加密,确保未经授权的人员无法获 取课件内容。
门禁和监控
安装门禁系统,对进出保密场所的人 员进行身份验证和记录,同时设置监 控摄像头,对场所进行实时监控。
保密工作的基本原则
保密工作必须遵循“最小化、全程化、精准化”的原则,确保涉密 信息不被泄露。
保密工作的主要任务
保密工作的主要任务包括加强保密宣传教育、完善保密制度、加强 保密检查和监督等。
提高保密意识和技能
增强保密意识
通过加强保密宣传教育,提高全体人员的保密意 识和责任感,形成良好的保密氛围。
提高保密技能
案例分析
该案例中,个人隐私未得到有效保护,黑客利用技术手段窃取个人信息。个人应加强个人信息保护意识,采取安 全措施保护个人隐私。同时,政府和企业也应加强个人信息保护,防止个人信息被非法获取和利用。
05
总结与展望
总结保密工作要点
保密工作的重要性
保密工作是维护国家安全和利益的重要保障,必须高度重视,严 格遵守保密法律法规。
信息系统保密措施
网络安全
保密课件ppt
保密制度是维护国家安全、保障经济发展、促进社会稳定的重要保障。
保密制度还是企业或组织的核心竞争力之一,因为它涉及到知识产权、 商业机密、客户信息等敏感信息的保护。
保密制度的重要性
01
保护国家安全
保密制度是维护国家安全的重要手段之一。它规定了哪些信息需要保密
,以及如何保护这些信息不被泄露。这对于国家的政治、军事、经济等
风险监控与报告
监控风险
通过技术手段和人工监控,实时监测潜在的保密风险 。
报告风险
发现潜在风险时,及时向上级报告,并采取相应的应 对措施。
分析总结
定期对监测到的风险进行分析和总结,为后续的风险 管理提供参考。
05 保密违规行为及处理
违规行为的类型与级别
类型
未经授权访问、泄露、篡改涉密信息 等。
级别
重要性
个人隐私对于个人来说具有重要的价值,一旦泄露可能会 对个人的隐私权造成严重侵犯。因此,对个人隐私的保护 是非常必要的。
措施
为确保个人隐私的保护,需要采取一系列措施,包括:使 用加密技术、限制信息的访问权限、加强数据的安全管理 等。
国家安全
定义
国家安全是一种针对国家核心利益进行保护的制度,以确保国家免受内外部威胁。
案例四:网络攻击与数据泄露事件
总结词:网络攻击与数据泄露事件是指网络系统遭受恶 意攻击导致数据泄露的事件,对个人、企业或国家安全 造成威胁。
1. 事件背景:涉及网络系统安全的恶意攻击行为,可能 导致数据泄露和信息安全问题。
详细描述
2. 事件经过:某政府部门的网络系统遭受黑客攻击, 大量政府机密文件被窃取并曝光。
重要性
商业机密对于企业来说具有重要的商业价值,一旦泄露可能会对企 业的竞争力造成严重损害。因此,对商业机密的保护是非常必要的 。
保密制度还是企业或组织的核心竞争力之一,因为它涉及到知识产权、 商业机密、客户信息等敏感信息的保护。
保密制度的重要性
01
保护国家安全
保密制度是维护国家安全的重要手段之一。它规定了哪些信息需要保密
,以及如何保护这些信息不被泄露。这对于国家的政治、军事、经济等
风险监控与报告
监控风险
通过技术手段和人工监控,实时监测潜在的保密风险 。
报告风险
发现潜在风险时,及时向上级报告,并采取相应的应 对措施。
分析总结
定期对监测到的风险进行分析和总结,为后续的风险 管理提供参考。
05 保密违规行为及处理
违规行为的类型与级别
类型
未经授权访问、泄露、篡改涉密信息 等。
级别
重要性
个人隐私对于个人来说具有重要的价值,一旦泄露可能会 对个人的隐私权造成严重侵犯。因此,对个人隐私的保护 是非常必要的。
措施
为确保个人隐私的保护,需要采取一系列措施,包括:使 用加密技术、限制信息的访问权限、加强数据的安全管理 等。
国家安全
定义
国家安全是一种针对国家核心利益进行保护的制度,以确保国家免受内外部威胁。
案例四:网络攻击与数据泄露事件
总结词:网络攻击与数据泄露事件是指网络系统遭受恶 意攻击导致数据泄露的事件,对个人、企业或国家安全 造成威胁。
1. 事件背景:涉及网络系统安全的恶意攻击行为,可能 导致数据泄露和信息安全问题。
详细描述
2. 事件经过:某政府部门的网络系统遭受黑客攻击, 大量政府机密文件被窃取并曝光。
重要性
商业机密对于企业来说具有重要的商业价值,一旦泄露可能会对企 业的竞争力造成严重损害。因此,对商业机密的保护是非常必要的 。
秘密分享
动态秘密共享方案通过在不改变秘密的情况下解 决了秘密共享方案在周期上的安全性问题。 动态秘密共 享方案在保证秘密不变的情况下周期性的更换子秘密, 从而使得每次更换子秘密后攻击者在前一个周期内所 获得的信息完全失效。 更新周期一般是一个比较短的时 间,这就使得攻击者必须在一个较短的时间段内,攻破 至少 t 个成员,才能获得原秘密。动态秘密共享还要保 证过期的子秘密所包含的信息不回对未来秘密的构造 产生不安全的影响。 这样就能在很大程度上提高系统的 安全性。
秘密分享的概念是由 Shamir 在 1979 年提出的。 其 基本思想是将秘密分解为多个碎片并将这些碎片分发 给不同的人掌管,在秘密丢失的情况下,这些人中的某 些特定子集可以通过将他们拥有的碎片凑在一起以恢 复整个秘密。
秘密分享的概念
一般的, 一个由秘密分发者 D 和参与者 P1, P2,· · · , Pn 构成的(t,n)秘密分享体制包含下面两个协议: (1)秘密分发协议 碎片 si,i = 1,· · ·,n。 (2)秘密重构协议 原秘密 s。 在这个协议中,任意不少于 t 个参与者一起合作,以自己的碎片 si 作为输入,重构 在这个协议中,秘密分发者 D, 在 n 个参与者中分享秘密 s,每个参与者 Pi 获得一个
同样的,在秘密重构协议中,如果参与者 Pi 没有 使用正确的碎片 si,而是使用一个随机值,那么最终重 构出的秘密将没有任何意义。如果只重构过程中, Pi 是唯一一个没有使用正确碎片的参与者, 那么他就能够 使用其他 t-1 个参与者的正确碎片计算出被分享的真正 秘密。正是由于存在上述攻击,我们需要设计更强的秘 密分享体制以抵抗这种潜在的攻击方式。
( x 3)( x 5) ( x 3)( x 5) 5 5 5 (3 1 mod19) ( x 3)( x 5) (2 3)(2 5) (1)(3) 5 13( x 3)( x 5) 65( x 3)( x 5)
秘密共享方案解析
• S=
,( bj 可以预计算
不需保密
)
9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方 程构成的线性方程组,其中有K个未知量
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足 13-1方程组
• 为了实现上述意义上的秘密共享,人们引入了门限方 案(THRESHOLD SCHEME)的一般概念
2/
13.1引言
• 秘密分割门限方案的定义 • 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S 则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门限 值。 • 极端的情况下是(N,N) -秘密分割门限方案,此时用户必须 都到场才能恢复密钥
3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• A0+A1(I1)+…+AK-1(I1)K-1=F(I1)
• A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
加权门限秘密共享
! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !
加权门限秘密共等: 加权门限秘密共享
0 7 ) 1
究了将模运算用 于 秘 密 共 享, 提出了基于中国剩余 定理的秘密 共 享 方 案 ["] 讨论了多项式的运 !文献 算与数的运算, 以及 # $ & $ ’ (插 值 多 项 式 与 中 国 剩 % % 余定理的相 似 性 研究人员主要针对多秘 ! 近 年 来,
[) * +] 密共享、 防欺骗等方面展开研究 !
的等价的加权门限秘密共享方案 ", #) ! [0 0] 设 定理 ! 中国剩余定 理 , 3, …, 是 " ! ( ( 0 ( ! 令 ) 4( , …, , 两两互质的! 个正整数, !%3, ( ( 0 3 ! , 40, …, 则同余方程组 ) ! 3, !, ( *4) ** , + &, 5 6( 0. 0 ( , + &, 5 6( 3. 3 ’ ) + &, 5 6( ! !. ! 存在整数解; 且解 + 是所有满足下式的整数:
(清华大学计算机科学与技术系 (= ) > E 2 ) )# 8 ; E 2 = 0 3 G / 1 G < 2 7 F F F 北京 $ ) % % % B A
! " # % & " ’( % ) " * % + , ’" . ) " &% / ) # 0 $ $
第2章附_秘密共享协议
(1)校长把签名用的秘密分割成9份子秘密,每个副校长 一份子秘密;
(2) 至少需要5个副校长同时提交自己保存的子秘密, 才能恢复校长签名用的秘密。
3
应用场景
示例三
假设 Coca-Cola公司的董事会想保护可乐的配方。该公司 总裁应该能够在需要时拿到配方,但在紧急的情况下,12位 董事会成员中的任意3位就可以揭开配方。
11
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
密钥
(2)秘密重构
•m个线性方程可以构造重构F(x)
(xs1 , ks1 ),..., (xsm , ksm )
F (x)
m
ksi
i 1
m j 1, j i
注意:示例二与示例三的区别。
4
应用场景
示例四
基于主密钥的信息安全系统的缺陷 (1)主密钥偶然或有意地被泄露,系统中的秘密信息会 遭受攻击; (2)主密钥丢失或损坏,系统中的秘密信息将无法恢复; (3)主密钥的解决方案导致权力过于集中——密钥管理。
5
基本概念
1、秘密共享的思想
将秘密以适当的方式拆分,拆分后的每一个份额由不同 的参与者管理,单个参与者无法恢复秘密信息,只有若干个 参与者相互协作才能恢复秘密消息。
的任何有用信息。
9
实例2:门限方案
SK
SK1
SK2
SK3
SK4
SK5
SK
SK
(3,5)门限秘密共享方案
10
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
(2) 至少需要5个副校长同时提交自己保存的子秘密, 才能恢复校长签名用的秘密。
3
应用场景
示例三
假设 Coca-Cola公司的董事会想保护可乐的配方。该公司 总裁应该能够在需要时拿到配方,但在紧急的情况下,12位 董事会成员中的任意3位就可以揭开配方。
11
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
密钥
(2)秘密重构
•m个线性方程可以构造重构F(x)
(xs1 , ks1 ),..., (xsm , ksm )
F (x)
m
ksi
i 1
m j 1, j i
注意:示例二与示例三的区别。
4
应用场景
示例四
基于主密钥的信息安全系统的缺陷 (1)主密钥偶然或有意地被泄露,系统中的秘密信息会 遭受攻击; (2)主密钥丢失或损坏,系统中的秘密信息将无法恢复; (3)主密钥的解决方案导致权力过于集中——密钥管理。
5
基本概念
1、秘密共享的思想
将秘密以适当的方式拆分,拆分后的每一个份额由不同 的参与者管理,单个参与者无法恢复秘密信息,只有若干个 参与者相互协作才能恢复秘密消息。
的任何有用信息。
9
实例2:门限方案
SK
SK1
SK2
SK3
SK4
SK5
SK
SK
(3,5)门限秘密共享方案
10
Shamir秘密共享协议
基于拉格朗日插值多项式的秘密共享(m,n)门限方案
假定在n个人中共享密钥k,使得任意m个人可以相互协作获取
具有前向安全性质的秘密共享方案
的 影 响 。19 99年 B l r el e提 出 了前 向 安伞 的数 字签 名方 案 【' a 4 l 它 是 一 种特 殊 的 数字 签名 ,它 的 公 开钥 是 固 定 的 ,而 秘 密 钥 则 随 着 时 段 的 进 化 而 更 新 ,这 样 即 使 当 前 时 段 的 密 钥 泄 漏 ,
di rt o ai msa dtesrn RS a s mpin I h c e a iia t a p aea dv r ytes ae . e ui s eel g r h n h to g— A su t .ntesh mep r cp nsc nu d t n ei h h rs S c r c t o t f  ̄
维普资讯
第 2 卷第 9 8 期
电
子
与
信息学报 来自Vl1 N o. o. 28 9
20 0 6年 9月
J u n l f e to is& I f r t nT c n l g o r a c r n c o El n o ma i e h o o y o
的子 密的可验证性;具有秘密恢 复快捷且能直接恢 复时间周期 ,的秘密信 息及 检测恢复得到的秘密信 息是 否正确
等功 效 。 该 文 同 时 还 对 方 案 的 安 全 性 进 行 了 分析 。
关键 词
秘密共享 ,前 向安全 ,离 散对 数,强 R A 假 设 S 文献标识码 : A 文章编号 :10 .8 620 )9 1l .3 0 95 9(0 60 -7 40
( ol e fMah mai n fr ainS i c, otw sNom l nvri , a zo 3 0 0 C ia C lg e o te t s d nom t c n eN r et r a iesy L nh u7 0 7 , hn ) ca I o e h U t
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 导弹控制发射 • 开启核按钮 • 重要场所通行检验等
• 为了实现上述意义上的秘密共享,人们引入了门限方
ppt课件 案(THRESHOLD SCHEME)的一般概念
2
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-1次
LAGRANGE插值多项式
f (x)
k
k
(x j )
j 1
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此 这个方案是完善的。
ppt课件
10 10/
项式F(X),所以令X=0,仅需以下表达式就可以求出S:
• S= k j 1
k
f (ij )
l 1
il
il ij
(modq)
k
bj yij (modq)
j 1
l j
不需保密
)
,( b j 可以预计算
9/ 9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方 程构成的线性方程组,其中有K个未知量
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
• 当N=2T+1时K=T=(N-1)/2的取值最佳
则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门限 值。
• 极端的情况下是(N,N) -秘密分割门限方案,此时用户必须 都到场才能恢复密钥
ppt课件
3 3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
ppt课件
8 8/
13.2 SHAMIR门限方案
• 因为IL(L=1,…,K)均不相同,所以可由LAGRANGE插值
公式构造如下k j 1
k
f (i j )
l 1
x il i j il
(modq)
从而可得秘密S=F(0)
l j
然而参与者仅需知道F(X)的常数项F(0)而无需知道整个多
ppt课件
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
ppt课件 • N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)) 7
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
ppt课件
6
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割 • 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为 SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0} (I=1,…,K-1) • 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• ppt课件 秘密分割应该由可信第三方执行,或者托管设备完成。
4
4/
13.1 引言
• 秘密的分割 假设是一个(K, N)门限方案
• 选取一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1 • 该多项式有K个系数
• 令A0=F(0)=S,即把常数项指定为待分割的秘密 • 其它K-1个系数可随机选取
13.2 SHAMIR门限方案
第13章 秘密共享方案
ppt课件
报告人:
孙宗臣
1
13.1引言
• 有些场合,秘密不能由一个人独自拥有,必须由两 人或多人同时参与才能打开秘密,这时都需要将秘 密分给多人掌管,而且必须有一定人数的掌管秘密 的人同时到场才能恢复这一秘密,这种技术就称为 秘密分割(SECRET SPLITTING) ,也称为秘密共享 (SECRET SHARING)。例如:
• 显然,对于该多项式,只要知道该多项式的K个互不相同的点的函 数值F(XI)(I=1,2,…,K),就可恢复F(X)
• 生成N个子秘密
• 任取N个不同的点XI(I=1,…,N) 并计算函数值F(XI)(I=1,…,N)
• 则(XI, F(XI)), I=1,…,N, 即为分割的N个子秘密
• 显然,这N个子秘密中的任意K个子秘密即可重构F(X),从而可得秘密
• 为了实现上述意义上的秘密共享,人们引入了门限方
ppt课件 案(THRESHOLD SCHEME)的一般概念
2
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-1次
LAGRANGE插值多项式
f (x)
k
k
(x j )
j 1
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此 这个方案是完善的。
ppt课件
10 10/
项式F(X),所以令X=0,仅需以下表达式就可以求出S:
• S= k j 1
k
f (ij )
l 1
il
il ij
(modq)
k
bj yij (modq)
j 1
l j
不需保密
)
,( b j 可以预计算
9/ 9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方 程构成的线性方程组,其中有K个未知量
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
• 当N=2T+1时K=T=(N-1)/2的取值最佳
则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门限 值。
• 极端的情况下是(N,N) -秘密分割门限方案,此时用户必须 都到场才能恢复密钥
ppt课件
3 3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
ppt课件
8 8/
13.2 SHAMIR门限方案
• 因为IL(L=1,…,K)均不相同,所以可由LAGRANGE插值
公式构造如下k j 1
k
f (i j )
l 1
x il i j il
(modq)
从而可得秘密S=F(0)
l j
然而参与者仅需知道F(X)的常数项F(0)而无需知道整个多
ppt课件
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
ppt课件 • N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)) 7
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
ppt课件
6
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割 • 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为 SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0} (I=1,…,K-1) • 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• ppt课件 秘密分割应该由可信第三方执行,或者托管设备完成。
4
4/
13.1 引言
• 秘密的分割 假设是一个(K, N)门限方案
• 选取一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1 • 该多项式有K个系数
• 令A0=F(0)=S,即把常数项指定为待分割的秘密 • 其它K-1个系数可随机选取
13.2 SHAMIR门限方案
第13章 秘密共享方案
ppt课件
报告人:
孙宗臣
1
13.1引言
• 有些场合,秘密不能由一个人独自拥有,必须由两 人或多人同时参与才能打开秘密,这时都需要将秘 密分给多人掌管,而且必须有一定人数的掌管秘密 的人同时到场才能恢复这一秘密,这种技术就称为 秘密分割(SECRET SPLITTING) ,也称为秘密共享 (SECRET SHARING)。例如:
• 显然,对于该多项式,只要知道该多项式的K个互不相同的点的函 数值F(XI)(I=1,2,…,K),就可恢复F(X)
• 生成N个子秘密
• 任取N个不同的点XI(I=1,…,N) 并计算函数值F(XI)(I=1,…,N)
• 则(XI, F(XI)), I=1,…,N, 即为分割的N个子秘密
• 显然,这N个子秘密中的任意K个子秘密即可重构F(X),从而可得秘密