一个可公开验证秘密共享方案的安全性证明
基于向量空间上的公开可验证秘密共享方案
第2 7卷
1 预 备 知识
( )秘 密共享体 制 的数 学模型 。一个秘 密共享体 制 由秘 密分发者 、 1 参与者 集合 、 入结构 、 接 秘密空 间 , 份
接入 结构 的 , 但是 门限接 入 结构 有一 定 的局 限性 , 它要 求参 与者 的 地位 、 利 、 全 性 和 可 靠性 完全 同等 , 权 安 事
实上 各参 与者 所起 的作 用并不 完全 对等 ; 出 了一 个基 于向 量 空 间的 公 开 可验 证 秘 密共 享方 案 , 个 方案 提 这 是基 于 离散 对数 求 解的 困难性 , 且具 有公 开 可验证 的属 性 , 因此 不仅 参 与 者 能验证 自己的份 额 , 任何 实体都 能验证 参 与者 的份额 ; 已有 的公 开可验证 秘 密共 享方 案相 比 , 方案 实现 简洁 、 与 该 高效 , 用价值 更 为广泛 。 应
秘密共 享方 案简 洁 、 效 的特点 。 高
收 稿 日期 :00— 7—1 ; 回 日期 :0 0— 9— 1 21 0 5修 21 0 2.
作者 简介 : 辛利 (94 一) 女 , 17 , 陕西省长安区人 , 讲师 , 硕士 , 从事计算机应用 、 信息 安全研究
58 9
重 庆 工 商大 学学 报 (自然 科 学版 )
两个 P S V S方案 , 允许 任何 人验证 秘 密分发 者分 发 给参与 者 的秘密 份额 是否 有 效 , 而不 泄露 共享 的秘密 和参 与者 持有 的秘密 份额 。P S V S方案 不仅 可 以防止秘 密分 发 者 的欺 骗 , 可 以防 止参 与 者 的欺 骗 , 系统提 供 还 为
第2 7卷第 6期
Vo_ 7 N0. l2 6
几种秘密共享方案的研究_硕士学位论文
关键词:秘密共享;可公开验证;齐次线性递归;元胞自动机
Abstract
Secret sharing is an important tool for protecting the information and data. Secret sharing is used for protecting important information and data from beinglost, destroyed or falsified.Secret sharing has been one important branch of cryptography and one important research field of information security.This article illustratesthe research advancesof secretsharing technology, based on which several secure and efficent secret sharing schemes are proposed.This article has finished the following work:
可公开验证秘密共享是一种特殊的秘密共享,由分发者分发的秘密份额不仅能被份额持有者自己验证,而且可以被其他任何成员验证。然而,对于一般的可公开验证秘密共享,敌手可能使用很长的时间,攻破门限个份额服务器,获得秘密。为了解决这个问题,提出了第一个具有前摄能力的可公开验证的秘密共享方案,不仅能够可公开验证份额的正确性,而且具有份额定期更新的性质,这使得方案比其它一般可公开验证秘密共享方案更安全,能够更好地满足各种应用的安全需求。
一种安全的公开可验证门限多秘密共享方案
一种安全的公开可验证门限多秘密共享方案
刘佳;韩文报
【期刊名称】《计算机工程》
【年(卷),期】2009(35)1
【摘要】基于大整数分解以及离散对数问题的难解性,使用非交互的零知识证明协议,以Shamir共享体制为基础提出一种公开可验证的门限多秘密共享方案.分发者给每个参与者分发子秘密的有效性可以被任何人验证.在恢复秘密的时候,参与者只需要提供子秘密的一个影子来恢复秘密,由于影子难以得到子秘密,因此可以通过一组子秘密共享多个秘密.子秘密的影子的有效性也可以被其他参与者验证.该方案不但安全、高效,而且可以有效地防止分发者欺骗和参与者欺骗.
【总页数】3页(P24-26)
【作者】刘佳;韩文报
【作者单位】解放军信息工程大学信息工程学院,郑州,450002;解放军信息工程大学信息工程学院,郑州,450002
【正文语种】中文
【中图分类】TP393
【相关文献】
1.一种基于双线性对的公开可验证多秘密共享方案 [J], 张柄虹;张串绒;焦和平;张欣威;高胜国
2.一种可验证的(t,n)门限秘密共享方案 [J], 史英杰
3.一种基于大数分解和求解离散对数的可验证(k,n)门限秘密共享方案 [J], 马春波;何大可
4.可验证的(t,n)门限秘密共享方案及其安全性 [J], 庞辽军;李慧贤;王育民
5.公开可验证的门限秘密共享方案 [J], 石润华;仲红;黄刘生
因版权原因,仅展示原文概要,查看原文内容请购买。
一种可验证的门限多秘密共享方案的设计与实现
华中科技大学硕士学位论文一种可验证的门限多秘密共享方案的设计与实现姓名:***申请学位级别:硕士专业:信息安全指导教师:***20090526华中科技大学硕士学位论文摘要随着计算机网络技术的快速发展和电子商务、电子政务的兴起,对重要信息、敏感信息的保护越来越受到整个社会的高度重视。
秘密共享是实现信息安全和数据保密的重要手段之一,它将责任进行分散,提高系统的安全性和健壮性。
在论述了门限秘密共享的产生以及目前国内外的发展状况的基础上,仔细研究分析了门限秘密共享方案、可验证的秘密共享方案和可验证的多秘密共享方案的优点和不足。
针对这些方案中存在的问题和不足,利用RSA 公钥密码算法理论设计了一种可验证的门限多秘密共享方案,并对其安全性进行了分析。
该方案具有以下特点:秘密共享的参与者能够对秘密分发者分发的可验证份额进行验证,防止秘密分发者试图分发假的可验证份额对参与者进行欺诈。
各合格子集中的参与者成员,能够对彼此提供的秘密子份额进行相互验证,防止了不诚实的参与者企图通过提供假的子份额对其他参与秘密恢复的成员的欺诈。
秘密分发者可以动态增加共享的秘密,秘密分发者不需要重新进行可验证秘密份额的分发,各参与者的可验证秘密份额可以重复使用,每个参与者只需保护好一个可验证秘密份额就可以共享多个秘密。
此外,探讨了方案所涉及的一些基本理论,如RSA 公钥密码算法、生成元的求解方法、伪随机数发生器、大素数的选择算法等。
在Windows XP 系统下,借助VC++ 6.0 开发工具和Oracle 9i 数据库建立了该方案的原型系统,试验结果表明,方案是正确和可行的,同时具有很好的安全性和健壮性。
最后进行了总结和展望。
关键词:秘密共享,RSA 公钥算法,可验证秘密共享华中科技大学硕士学位论文AbstractWith the rapid development of computer Network Technology and the rise of e-commerce and e-government, the protection of sensitive information and important information is increasingly attached great importance to society as a whole. Secret sharing is one of the important means to achieve information security and data confidentiality, with it the responsibility dispersed, the system security and robustness can be improved.Based on the discussion of the threshold secret sharing of the produce and the current state of development at home and abroad, careful analysis of the threshold secret sharing scheme, verifiable secret sharing scheme and the number of verifiable secret sharing scheme of the strengths and weaknesses of. Programs for these problems and lack of use of RSA public key cryptographic algorithm, a theoretical threshold verifiable multi-secret sharing scheme and its security analysis. The program is characterized by the following:Secret sharing of the participants were able to distribute the secret share distribution of the secret for authentication, to prevent the Density distribution of the distribution of false attempt to share the secret of the participants in fraud.Members of the various participants in the secret recovery phase, can provide the secret of each other sub-share for mutual authentication to prevent participants in the dishonest attempt to leave through the provision of sub-share participation of other members of the secret fraud recovery.Dynamic secret can increase the distribution of shared secret, the secret is no need for re-distribution of secret distribution, the participants share the secret can be re-used, just to protect each participant shares a secret can be shared on a number of secrets.In addition, the program explored some of the basic theory, such as the RSA public key cryptography algorithm, the solution generator, pseudo-random number generator, large prime numbers, such as the choice of algorithm. In the Windows XP system, using VC++ 6.0 development tool and Oracle 9i database to establish a prototype system of the华中科技大学硕士学位论文program, test results show that the program is correct and feasible, at the same time has good security and robustness. Finally, a summary and outlook.Key words:Secret sharing,RSA public key algorithm,Verifiable secret sharing独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。
可公开验证可更新的多秘密共享方案
第3 0 卷第 1 2期
2 0 1 3年 1 2月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f C o mp u t e r s
Vo 1 . 3 0 No . 1 2 De e .2 0 1 3
可 公 开 验 证 可 更 新 的 多 秘 密 7 4 4 - 吉 子 方 案
S H A N G X u e - j i a o , D U We i — z h a n g
( C o l l e g e o f C o m p u t e r &C o mm u n i c a t i o n E n g i n e e r i n g,C h a n g s h a U n i v e r s i t y fS o c i e n c e& T e c h n o l o g y ,C h a n g s h a 4 1 0 1 1 4, C h i n a )
D u b 1 i c i n f o r ma t i o n.a n y o n e c o u l d v e r i f y t h e v a l i d i t y o f s e c r e t s h a r e s a n d r e n e w e d s h a r e s .C h e a t i n g o f d e a l e r a n d p a r t i c i p a n t s c o u l d b e d e t e c t e d i n t i me .U n d e r t h e a s s u mp t i o n s o f e l l i p t i c c u r v e d i s c r e t e l o g a r i t h m p r o b l e m f EC DL P)a n d c o mp u t a t i o n a l
一个公开可验证的秘密共享新个体加入协议
加入协议。在 改进 的协议 中, 任何人都可公开验证新 加入 个体秘 密份额 的正确 性, 弥补 了原协 议 的安全 缺 陷。经 过分析 与验 证 , 改
进 的协 议 是 正 确 且 安 全 的 。 关 键 词 秘 密共 享 新个 体 加 入 公 开 可 验 证
A PUBLI CLY VERI ABLE ECRET FI S SHARI NG NEW EM BER M EXPANSI oN PRoTo CoL
的基 础 上 给 出 了一 种 改 进 的 秘 密 共 享 新 个 体 加 入 协 议 , 协 议 该
1 1 S a r门限秘 密 共享 方案 . h mi
Sa r hmi …提 出了一个基 于 L g n e ar g 插值 的 ( ,)门限秘密 a tn 共享方 案。 方案用 P , P 一, 表示 n个参与秘密共享 的成 。P , P 员。 在有限域 G ( ) q是大素数 )上 , Pq ( 构造 一个 t一1 多项式 次
秘密共享方 案就是一 个秘密被 分割成 n个份额 , 分发 给 再
n个参 与者 , 大于 或 等于 t 个参 与 者 能够 合 作 恢 复 出该 秘 密。 17 99年 , 文献 [ ] 1 和文 献 [ ]各 自提 出 了一种 ( ,n 秘 密 分割 2 t ) 门限方案以解 决秘密共 享问题 。在实际应 用 中 , 密份额持 有 秘 者往往会频繁更新 , 需要重 新分发 秘密 份额来更 新参 与者 的秘 密份额 , 因而 , 设计 一种安全且高效的为新加入个体 产生并分配 秘密份额 的方 法在实际应用 中需求极为迫切 。 已有 方案 中 , 文献 [ ] 出 了一 种秘 密共享 新 个体 加入 协 3提 议, 该协议具有无需 可信 中心 , 无需 改动 原有 秘 密份 额 , 仅需 t 个成员合作 ( 为门限) 6 次广播 等优点 。文献 [ ] 文献 [ ] t ,z 4在 3
一个可公开验证和前向安全的签密方案
1引言1997年文献[1]提出了签密的概念,并给出了一个具体的签密方案。
由于签密比先签名再加密的常规消息传递的代价要小得多,所以非常适合大量数据的认证安全传递。
又因为签密的节省代价与方案中采用的安全参数的长度成正比,当取较大的安全参数时,签密方案的安全性能更佳[2]。
基于身份的密码体制最初是由文献[3]提出,但直到2001年才由文献[4]利用Weil Pairing和Tate Pairing给出了一个很好的实现方案。
2002年文献[5]定义了基于身份的签密方案的安全模型,利用双线性对构造了第一个基于身份的签密方案,该方案提供了消息的保密性和签名的不可伪造性。
文献[6]提出了3个新方案,然而在这3个方案中,没有一个方案能同时满足公开验证性和前向安全性。
文献[7]提供了公开验证性和前向安全性,然而方案同时也有一些不好的特性,如密文的无关联性和匿名性。
文献[8]设计了一个能同时满足公开验证性和前向安全性的签密方案,然而他们的方案需要两个私钥:一个用于签密,一个用于解签密。
该文利用双线性对提出了一个新的基于身份的签密方案,该方案可以在基于身份的密码体制中运行,能够将数字签名和加密有效地结合起来,可以使接受者在不作任何转换的情况下由任意第三方来验证密文消息的来源并可以独立进行签名验证和消息恢复,具有很好的应用前景。
此外,方案效率也非常高。
2基于身份的签密方案的形式化定义采用Malone-Lee定义的基于身份的签密方案的安全概念。
这些概念是语义安全的,即具有在适应性选择密文攻击下不可区分性和在适应性选择消息攻击下不可伪造性。
2.1基于身份的签密方案的组成一个基于身份的签密方案由以下几个算法组成:(1)系统初始化算法(Setup):此算法由PKG完成,PKG输入安全参数k。
输出系统主密钥s和系统参数params,PKG保密s,公开系统参数params。
(2)密钥生成算法(Extract):用户U将其身份信息ID U提交给PKG,PKG计算用户公钥Q U=H0(ID U)和私钥S U=sQ U并通过安全方式发送给这个用户。
一个可公开验证的多重秘密共享门限方案
l)门 限 秘 密 共 享 方 案 ,可 以 共 享 多 个 秘 密 .
[
1]
任何在实际中应用的密码方案及其 算 法 都 应 该 具 有 抵 抗 攻 击 的 能 力,Shami
r秘 密 共 享 方 案 和 其 他
秘密共享方案是在秘密分发者和参与者都可信的前提假设下设计的,这样就导致了秘密共享方案在实际应
收稿日期:2019 07 01
基金项目:贵州省教育厅青年科技人才成长项目(黔教合 KY 字[
2016]
130;贵州省科学技术基金项目 (黔科合 J字[
2014]
2125 号 );国
家自然科学基金项目(
61462016).
作者简介:蔡兆政,硕士,主要从事编码理论和密码学的研究 .
通信作者: 包小敏,博士,教授 .
与 者 联 合 可 以 重 构 多 项 式 ,得 到 的 常 数 项 即 为 分 享 的 秘 密 .反 之 ,任 何 小 于t 个 参 与 者 的 集 合 不 能 重 构
多 项 式 ,从 而 不 能 获 得 秘 密 .文 献[
2]利 用 线 性 投 影 几 何 原 理 的 性 质 构 造 的 门 限 方 案 ,t 个t-1 维 超 平
案 ,但 是 该 方 案 需 要 将 子 秘 密 通 过 秘 密 信 道 发 送 给 参 与 者 ,在 动 态 秘 密 共 享 情 形 下 ,秘 密 共 享 者 的 工 作
量较 大 ,同 时 维 护 秘 密 信 道 增 加 了 通 信 开 支 .本 文 提 出 了 一 个 安 全 有 效 的 可 公 开 验 证 的 (
t,n)多 重 秘 密
[
17]
,不 需 要 维 护 秘 密 信 道 而 增 加 通 信 成 本 ;计 算 的
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有 U i 才能从 h xi f (i ) 中解密出 h f (i ) 。这一子密钥加密方法具有同态性,所以任何人都可以 验证各个加密子密钥的一致性(这隐含了子密钥的一致性)。 一、初始化阶段
p , q 和 G 是公开的已知参数。 全部(或部分)成员执行某种合适的性协议(比如[14])以确 定乘法群 G 的两个独立生成元 g 和 h 。这样,无人知道 g 相对于 h 的离散对数。另外,各
X i = g f (i ) , Yi = yif (i ) .
其中的 X i ,任何人都可根据公开的、庄家对多项式 f ( x) 的各系数的承诺 C j 来计算:
X i = ∏ C ij .
j =0 t −1
j
(2)
为此,采用 Fiat 和 Shamir 的办法[15]构作此证据。对于每个 i ∈ {1, 2, L, n} ,庄家 D 选取随
S i = Yi
xi−1 mod q
(= h f (i ) ).
(5)
随后, U i 执行非交互的 DLE(h, yi ; S i , Yi ; xi ) 协议, 并将 Si 和 proofU i 一起公布, 以证明 Si 确 也就是说 U i 向所有人证明他知道 xi (但并不泄露 xi 是多少), 使 实是他从 Yi 中解密出来的。 得 yi = h xi 且 Yi = S ixi 。 (3-2) 恢复密钥:若至少有 t 个成员 U i ( i ∈ B ⊆ {1, 2, L, n} 且 | B |= t )已正确地恢复了子密钥
二、离散对数的知识证明协议
知识证明协议,尤其是基于离散对数的知识证明协议, 在现代密码学中得到了广泛应 用[12]。本节简要地回顾由 Chaum 和 Pedersen 所提出的一个著名的非交互式协议[13],我们 将其简记为 DLE( g1 , h1 ; g 2 , h2 ;α ) 协议。其中 g1 , g 2 , h1 , h2 是 q 阶乘法群 G 的四个公开生成 元( q 是素数), H 是一安全的 hash 函数。证明者 P 拥有一个秘密参数 α ∈ Z q 使得
3
机数 wi ∈R Z q 并计算:
a1i = g wi , a 2i = y i i .
w
然后利用 X i , Yi , a1i , a2i 计算公共的质询值(challenge) c 如下:
c = H ( X 1 || L || X n || Y1 || L || Yn || a11 || L || a1n || a 21 || L || a 2 n ) . ri = wi − f (i )c mod q . 至此,庄家 D 可以构作并公布如下的知识证据: PROOFD = (c, r1 , r2 , L , rn ) .
r c r c c ≡ H ( g1 h1 || g1 h2 ) .
(1)
三、Schoenmakers 的可公开验证秘密共享方案
Schoenmakers 提出的 PVSS 方案[11]由三个阶段组成, 其中使用了第二节所介绍的 DLE 协议。系统的参与者是庄家 D (Dealer, 即秘密密钥的持有者),以及群体 U (| U |= n) 中的各 个成员 U i (1 ≤ i ≤ n) 。t 是门限值。G 是阶为素数 q ( q > n )的任意乘法群, p 是大素数且有
摘
要:可公开验证的秘密共享(PVSS)是一种特殊的秘密共享体制。在这种方案中,
任何人(不一定是系统中的成员)既可以在秘密分发阶段验证庄家是否给各个成员分发了正 确的子密钥, 又能在秘密恢复阶段验证每个成员是否提供了真实的子秘密; 而且也不需要 假设庄家和各成员之间有秘密信道。 在 1999 年的美洲密码会议上, B. Schoenmakers 提出了 一个基于离散对数的 PVSS 方案。 本文从理论上证明该方案的安全性, 结果表明: 该方案中 的子密钥加密算法的安全性等价于 Diffie-Hellman 假设: 且若 Diffie-Hellman 假设成立, 则 任何 (t − 1) 个成员利用他们的子秘密都不能恢复出秘密密钥。同时, 我们还指出整个方案 的安全性显著地依赖于两个系统参数的相互独立性。 关键词:秘密共享 可公开验证秘密共享 Diffie-Hellman 假设 密码学
(3)
这里的||表示两个比特串的连接。然后,按下式计算出对各成员 U i 的应答(response) ri :
(2-3) 子密钥的验证: 任何人(当然包含各成员)都可利用公开信息 C j (0 ≤ j ≤ t − 1) 按(2)式 计算出 X i ,然后再利用公开信息 yi , Yi , ri (1 ≤ i ≤ n) 及 c 验证所有成员收到的加密子密钥是 否有效。首先计算 Z q 。庄家保密多项式 f ( x) ,计算并公布以下的承诺 C j 和加密子密钥
(encrypted shares) Yi :
Cj = g
aj
,
j = 0, 1, L, t − 1;
Yi = yif (i ) , i = 1, 2, L, n.
(2-2) 构作证据:现在,要做的就是构作知识证据,以便使各成员相信他们收到的加密子 密钥 Yi 是有效的、一致的,即满足:
一、引 言
秘密共享(Secret Sharing)是一种分发、保存、恢复秘密密钥(或其它秘密信息)的方法: 将秘密密钥拆分成一系列相互关联的秘密信息(称为子密钥或影子密钥),然后将子秘钥分 发给某群体中的各个成员;使得某些小组(授权集)中的各成员拿出他们的子密钥后,就可 利用既定的方法恢复该秘密密钥,而其他小组(非授权集)则无法恢复该密钥。秘密共享也 称为秘密分存,密钥共享或密钥分存。在现实系统中使用秘密共享方案,可以防止系统密 钥的遗失、损坏和来自敌方的攻击,减小密钥持有者(个人或服务器)的责任,同时还可以 降低敌手破译密钥的成功率。 秘密共享首先由著名密码学家 Shamir [1]和 Blakley [2]提出。Shamir 的方案简单、实用, 得到了广泛的引用。Shamir 的方案属于 (t , n ) 门限秘密共享方案,即任何不少于 t 个成员的 小组都可以恢复秘密密钥。Shamir 门限方案是完善的秘密共享[1, 3],但在 Shamir 的秘密共 享方案中有两个问题: (1) 庄家的诚实性问题:为防止庄家将错误的子密钥分发给部分或全部成员,各成员 如何验证庄家发送来的子密钥是正确的(即与其他密钥一致,从而可用来恢复秘密 密钥)? (2) 成员的诚实性问题:在恢复秘密密钥阶段,若某些恶意成员提供了假的子密钥, *
* 作为其私钥,而将 成员 U i 随机选择一 xi ∈R Z q
yi = h xi
注册为其公钥。 二、秘密分发、验证阶段 (2-1) 分发秘密:庄家 D 随机选取 s ∈R Z q ,将
S = hs ∈ G
j 1 作为秘密进行分发。为此,选取一个次数最多为 (t − 1) 的多项式 f ( x) = ∑tj− =0 a j x ,其中
2
w w (1) P 随机地选取 w ∈R Z q ,计算 a1 = g1 ,a2 = g 2 , c = H ( a1 || a 2 ) 和 r = w − αc mod q 。
然后,P 公开 proof P = (r , c) 作为他知道秘密参数 α 的证据。 (2) 利用证据 (r , c) ,V 根据以下恒等式是否成立来决定是否相信 P 知道秘密参数 α :
a1i = g ri X ic , a2i = yi i Yic .
r
(i = 1, 2, L, n)
(4)
然后验证(3)式是否成立。若成立,则表明庄家分发密钥成功,否则各成员可提出异议,庄 家 D 分发密钥失败。 三、密钥恢复阶段 (3-1) 加密子密钥脱密:利用私钥 xi ,各成员可以从加密子密钥 Yi 中计算出子密钥 Si
log g1 h1 = log g 2 h2 = α , 也即 h1 = g1α 且 h2 = g 2α .
证明者 P 使验证者 V 相信他确实拥有秘密参数 通过执行以下的 DLE( g1 , h1 ; g 2 , h2 ;α ) 协议, α 但并不泄露 α 的值是多少。
DLE( g1 , h1 ; g 2 , h2 ;α ) 协议
一个可公开验证秘密共享方案的安全性证明*
王贵林 1, 2 卿斯汉 1 马恒太 1
1) 中国科学院,信息安全技术工程研究中心,北京,100080。 2) Laboratories for Information Technology, 21 Heng Mui Keng Terrace, Singapore 119613. Email: wangguilin@
本文的研究得到国家重点基础研究发展规划 973 项目 (G.1999035810) 和国家自然科学基金项目 (60083007)的资助。 1
其他成员如何鉴别? 对这两个问题的研究,就促成了可验证秘密共享 (Verifiable Secret Sharing,简记为 VSS)。首次提出这种思想和实现方案的是文献[4],而 Feldman 的工作[5]则使这种特殊的秘 密共享方案受到了众多密码研究者的重视。随后,Pedersen [6, 7]给出了更为简洁、实用的方 案。在 Pedersen 的方案中,不仅象 Shamir 的方案中一样利用多项式分发子密钥;庄家还公 布对该多项式各系数的承诺,使得成员接到庄家分发来的子密钥时,可以利用这些承诺验 证他收到的子密钥是否正确;而在密钥恢复阶段,各参与成员也可利用同样的办法验证其 他成员所提供的子密钥是否正确。VSS 在安全多方协议的设计中起着重要作用[8]。 在 VSS 中, 如果各成员接收到的子密钥都是正确的, 则各授权集所能恢复的密钥就是 相同的;如果再假设庄家是诚实的,则该密钥就是庄家要共享的秘密密钥。但是,无论在 Shamir 的一般秘密共享方案中, 还是在 VSS 方案中, 都需要假设庄家和各成员之间有秘密 信道(private channel), 以便分发子密钥。 另外, 在秘密的分发阶段, 就算是对非交互的 VSS 来说,各成员也只知道自己所收到的子密钥是否有效,而不知道其他成员的子密钥是否有 效。克服这两个缺点的办法就是采用以下更特殊的秘密共享方案。 第一个 VSS 方案[4]具有这样的特殊性质:任何人(不一定是系统成员)都可以验证庄家 是否给各成员分发了正确的子密钥。这种秘密共享称为可公开验证秘密共享 (Publicly Verifiable Secret Sharing, 简记为 PVSS)。但第一个认识到这一特点,并由此提出可公开验 证的秘密共享这一概念的人是 Stadler[9]。正是由于在这种方案中,任何人(不一定是系统中 的成员)都可以验证各个成员是否接收到了正确的子密钥, 由此不仅解决了庄家的诚实性验 证问题; 更为重要的是, 庄家也不再需要通过秘密信道给各成员分发子密钥。 随后, Fujisaki [10] 而 Schoenmakers 在[11]中提出了最新、 和 Okamoto 提出了一个可证明安全的 PVSS 方案 。 最简洁的 PVSS 方案,并指出:与常规的 VSS 方案不同,PVSS 可用于设计新的密钥托管 系统(escrow cryptosystems)、 可撤消匿名性(revocable anonymity)的电子支付协议及电子选举 协议等。 在文献[11]中,Schoenmakers 没有对他的 PVSS 方案给出详细的安全性证明,而本文 从理论上证明了该方案的安全性:该方案中子密钥加密算法的安全性等价于 DiffieHellman 假设(而文献[11]中只给出了一个方向的结论);且若 Diffie-Hellman 假设成立,则 任何 (t − 1) 个成员利用他们的子秘密都不能恢复出秘密密钥。另外,我们还指出在选择该 方案的两个参数时,保持它们的相互独立性对整个方案的安全性是至关重要的。 第二节介绍一个离散对数知识证明协议,第三节回顾 Schoenmakers 的 PVSS 方案,第 四节给出该方案的安全性证明,而最后的第五节是结论。