基于ElGamal体制的门限秘密共享方案

基于ECC的存在特权集的门限群签名方案董玉蓉【摘要】通过对一种EIGamal类型存在特权集的门限群签名方案的分析研究,提出了一种基于ECC的存在特权集的门限群签名方案.该方案能有效防止KDC的欺诈,且只有在同时满足(t,n)ch,(t1,n1)门限签名时才能生成消息的有效签名,从而实现了门限特性,并具有门限群签名应有的性质.【期刊名称】《微型机与应用》【年(卷),期】2011(030)002【总页数】4页(P89-92)【关键词】特权集;秘密共享;门限群签名;ECC【作者】董玉蓉【作者单位】贵州大学计算机科学与信息学院,贵州贵阳520025【正文语种】中文【中图分类】TP309群签名方案首次由Chanm和VanHeyst于1991年提出。

在群签名方案中，允许每个成员都可以代表整个群体进行签名。

在群签名方案中引入秘密共享，解决密钥安全与有效保管问题的同时也形成了一类新的群签名方案——门限群签名方案，即群体中的某些给定子集可以代表整个群体签名。

在门限群签名方案中，门限群签名是由参加签名的各个成员所签署的部分数字签名按照某种方式结合后产生。

2003年，BELLARE M等人提出了群签名的简化形式定义[1]。

在这之后，不少学者提出的门限群签名方案均采用形式化的方法证明方案的安全性。

参考文献[2]提出良好的门限群签名应该具备以下一些性质：群签名特性、门限特性、不可伪造性、验证简单性、匿名性、可追查性、强壮性。

参考文献[3]中，Chen Feng等人基于Shamir秘密共享体制并结合“存在特权集的门限群签名方案”的思想[4]，构造了一类基于离散对数问题的ElGamal类型的存在特权集的门限群签名方案。

本文利用椭圆曲线密码体制的特点对Chen Feng的方案进行改进。

新的方案与原方案的共同点在于都使用双重秘密共享技术和单签名构造群签名的技术[3]，不同之处在于新方案实现了群成员的加入和撤销，提高了方案的通用性。

椭圆曲线上的向量空间秘密共享方案才宇飞;姜伟;刘焕平【摘要】In this paper, a vector space secret sharing scheme based on elliptic curve is proposed. The scheme expands the secret from the finite field to the elliptic curve. The sub - secret is encrypted by the elliptic curve E1Gamal cryptography to enhance the security. Its security is based on the security of the elliptic curve EIGamal cryptosystem and the intractability of the elliptic curve discrete logarithm problem. Compared with congener schemes, this one does not need security channel to send secret and spends less communication cost with high reliability and small amount of calculation.%基于椭圆曲线提出一个向量空间秘密共享方案．方案中将共享的秘密由有限域拓展到椭圆曲线上．利用椭圆曲线上的ElGamal密码体制加密子秘密，使得秘密具有更高的安全性．其安全性是基于椭圆曲线上的ElGamal密码体制的安全性及椭圆曲线离散对数问题难解性．与同类方案相比，该方案不需要安全信道发送秘密，且花费较小的通信代价，安全性高，计算量小．【期刊名称】《哈尔滨师范大学自然科学学报》【年(卷),期】2012(028)003【总页数】3页(P38-40)【关键词】秘密共享;椭圆曲线;ElGamal密码体制【作者】才宇飞;姜伟;刘焕平【作者单位】哈尔滨师范大学;天津市渤海石油第一中学;哈尔滨师范大学【正文语种】中文【中图分类】TP3090 引言在保密通信中，秘密共享是信息安全和数据保密的重要手段，针对密钥管理中密钥的泄漏问题和遗失问题，Blakley［1］和 Shamir［2］于 1979 年分别独立提出了门限秘密共享体制，由于门限秘密共享体制简单有效和易于实现，因此得到了很多学者的关注并对其进行了大量的研究.Asmuth和Bloom［3］提出了基于中国剩余定理的秘密共享方案，相对于Shamir［2］的方案降低了秘密重构阶段的计算复杂性，同时安全性也降低了.Angsuman Das 和 Avishek Adhikari［4］提出一般接入结构上的秘密共享方案，使其具有更加广泛的应用空间.1989 年，Brickell［5］提出了向量空间秘密共享方案，并且指出Shamir门限方案是向量空间秘密共享方案的特殊情况.2002年，许春香［6］等人提出一个密钥空间为有限域的安全矢量空间秘密共享方案，并对安全性和信息率做了定量分析.由于现代密码分析技术的不断发展，攻击者的计算能力增强，基于有限域的密码体制已经不能满足安全性的需要，越来越多的学者投入到安全性更好的椭圆曲线密码体制的研究，由于椭圆曲线公钥密码体制具有密钥短，加密强度高，存储空间小的优点，学者构造了许多的椭圆曲线秘密共享方案［7-9］.1 预备知识1.1 向量空间访问结构及向量空间秘密共享方案设 P={p1，p2，…，pn}是n个分享者集合，K=GF(q)是一个有限域，分发者D∉P，Kr是K上的r维向量空间.Γ是P上的一个单调访问结构，且r不小于所有最小授权子集的最大基数.称Γ是一个向量空间访问结构，如果存在函数φ:P∪D→Kr，满足性质φ(D)=(1，0，…，0)∈〈φ(pi):pi∈B〉⇔B∈Γ.向量空间秘密共享方案［10］构造如下:首先D向全体参与者公布函数φ，对要共享的秘密S∈K，D定义v1=S，并随机地选取vi∈K，i=2，3，…，r.K 中的一个向量 v=(S，v2，…，vr)，使得S=v·φ(D).其中φ(D)=(1，0，…，0)，把si=v·φ(pi)的值作为子秘密份额秘密发送给每个参与者pi，如果B={p1，p2，…，pl}是一个授权子集，则存在K中的一个向量λ =(λ1，λ2，…，λl)，满足，其中“·”表示向量的数量积(内积)，则有从而对于B中的参与者来说，秘密S由他们所共享的子秘密si的线性组合来恢复.1.2 模素数的椭圆曲线定义1 有限域Zp上的椭圆曲线E(Zp)是定义在仿射平面上的三次方程y2≡(x3+ax+b)modp的所有解(x，y)∈Zp×Zp与无穷远点O构成的并集，记为其中:p为素数，p ＞ 3，a，b∈Zp，且4a3+27b2≠0.E上的点数记为#E，它满足不等式E上的加法运算定义如下:假设P=(x1，y1)，Q=(x2，y2)是 E 上的点.如果 x1=x2且y2=-y1，则 P+Q=O;否则 P+Q=(x3，y3)，其中且可以证明，椭圆曲线上的点关于点的加法构成阿贝尔群.如果P=(x，y)，k是一个整数，那么点P的阶是满足nP=O的最小的正整数，记为l.定义2 给定一个有限域Zp上的椭圆曲线E(Zp)，P∈E(Zp)，点P的阶为大素数l，对于给定点R ∈〈P〉，计算整数n∈［1，l］，满足 nP=R.称为椭圆曲线离散对数问题(ECDLP).2 椭圆曲线上的向量空间秘密共享方案假设 P={p1，p2，…，pn}是n个参与者的集合，E(Zp)是有限域Zp上的椭圆曲线，G是一个l(l是一个大素数)阶的E(Zp)上的基点，且〈G〉上的椭圆曲线离散对数问题是难解的.所要共享的秘密S∈E(Zp)，Γ是P的一个向量空间访问结构，φ:P∪ D→是相应的函数，公开参数φ(pi)=(ai1，ai2，…，air)，φ(D)={1，0，…，0}.首先每个参与者pi选取ai∈［1，l］，计算βi=aiG，ai作为私钥，βi公开.其次分发者D选取a∈［1，l］，计算β =aG，a作为私钥，β 作为公钥，分发者要保证βi≠ βj(i≠ j)，β ≠ βi，i，j=1，2，…n.2.1 秘密份额的分发(1)分发者D任意选取数x2，…，xr∈，令v=(S，x2G，…，xrG)∈ (Zp× Zp)r，所共享的秘密S=v·φ(D).(2)分发者计算si=v·φ(pi)=ai1S+ai2x2G+ … +airxrG，i=1，2，…，n，si为参与者pi的子秘密共享.(3)分发者选取k∈，对于每个 si=(six，siy)，计算公开 C1，C2i，i=1，2，…，n.2.2 秘密的恢复为了恢复秘密S，不妨假设B={p1，p2，…，pl}是授权子集，则存在Zp上的向量使得又因为C2i-aiC1=si(见后文可行性分析)，所以授权子集中的成员用自己的私钥ai 即可求得si，再由B中的所有参与者提供的子秘密si就可恢复秘密S，3 方案分析(1)可行性分析.令 xiG=(mi，ni)，i=2，…，r则向量参与者共享的秘密恢复秘密时，设授权子集 B={p1，p2，…，pl}∈Γ，则，其中λ =(λ1，λ2，…，λl)，由于所以授权子集中的成员用自己的私钥ai即可求得 si，秘密(2)本方案的安全性是基于椭圆曲线离散对数问题难解性及椭圆曲线上的Elgamal 密码体制的安全性.采用椭圆曲线上的Elgamal密码体制对子秘密si进行加密，提高了安全性能，计算简单.已知C1，试图从C1=kG中得到整数k是不可能的，同样，已知 C2i，试图从C2i=si+kβi中得到si是不可能的，因为k是未知的. (3)当要保存新的秘密S'时，只需分发者D重新选择xi∈R(Zp)*，i=2，…，r再计算参与者的子秘密si'，按照以上的步骤进行，公开C1'，C2i'.而不需要改变分发者和参与者的公钥和私钥.4 结论基于椭圆曲线提出了一个更具安全性，实用性的向量空间秘密共享方案.无需安全信道传输，也减少了通信代价.椭圆曲线密码体制使秘密共享建立在椭圆曲线离散对数难题上，提高了安全性能.再接下来的研究中，会考虑无可信中心的秘密共享方案.参考文献［1］ Blakley G R.Safeguarding Cryptographic Keys［A］.Proc.AFIPS 1979 National Computer Conference，1979:313-317.［2］ Shamir A.How to Share a Secret［J］.Communications of the ACM，1979，22(11):612-613.［3］ Asmuth C.，Bloom J.A Modular Approach to Key Safeguarding ［J］.IEEE Transactions on Information Theory，1983，29:208-210.［4］ Das A.，Adhikari A.An Efficient Mult-use Multi-secret Sharing Scheme Based on Hash Function［J］.Applied Mathematics Letters，2010，23:993-996.［5］ Brickell E F.，Some Ideal Secret Sharing Schemes［J］.Journal of Combinatorial Mathematics and Combinatorial Computing，1989，9:105-113.［6］许春香，陈凯，肖国振.安全的矢量空间秘密共享方案［J］.电子学报，2002，30(5):715-718.［7］殷春梅，汪彩梅.一种基于椭圆曲线的多密钥共享方案［J］.合肥工业大学学报，2006，29(4):392-394.［9］肖立国，钟诚，陈国良.基于椭圆曲线密码体制的动态秘密共享方案［J］.微电子学与算机，2002(1):30-31.［10］Stinson D R.密码学原理与实践［M］.冯登国等译，3版.北京:电子工业出版社，2010.。

基于ElGamal体制的门限密钥托管方案
曹珍富;李继国
【期刊名称】《计算机学报》
【年(卷),期】2002(025)004
【摘要】该文基于ElGamal密码体制提出了一个门限密钥托管方案.这个方案不仅有效地解决了"一次监听,永久监听"问题,而且每个托管代理能够验证他所托管的子密钥的正确性,并且在监听阶段,监听机构能够确切地知道门限密钥托管方案中哪些托管代理伪造或篡改子密钥.由于该方案是门限密钥托管方案,所以在各托管代理中有一个或几个托管代理不愿合作或无法合作时,监听机构仍能很容易地重构出会话密钥.此外,还具有抵抗LEAF反馈攻击的特性.
【总页数】5页(P346-350)
【作者】曹珍富;李继国
【作者单位】上海交通大学计算机科学与工程系,上海,200030;哈尔滨工业大学计算机科学与工程系,哈尔滨,150001
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于ElGamal公钥体制的动态密钥托管方案 [J], 房伟;闫鸿滨
2.基于ELGamal密码体制的安全密钥托管方案 [J], 张文娟;张锦华
3.基于ElGamal公钥体制的动态(k,n)门限密钥托管方案 [J], 谢丽丽;张龙;刘绍武;
柯品惠
4.基于椭圆曲线密码体制的动态(k,n)门限密钥托管方案 [J], 谢丽丽;张龙;刘绍武
5.基于椭圆曲线密码体制的门限密钥托管方案 [J], 何业锋;张建中
因版权原因，仅展示原文概要，查看原文内容请购买。

elgamal公钥密码体制
摘要：
I.简介
- 公钥密码体制的定义
- ElGamal 公钥密码体制的提出背景
II.ElGamal 公钥密码体制的基本原理
- 加密和解密过程
- 数字签名和验证过程
III.ElGamal 公钥密码体制的安全性
- 密钥生成和分发
- 攻击模型的分析
IV.ElGamal 公钥密码体制的应用
- 电子商务领域的应用
- 安全通信领域的应用
正文：
ElGamal 公钥密码体制是一种非对称加密算法，由Taher ElGamal 于1985 年提出。

该体制基于离散对数问题的困难性，相较于RSA 密码体制，ElGamal 密码体制在相同安全级别下具有更小的密钥长度。

ElGamal 公钥密码体制的基本原理包括加密和解密过程、数字签名和验证过程。

在加密过程中，发送方使用接收方的公钥对明文进行加密；在解密过程中，接收方使用自己的私钥对密文进行解密。

数字签名过程类似于加密过程，
发送方使用接收方的公钥对自己发送的消息进行签名，接收方则使用发送方的私钥对签名进行验证。

ElGamal 公钥密码体制的安全性主要依赖于密钥生成和分发。

密钥生成过程中，用户需要选择一个大于1 的素数p，并在模p 意义下找到一个随机数x，通过计算得到公钥和私钥。

密钥分发过程中，发送方需要将公钥发送给接收方，而私钥则需要妥善保管，以防止泄露。

尽管ElGamal 公钥密码体制在电子商务领域和安全通信领域有着广泛的应用，但由于其密钥长度相对较小，容易受到暴力破解攻击。

因此，研究者们针对该体制提出了许多改进方案，以提高其安全性和抵抗攻击的能力。

shamir 原理简单介绍
Shamir的门限方案是一种基于拉格朗日插值多项式的密码学方案，用于实现秘密共享。

其基本原理是将一个秘密密钥切分成多个部分，并分发给不同的参与方。

当满足指定的门限条件时，参与方才能合作将密钥还原出来。

这样做的好处是即使有部分参与方失效或者被攻击，仍然可以保证密钥的安全性。

Shamir门限方案的核心原理是将秘密密钥作为常数项，构造一个t-1次多项式，其中t是门限值。

然后选择一个有限域和t-1个随机数作为插值多项式的系数，在每个参与方上计算对应的多项式值，并将其作为该参与方的私密分享。

通过任意t个参与方的合作运算，可以通过插值多项式重建密钥。

Shamir门限方案具有很高的安全性，因为即使少于t个参与方联合也不能得到共享秘密的任何信息。

此外，Shamir门限方案还具有灵活性和可扩展性，可以根据实际需求调整门限值和参与方数量。

基于iOS终端的SM2移动密码系统邓高宇;龙毅宏【摘要】本文提出并实现了一种基于iOS移动终端的SM2移动密码系统方案,在iOS移动终端提供基于秘密共享的SM2签名功能.此系统针对SM2私钥进行秘密共享,将SM2私钥秘密份额分别存储在移动终端和密码服务器上.在应用程序需要使用SM2私钥进行数字签名时,移动终端和密码服务器分别使用SM2私钥秘密份额进行密码运算,最后将密码运算的结果组合实现SM2数字签名.本文提出的针对SM2私钥的秘密共享方案,使用户能够基于iOS移动终端安全地使用SM2私钥.【期刊名称】《软件》【年(卷),期】2018(039)002【总页数】4页(P28-31)【关键词】SM2;移动终端;秘密共享【作者】邓高宇;龙毅宏【作者单位】武汉理工大学信息工程学院,湖北武汉 430070;武汉理工大学信息工程学院,湖北武汉 430070【正文语种】中文【中图分类】TN918.910 引言SM2椭圆曲线公钥密码算法于 2010年首次公开发布，2012年成为中国商用密码标准，2016年成为中国国家密码标准。

迄今为止与SM2算法相关研究表明，SM2算法的可证安全性达到了公钥密码算法的最高安全级别[1]，其实现效率相当于或略优于一些国际标准的同类椭圆曲线密码算法[2-5]。

2013年，孙荣燕，蔡昌曙，周洲[6]等人对SM2数字签名算法与 ECDSA算法进行了对比与分析研究，对ECDSA-SM2算法的数字模型进行了正确性证明。

2016年，陈泽凯[7]实现了一个基于身份的SM2椭圆曲线数字签名方案SM2-IBS，具有效率高、签名长度短、不依赖PKI等特点。

随着4G、WLAN、传感器等无线网络的普及，使用移动终端逐渐成为用户访问网络处理业务（包括网络通信、电子支付、网上银行等）的重要手段[8]。

而在移动终端上使用公钥密码私钥如SM2私钥时，最重要的一点就是保障用户私钥存储、使用的安全。

目前在移动终端对用户私钥进行有效保护的手段主要有两种：一种是采用USB密码钥匙（USB key）作为客户端装置来存储私钥[9]，此种方式给用户带来了使用成本，而且使用也不方便；另一种方式是使用移动终端内置密码芯片来存储私钥并进行密码运算，然而内置密码芯片的移动终端应用不广，市面上绝大部分手机都不自带密码芯片，且目前不存在支持SM2密码运算的手机密码芯片。