動(dòng)態(tài)的（ｔ，ｎ）門限多秘密分享方案

摘要：基于單向函數(shù)和大整數(shù)因子分解問題，提出了一個(gè)動(dòng)態(tài)有效的（t，n)門限多秘密分享方案。通過此分享方式，秘密分發(fā)者可以給出任一待分享秘密的集合，而每個(gè)成員只需持有惟一可以重復(fù)使用的秘密份額；它能同時(shí)有效地檢測出分發(fā)者和分享者的欺詐行為，解決秘密恢復(fù)時(shí)計(jì)算量大等問題。對(duì)于本方案來說，新成員的加入是容易的；為了在不影響其他任何成員的情況下刪除某個(gè)或某些成員，引入了一個(gè)新奇的方法。

關(guān)鍵詞：秘密分享； 門限體制； 單向函數(shù)； 成員刪除

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2008)01－0241－02



秘密分享的基本問題是允許參與者分享秘密， 并且只有一定的授權(quán)子集才能恢復(fù)秘密。為了實(shí)現(xiàn)這一目標(biāo)，Shamir[1]在其創(chuàng)新性的工作中，利用Lagrange插值多項(xiàng)式提出了第一個(gè)秘密分享方案，即(t，n)門限方案。然而，這個(gè)方案有如下幾個(gè)缺陷：

a)每運(yùn)行一次方案，只能分享一個(gè)秘密[2];

b)秘密一旦被重構(gòu)，方案就要求秘密分發(fā)者通過安全信道向每一個(gè)成員重新分配秘密份額[3];

c)誠實(shí)的分發(fā)者可以分配一個(gè)假的秘密份額， 以至于該成員不能得到真正的秘密[4];

d)在秘密恢復(fù)階段，惡意的成員可以向其他成員提供偽造的秘密份額，使得只有他才能重構(gòu)出真正的秘密[5]。

為了克服上述缺陷，許多有效的(t，n)門限秘密分享方案被提出。Harn[6]綜合考慮上述問題，提出了一個(gè)(t，n)門限可驗(yàn)證的多秘密分享方案。但是，Harn的方案也有缺陷:a)為了防止分發(fā)者欺詐，每個(gè)成員要完成nt個(gè)模指數(shù)運(yùn)算；b)在秘密恢復(fù)階段，每個(gè)成員要與另外任何一個(gè)成員執(zhí)行交互式的驗(yàn)證協(xié)議，才能證實(shí)該成員所提供秘密份額的有效性；c)只能分享預(yù)先確定或計(jì)算好的秘密。為此，L. Aolleman等人[7]基于因子分解的困難性和模合數(shù)下離散對(duì)數(shù)問題的難解性，進(jìn)一步提出了一個(gè)門限可驗(yàn)證的多秘密分享方案。遺憾的是，該方案仍然沒有彌補(bǔ)Harn方案中的缺陷c)。T.Y. Chang等人[8]改進(jìn)了文獻(xiàn)[7]中的方案，完全解決了Harn方案和文獻(xiàn)[7]方案中的問題，還能減少計(jì)算復(fù)雜性。

但是，這些秘密分享方案都是利用離散對(duì)數(shù)問題或RSA密碼體制，使得在秘密恢復(fù)過程中需要很大的計(jì)算量。文獻(xiàn)[9]中提出了安全性僅依賴于單向函數(shù)的在線多秘密分享方案。該方案的一個(gè)顯著特點(diǎn)是計(jì)算量低；然而，在驗(yàn)證成員的欺詐行為時(shí)，需要分發(fā)者相對(duì)于每一個(gè)待分享的秘密和授權(quán)子集做相同的工作，并且授權(quán)子集是分發(fā)者預(yù)先指定的，因而體制不靈活。

受文獻(xiàn)[8，9]方案的啟發(fā)，基于單向函數(shù)和大整數(shù)因子分解問題，提出了一個(gè)新 (t，n)的門限多秘密分享方案。本方案的突出優(yōu)點(diǎn)是恢復(fù)秘密時(shí)需要的計(jì)算量小，并且可以容易地增刪成員。

1方案的建立

1．1系統(tǒng)初始化

秘密分發(fā)者（dealer，D）首先創(chuàng)建一個(gè)公告欄，以便向系統(tǒng)成員提供必要的公開參數(shù)。每個(gè)成員均可以訪問公告欄中的參數(shù)，但是只有D才能更改或刷新公告欄中的內(nèi)容。然后，D定義如下參數(shù)：

3結(jié)束語

利用本文提出的動(dòng)態(tài)的門限多秘密分享方案，每個(gè)參與者只需持有一個(gè)密鑰就可以分享任何一個(gè)秘密信息；并且該方案能夠同時(shí)檢測出分發(fā)者和分享者的欺詐行為。與已知的方案相比，本方案在秘密恢復(fù)階段需要的計(jì)算量更低，而且能容易地實(shí)現(xiàn)成員的加入或刪除。

參考文獻(xiàn)：

[1]SHAMIR A. Hoe to share a secret[J]. Communications of the ACM， 1979，22(11):612－613.

[2]HE J， DAWSON E. Multistage secret sharing based on one way function[J]. Electronics Letters， 1994，30(19):1591 1592.

[3]JACKSON W A， MARTIN K M， O’KEEFE C M. On sharing many secrets[C]//Proc of Advances in Cryptology ASIACRYPT’94. Berlin: Springer Verlag， 1994:42－54.

[4]STADLER M. Publicly verifiable secret sharing[C]//Proc of Advances in Cryptology EUROCRYPY’96. Berlin:Springer Verlag，1996:190 199.

[5]TOMPA M， WOLL H. How to share a secret with cheaters[J]. Journal of Cryptology，1988，1:133 138.

[6]HARN L. Efficient sharing (broadcasting) of multiple secret[J]. IEE Proc Comput Digit Tech， 1995，142(2):237－240.

[7]AOLLEMAN L， McCURLEY K. Open problems in number theoretic complexity[J]. Lecture Notes of Compute Science， 1994，877:291－322.

[8]CHANG T Y， HWANG M S， YANG W P.An improvement on the Liu Wu(t，n) threshold verifiable multi secret sharing scheme[J]. Applied Mathematics and Computation，2005，163:169 178.

[9]劉鋒，張建中.可公開驗(yàn)證的秘密分享機(jī)制[J].蘭州大學(xué)學(xué)報(bào):自然科學(xué)版，2006，42（2）：65－67.

[10]何明星， 范平志，袁丁.一個(gè)可驗(yàn)證的門限多秘密分享方案[J]. 電子學(xué)報(bào)，2002，30（4）：540－543.

[11]費(fèi)如純，王麗娜.基于RSA和單向函數(shù)防欺詐的秘密共享體制[J].軟件學(xué)報(bào)，2003，14（1）：146 150.

[12]NAOR D， NAOR M， LOTSPIECH J B. Revocation and tracing schemes for stateless receivers[C]//Proc of Advances in Cryptology CRYPTO’01. Berlin:Springer Verlag，2001:41－62.

[13]NAOR M， PINKAS B. Efficient trace and revoke schemes[C]//Proc of Financial Cryptography’00. Berlin:Springer Verlag，2000:1－20.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”