強(qiáng)可驗(yàn)證秘密分享方案

1、第四章 強(qiáng)可驗(yàn)證秘密分享方案為了迎合有些場合的特定需要，提出了可公開驗(yàn)證的秘密分享方案，使得可驗(yàn)證秘密分享方案的驗(yàn)證算法具有一個(gè)良好的性質(zhì)，即任何人都可以檢驗(yàn)密碼份額分發(fā)過程的正確性；為了使同一組分享者重復(fù)使用其秘密份額分享多個(gè)秘密，構(gòu)造了第一個(gè)可驗(yàn)證的多秘密分享方案這里，我們把可公開驗(yàn)證的秘密分享與可驗(yàn)證的多秘密分享統(tǒng)稱為強(qiáng)可驗(yàn)證秘密分享，并介紹了兩個(gè)強(qiáng)可驗(yàn)證的秘密分享方案4.1可公開驗(yàn)證的秘密分享方案第一個(gè)可驗(yàn)證秘密分享方案的驗(yàn)證算法具有一個(gè)好的性質(zhì)，即任何人都可以檢驗(yàn)秘密份額分發(fā)過程的正確性但是這一性質(zhì)在后來的高效可驗(yàn)證秘密分享方案中不復(fù)存在，使得可驗(yàn)證秘密分享的應(yīng)用在一定程度上受到了限

2、制首先注意到了這個(gè)性質(zhì)的重要性，并把這一性質(zhì)稱為可公開驗(yàn)證性；同時(shí)，把具有這一性質(zhì)的可驗(yàn)證秘密分享方案稱為可公開驗(yàn)證的秘密分享方案眾多高效的可驗(yàn)證秘密分享方案缺少可公開驗(yàn)證性的一個(gè)重要原因是，分享者的秘密份額由分發(fā)者隨機(jī)選取或概率生成，從而使得雙方必須通過一個(gè)預(yù)先商定的安全信道傳送秘密份額我們曾經(jīng)利用Williams體制設(shè)計(jì)了一個(gè)秘密分享方案（見2.2.3節(jié)），其中秘密份額由分發(fā)者、分享者雙方聯(lián)合生成，且可公開傳遞本節(jié)介紹了一個(gè)新的可驗(yàn)證秘密分享方案，方案中的秘密份額由分發(fā)者和分享者聯(lián)合生成；它是理論安全的，并且在秘密分發(fā)者和分享者之間傳輸?shù)男畔Λ@得秘密信息無任何幫助，因此均可公開、無需秘密

3、傳遞. 消息盲化技術(shù) 在秘密分享過程中，為了能使用戶的子秘密重復(fù)使用需要將其盲化，從而只公布其子秘密的盲化值 消息盲化原理 盲化消息最早由引進(jìn)，它能完成下述功能：發(fā)送者希望發(fā)送的消息能由簽字者進(jìn)行簽字并且其他用戶可以驗(yàn)證該消息是由簽字者進(jìn)行了簽字的，但發(fā)送者不希望簽字者知道消息的內(nèi)容消息的盲化通常是這樣實(shí)現(xiàn)的：由Bob發(fā)送盲消息給Alice， Alice對盲消息進(jìn)行簽字并發(fā)送給BobBob利用推得Alice對消息的簽字任何人可以驗(yàn)證是Alice對消息的有效簽字，但是Alice無法把和聯(lián)系起來 基本盲化方案 設(shè)是一個(gè)大素?cái)?shù)，使得在上計(jì)算離散對數(shù)是不可能的，是的一個(gè)大素因子，是的一個(gè)階生成元；假設(shè)

4、系統(tǒng)有一個(gè)可信的秘密分發(fā)者，秘密在個(gè)分享者之間分配，是的秘密份額；隨機(jī)選擇私鑰，并計(jì)算其公鑰：(1) 隨機(jī)選取數(shù)，計(jì)算：并發(fā)送給；(2) 選取隨機(jī)數(shù)，計(jì)算：，并發(fā)送給；(3) 計(jì)算，將發(fā)送給；(4) 計(jì)算，并將作為消息的盲化值 秘密分享方案描述新方案是基于Shamir門限方案，并結(jié)合大素?cái)?shù)有限域離散對數(shù)難解問題和消息盲化技術(shù)設(shè)計(jì)的 初始化系統(tǒng)參數(shù)的選取如同，并令，其中、是兩個(gè)大素?cái)?shù)而且滿足，是一個(gè)安全的哈希函數(shù)其中、和是公開參數(shù) 子密分配（1）秘密分享者計(jì)算,并將發(fā)送給；（2）隨機(jī)選擇一個(gè)與一個(gè)次多項(xiàng)式 ： 滿足，然后計(jì)算 發(fā)送給；（3）隨機(jī)選擇、，計(jì)算： ， 并將發(fā)送給；（4）計(jì)算 ，；將數(shù)

5、組發(fā)送給（是秘密分發(fā)者的私鑰）；（5）計(jì)算： ，；則為其秘密份額，為秘密份額的盲化值 秘密恢復(fù)當(dāng)任意個(gè)分享者（不妨設(shè)他們是）要恢復(fù)系統(tǒng)待分享的秘密時(shí)，每個(gè)成員只需提供其秘密份額的盲化值當(dāng)任一秘密份額的盲化值被依據(jù)下式 檢驗(yàn)有效后，計(jì)算并公布；這時(shí)，任意的其他成員均可計(jì)算的秘密份額；然后，將所有的、匯集，并利用Lagrange內(nèi)插法重構(gòu)多項(xiàng)式：從而，可以恢復(fù)秘密信息 欺詐檢測 在秘密份額產(chǎn)生階段，任一均可以通過驗(yàn)證式子是否成立，來判斷分發(fā)者誠實(shí)與否；因?yàn)槎魏稳硕伎梢杂孟铝惺阶?來驗(yàn)證；因?yàn)椋?，所?在秘密恢復(fù)階段，當(dāng)分享者提供其秘密份額的盲化值后，任何人均可以通過上式來判斷是否有欺詐行為 性

6、能分析定理 分享者將發(fā)送給后, 能在多項(xiàng)式時(shí)間內(nèi)得到（為明文的比特長）證明 收到后，由、分解同余式、，從而得同余式 的四個(gè)解：、，、這里；在這四個(gè)解中，有且僅有兩個(gè)解、滿足計(jì)算Jacobi符號使該符號值為1的那個(gè)即為的秘密份額 效率 本方案的份額生成算法需要次乘法和次模指數(shù)運(yùn)算，Liu-Wu方案需要次乘法和次模指數(shù)運(yùn)算；就恢復(fù)算法而言，該方案的效率與Liu-Wu方案的相同另外，方案中的驗(yàn)證算法需要次模指數(shù)運(yùn)算、次乘法運(yùn)算，而Liu-Wu方案需要至少次乘法運(yùn)算；因而，本方案所需要的計(jì)算復(fù)雜度較小 安全性由于在分發(fā)者分發(fā)秘密份額時(shí)采用了消息盲化技術(shù)，使得他在分發(fā)給每一個(gè)分享者的秘密份額均被盲化為的

7、形式；由得到秘密份額的過程中還有一個(gè)隨機(jī)數(shù)在起作用，因而能有效的防止敵手進(jìn)行重放攻擊和替換攻擊，很好地克服了以前的可驗(yàn)證秘密分享方案容易遭受重放攻擊和替換攻擊的弱點(diǎn)；同時(shí)，本方案在安全性方面還有以下特點(diǎn)：（1）可抵抗分發(fā)者分發(fā)秘密份額的無效盲化值檢測算法能夠使分享者清楚地知道分發(fā)者是否將自己的秘密份額進(jìn)行盲化，一旦分發(fā)者不誠實(shí)而給某一分享者無效的秘密份額盲化值，這一個(gè)分享者在執(zhí)行檢測算法時(shí)就會發(fā)現(xiàn)；當(dāng)然，任何人（不僅僅是分享者）都可以利用第二個(gè)檢測式發(fā)現(xiàn)分發(fā)者的欺騙行為；（2）敵手無法從公開數(shù)據(jù)、與中求得的值這在大素因子分解不可行的假設(shè)下或計(jì)算離散對數(shù)困難的假設(shè)下都是辦不到的；從而攻擊者無法得到分享者的子密鑰，更無法恢復(fù)系統(tǒng)分享的秘密；退一步講，