秘密共享方案ppt
合集下载
秘密共享方案 ppt课件
• 导弹控制发射 • 开启核按钮 • 重要场所通行检验等
• 为了实现上述意义上的秘密共享,人们引入了门限方
ppt课件 案(THRESHOLD SCHEME)的一般概念
2
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-1次
LAGRANGE插值多项式
f (x)
k
k
(x j )
j 1
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此 这个方案是完善的。
ppt课件
10 10/
项式F(X),所以令X=0,仅需以下表达式就可以求出S:
• S= k j 1
k
f (ij )
l 1
il
il ij
(modq)
k
bj yij (modq)
j 1
l j
不需保密
)
,( b j 可以预计算
• 为了实现上述意义上的秘密共享,人们引入了门限方
ppt课件 案(THRESHOLD SCHEME)的一般概念
2
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一个 子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得: • ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-1次
LAGRANGE插值多项式
f (x)
k
k
(x j )
j 1
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1 个方程就可得到K个方程,并由LAGRANGE插值公式得出 F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此 这个方案是完善的。
ppt课件
10 10/
项式F(X),所以令X=0,仅需以下表达式就可以求出S:
• S= k j 1
k
f (ij )
l 1
il
il ij
(modq)
k
bj yij (modq)
j 1
l j
不需保密
)
,( b j 可以预计算
对可验证秘密共享方案的
区块链应用
结合区块链技术,实现去 中心化的可验证秘密共享 ,提高数据共享和交易的 安全性。
07
结论与展望
研究结论
安全性
在安全性方面,可验证秘密共享方案提供了强大 的保护措施。由于采用了先进的加密算法和安全 协议,该方案能够有效防止未经授权的访问和数 据泄露。
灵活性
在灵活性方面,可验证秘密共享方案提供了多种 访问模式和共享方式。这使得该方案能够适应不 同的业务需求和场景,并灵活地支持多种应用。
提高扩展性和灵活性
可验证秘密共享方案需要具有良好的扩展性和灵 活性,以支持大规模的共享和更新操作。
3
减少验证时间和延迟
在可验证秘密共享方案中,需要尽可能减少验证 时间和延迟,以提高系统的响应速度和效率。
实用性问题
用户隐私保护
01
在可验证秘密共享方案中,需要考虑用户隐私保护问题,以避
免用户的敏感信息被泄露。
03
可验证秘密共享方案 分类
基于密码学的方法
01
02
03
定义
基于密码学的方法主要是 利用密码学的性质,如加 密、解密、签名等,来实 现可验证秘密共享。
安全性
此类方法的安全性主要依 赖于密码学的安全性质, 如加密算法的强度、密钥 管理等。
应用场景
广泛应用于各种需要保护 秘密的场景,如数据安全 、身份认证等。
基于代数几何的方法
定义
基于代数几何的方法主要是利 用代数几何中的一些性质,如 椭圆曲线、二次曲线等,来实
现可验证秘密共享。
安全性
此类方法的安全性主要依赖于代数 几何中的一些特殊性质,如椭圆曲 线的离散对数问题等。
应用场景
在某些需要高度安全性的场景中应 用较为广泛,如高级数据加密、数 字签名等。
可验证的(nn)门限量子秘密共享方案
M A Mi n, LI Zhi hu i , X U Ti n g t i n g
( Co l l e g e o f Ma t h e ma t i c s a n d I n f o r ma t i o n S c i e n c e , S h a a n x i No r ma l Un i v e r s i t y, Xi ’ a n 7 1 0 1 1 9, Ch i n a )
Be l l s t a t e s . I n t h e d i s t r i bu t i o n p h a s e, Al i c e d i s t r i b u t e s t h e s h a r e s t O t h e pa r t i c i p a n t s t h r o u g h t h e q u a n t u m s e c u r e c h a n n e 1 . I n t h e r e c o v e r y p h a s e, Al i c e g e n e r a t e s a t wo — b i t Be l l s t a t e i n Hi l b e t r s p a c e, a n d t h e n t h e p a r t i c i p a n t s a n d Al i c e p e r f o r m s o me
r e t r a n s mi s s i o n a t t a c k, e n t a n g l e d me a s u n e me n t a t t a c k, p a r t i c i p a n t s a t t a c k, a n d t r o j a n h o r s e a t t a c k .
( Co l l e g e o f Ma t h e ma t i c s a n d I n f o r ma t i o n S c i e n c e , S h a a n x i No r ma l Un i v e r s i t y, Xi ’ a n 7 1 0 1 1 9, Ch i n a )
Be l l s t a t e s . I n t h e d i s t r i bu t i o n p h a s e, Al i c e d i s t r i b u t e s t h e s h a r e s t O t h e pa r t i c i p a n t s t h r o u g h t h e q u a n t u m s e c u r e c h a n n e 1 . I n t h e r e c o v e r y p h a s e, Al i c e g e n e r a t e s a t wo — b i t Be l l s t a t e i n Hi l b e t r s p a c e, a n d t h e n t h e p a r t i c i p a n t s a n d Al i c e p e r f o r m s o me
r e t r a n s mi s s i o n a t t a c k, e n t a n g l e d me a s u n e me n t a t t a c k, p a r t i c i p a n t s a t t a c k, a n d t r o j a n h o r s e a t t a c k .
秘密共享方案ppt课件
6
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
(I=1,…,K-1)
• 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)
7
)
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到 SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是完善 的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难 于恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
5
S
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),寻 求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X),F(X)称为 (X)的插值函数,也称插值多项式
(I=1,…,K-1)
• 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I)
7
)
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复 • 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可使 用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方程组 • A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2) • …… • A0+A1(IK)+…+AK-1(IK)K-1=F(IK) (13-1)
一种公开的可验证秘密共享方案
S n h a ,HU HIRu - u ANG i .h n Lu se g
( . co lfC m ue c ne eh o g A h i nvrt, C A h i 30 9, hn 2 D p.o C m ue Si c 1Sho o p t Si c &Tcnl y, n u U i sy H ̄ i nu 2 0 3 C i o r e o ei e a; . et f o p t ce e&T hoo , n r n c e nl y g Ui e syo c ne& eh o o hn Hf hi 0 2 C i vrt Si c Tcnl C i , e i nu 30 7, hn ) i f e o g f y a eA 2 a
p rii a t e evn e s a e . S ee ae mo e a p iai n f l s ta e f b e s c e h rn . n n i tr cie a d at p s r c iig t h s o t r r r p l t ed h n a v r a l e r ts ai g A o — e a t n c n h r h c o i i i n v
维普资讯
第2 卷第 3 4 期
20 0 7年 3 月
计 算 机 应 用 研 究
Ap l ain Ree r ho mp t ̄ pi t sa c fCo ue c o
Vo. 4, . 12 No 3
Ma c 0 7 rh2 0
案, 验证并不局限于共享所属的参与者本人 , 所以它比一般 的可验证秘密共享方案有着更广泛的应用。提 出了
一
个基 于公钥 密码 和零 知识证 明的 , 非交 互式的 , 息论 安全 的 P S方案 。该 方案 实现 简单 , 易 于扩展 和 更 信 VS 且
( . co lfC m ue c ne eh o g A h i nvrt, C A h i 30 9, hn 2 D p.o C m ue Si c 1Sho o p t Si c &Tcnl y, n u U i sy H ̄ i nu 2 0 3 C i o r e o ei e a; . et f o p t ce e&T hoo , n r n c e nl y g Ui e syo c ne& eh o o hn Hf hi 0 2 C i vrt Si c Tcnl C i , e i nu 30 7, hn ) i f e o g f y a eA 2 a
p rii a t e evn e s a e . S ee ae mo e a p iai n f l s ta e f b e s c e h rn . n n i tr cie a d at p s r c iig t h s o t r r r p l t ed h n a v r a l e r ts ai g A o — e a t n c n h r h c o i i i n v
维普资讯
第2 卷第 3 4 期
20 0 7年 3 月
计 算 机 应 用 研 究
Ap l ain Ree r ho mp t ̄ pi t sa c fCo ue c o
Vo. 4, . 12 No 3
Ma c 0 7 rh2 0
案, 验证并不局限于共享所属的参与者本人 , 所以它比一般 的可验证秘密共享方案有着更广泛的应用。提 出了
一
个基 于公钥 密码 和零 知识证 明的 , 非交 互式的 , 息论 安全 的 P S方案 。该 方案 实现 简单 , 易 于扩展 和 更 信 VS 且
网络安全-第17讲续 秘密共享
1)节点 vi 要求参与系统 2)邻居节点 v j 如果认同 请求,就计算
Pj = Pv j lv j (vi )
v 3) i 节点验证
g
Pj
=g
Pv j
g
lv ( vi ) j
= g .( g ) .( g ) ...( g
SK a1 v j
2 a2 v j
k −1 ak −1 v j
)
.g
lv ( vi ) j
)
mod(q )
到此完成CA私钥份额的安全分发。管理节点保留自己的份额, 其它信息全部删除。
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
2.新加入节点分额生成 .
k −1 ak −1 v j
)
.g
lv ( vi ) j
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
4.拉格朗日插值多项式 .
F ( x ) ≡ SK + a1 x + a2 x + ... + ak −1 x
Computer Network
School of Computer Science & Technology Ludong University
Pj = Pv j lv j (vi )
v 3) i 节点验证
g
Pj
=g
Pv j
g
lv ( vi ) j
= g .( g ) .( g ) ...( g
SK a1 v j
2 a2 v j
k −1 ak −1 v j
)
.g
lv ( vi ) j
)
mod(q )
到此完成CA私钥份额的安全分发。管理节点保留自己的份额, 其它信息全部删除。
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
2.新加入节点分额生成 .
k −1 ak −1 v j
)
.g
lv ( vi ) j
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
Computer Network
School of Computer Science & Technology Ludong University
Xu Bang-Hai
bhxu@
4.拉格朗日插值多项式 .
F ( x ) ≡ SK + a1 x + a2 x + ... + ak −1 x
Computer Network
School of Computer Science & Technology Ludong University
安全公平理性秘密共享方案
本栏目责任编辑:梁书计算机工程应用技术安全公平理性秘密共享方案周全兴,吴冬妮,李秋贤(凯里学院,贵州凯里556011)摘要:传统秘密共享方案因未考虑参与者的自利行为而导致方案的效率较低。
为了提高秘密共享的通信效率和安全性,结合博弈论与双线性映射技术,设计公平的理性秘密共享方案。
首先,在博弈论框架下引入理性参与者并设计理性秘密共享博弈模型;其次,利用双线性映射技术保证方案和理性参与者的可验证性和公平性;最后,通过对方案进行性能分析,表明了该方案不仅保证了安全性,并且有较高的秘密共享通信效率。
关键词:理性秘密共享;博弈论;双线性映射;公平性;通信效率中图分类号:TP309文献标识码:A文章编号:1009-3044(2021)05-0250-02开放科学(资源服务)标识码(OSID ):Safe and Fair Rational Secret Sharing Scheme ZHOU Quan-xing,WU Dong-ni,LI Qiu-xian(Kaili University,Kaili 556011,China)Abstract :Traditional secret sharing schemes do not take into account the self-interested behavior of participants,which leads to low efficiency of the scheme.In order to improve the communication efficiency of secret sharing,game theory and bilinear mapping technology are combined to design a fair and rational secret sharing scheme.Firstly,introduce rational participants and design a ra⁃tional secret sharing game model under the framework of game theory.Secondly,this paper uses bilinear mapping technology to en⁃sure the verifiability and fairness of the solution and rational participants.Finally,the performance analysis of the scheme shows that the scheme not only guarantees safety,but also has higher communication efficiency.Key words:rational secret sharing;game theory;bilinear pairings;fairness;communication efficiency1引言近年来,秘密共享[1]已成为现代密码学的重要研究领域,在研究各类密码协议中起着越来越重要的作用。
秘密分享
动态秘密共享方案通过在不改变秘密的情况下解 决了秘密共享方案在周期上的安全性问题。 动态秘密共 享方案在保证秘密不变的情况下周期性的更换子秘密, 从而使得每次更换子秘密后攻击者在前一个周期内所 获得的信息完全失效。 更新周期一般是一个比较短的时 间,这就使得攻击者必须在一个较短的时间段内,攻破 至少 t 个成员,才能获得原秘密。动态秘密共享还要保 证过期的子秘密所包含的信息不回对未来秘密的构造 产生不安全的影响。 这样就能在很大程度上提高系统的 安全性。
秘密分享的概念是由 Shamir 在 1979 年提出的。 其 基本思想是将秘密分解为多个碎片并将这些碎片分发 给不同的人掌管,在秘密丢失的情况下,这些人中的某 些特定子集可以通过将他们拥有的碎片凑在一起以恢 复整个秘密。
秘密分享的概念
一般的, 一个由秘密分发者 D 和参与者 P1, P2,· · · , Pn 构成的(t,n)秘密分享体制包含下面两个协议: (1)秘密分发协议 碎片 si,i = 1,· · ·,n。 (2)秘密重构协议 原秘密 s。 在这个协议中,任意不少于 t 个参与者一起合作,以自己的碎片 si 作为输入,重构 在这个协议中,秘密分发者 D, 在 n 个参与者中分享秘密 s,每个参与者 Pi 获得一个
同样的,在秘密重构协议中,如果参与者 Pi 没有 使用正确的碎片 si,而是使用一个随机值,那么最终重 构出的秘密将没有任何意义。如果只重构过程中, Pi 是唯一一个没有使用正确碎片的参与者, 那么他就能够 使用其他 t-1 个参与者的正确碎片计算出被分享的真正 秘密。正是由于存在上述攻击,我们需要设计更强的秘 密分享体制以抵抗这种潜在的攻击方式。
( x 3)( x 5) ( x 3)( x 5) 5 5 5 (3 1 mod19) ( x 3)( x 5) (2 3)(2 5) (1)(3) 5 13( x 3)( x 5) 65( x 3)( x 5)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6/
13.2 SHAMIR门限方案
• 根据上述的思想,在有限域GF(Q)上实现上述方案,即可得到
SHAMIR秘密分割门限方案
• (1)秘密的分割
• 设GF(Q)是一有限域,其中Q是一个大素数,满足QN+1 • 秘密S是在GF(Q)\{0}上均匀选取的一个随机数,表示为
SRGF(Q)\{0} • 令S等于常系数A0 • 其它K-1个系数A1,A2,…,AK-1的选取也满足AIRGF(Q)\{0}
4/
13.1 引言
• 秘密的分割 假设是一个(K, N)门限方案 • 选取一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1 • 该多项式有K个系数 • 令A0=F(0)=S,即把常数项指定为待分割的秘密 • 其它K-1个系数可随机选取
• 显然,对于该多项式,只要知道该多项式的K个互不相同的点的函
F(X)。因此对每一S0GF(Q)都有一个惟一的多项式满足
13-1方程组
• 所以已知K-1个子密钥得不到关于秘密S的任何信息,因此
这个方案是完善的。
10/
13.2 SHAMIR门限方案
• 【例8-1】设门限K=3,份额数为N=5,模值Q=19,待分割的秘
密S=11,随机选取A1=2,A2=7,可构造多项式
• LAGRANGE插值:
• 已知(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K),可构造K-
1次LAGRANGE插值多项式
f (x)
k
k
(xj )
j 1
Байду номын сангаас
l 1
x xl x j xl
l j
• 显然,如果将函数(X)就选定F(X),则差值多项式刚好完全恢复了多 项式(X)= F(X)
第13章 秘密共享方案
报告人:
孙宗臣
13.1引言
• 有些场合,秘密不能由一个人独自拥有,必须由两 人或多人同时参与才能打开秘密,这时都需要将秘 密分给多人掌管,而且必须有一定人数的掌管秘密 的人同时到场才能恢复这一秘密,这种技术就称为 秘密分割(SECRET SPLITTING) ,也称为秘密共享 (SECRET SHARING)。例如: • 导弹控制发射 • 开启核按钮 • 重要场所通行检验等
• 为了实现上述意义上的秘密共享,人们引入了门限方 案(THRESHOLD SCHEME)的一般概念
2/
13.1引言
• 秘密分割门限方案的定义
• 定义1 设秘密 S 被分成N个部分信息,每一部分信息称为一
个子密钥或影子(SHARE OR SHADOW),由一个参与者持有,使 得:
• ① 由K个或多于K个参与者所持有的部分信息可重构S • ② 由少于K个参与者所持有的部分信息则无法重构S 则称这种方案为(K,N)-秘密分割门限方案,K称为方案的门
• F(X)=(7X2+2X+11) MOD 19
数值F(XI)(I=1,2,…,K),就可恢复F(X)
• 生成N个子秘密
• 任取N个不同的点XI(I=1,…,N) 并计算函数值F(XI)(I=1,…,N) • 则(XI, F(XI)), I=1,…,N, 即为分割的N个子秘密 • 显然,这N个子秘密中的任意K个子秘密即可重构F(X),从而可得秘密S
限值。
• 极端的情况下是(N,N) -秘密分割门限方案,此时用户必
须都到场才能恢复密钥
3/
13.1引言
• 如果一个参与者或一组未经授权的参与者在猜测秘密S时,并不 比局外人猜秘密时有优势,即
• ③由少于K个参与者所持有的部分秘密信息得不到秘密S的任何信息
则称这个方案是完善的,即(K, N)-秘密分割门限方案是
5/
13.2 SHAMIR门限方案
• SHAMIR门限方案基于多项式的LAGRANGE插值公式
• 插值:数学分析中的一个基本问题
• 已知一个函数(X)在K个互不相同的点的函数值(XI)(I=1,2,…,K), 寻求一个满足F(XI)=(XI)(I=1,2,…,K)的函数F(X)来逼近(X), F(X)称为(X)的插值函数,也称插值多项式
程组
• A0+A1(I1)+…+AK-1(I1)K-1=F(I1) • A0+A1(I2)+…+AK-1(I2)K-1=F(I2)
•… …
• A0+A1(IK)+…+AK-1(IK)K-1=F(IK)
(13-1)
8/
13.2 SHAMIR门限方案
• 因为IL(L=1,…,K)均不相同,所以可由LAGRANGE插值公
完善的
• 攻击者除了试图恢复秘密外,还可能从可靠性方面进行攻击, 如果他能阻止多于N-K个人参与秘密恢复,则用户的秘密就难于 恢复
• 所以(K,N)门限的安全性在于既要防止少于K个人合作恢复秘密,又要防 止对T个人的攻击而阻碍秘密的恢复
• 当N=2T+1时K=T=(N-1)/2的取值最佳
• 秘密分割应该由可信第三方执行,或者托管设备完成。
式构造如下的多项式:
•
F(X)=
k j 1
k
f (i j )
l 1
x il i j il
(modq)
从
而可得秘密S=lFj(0)
然而参与者仅需知道F(X)的常数项F(0)而无需知道整
个多项式Fjk(1Xf)(i,j )l所k1 il以il i令j (mXo=dq0) , jk仅1 bj需yij 以(mo下dq表) 达式就b可j 以求出S: l j • S=
,(
可以预计算不需保
密
)
9/
13.2 SHAMIR门限方案
• 方案的完善性分析
• 如果K-1个参与者想获得秘密S,他们可构造出由K-1个方
程构成的线性方程组,其中有K个未知量
• 对GF(Q)中的任一值S0,可设F(0)=S0,再加上上述的K-1
个方程就可得到K个方程,并由LAGRANGE插值公式得出
(I=1,…,K-1) • 在GF(Q)上构造一个K-1次多项式F(X)=A0+A1X+…+AK-1XK-1
• N个参与者记为P1,P2,…,PN,其中PI分配到的子密钥为(I, F(I))
7/
13.2 SHAMIR门限方案
• (2) 秘密的恢复
• 如果任意K个参与者PI1,PI2,…,PIK (1I1<I2<…<IKN)要想得到秘密S,可 使用它们所拥有的K个子秘密{(IL,F(IL))|L=1,…,K}构造如下的线性方