基于ＲＳＡ的可驗證的動態多重秘密共享方案

摘要：針對現有秘密共享方案存在的缺陷，基于RSA加密體制和離散對數難題，提出了一個可驗證的動態門限多重秘密共享方案。 該方案能夠實現多重秘密共享，靈活地更新群組密鑰，動態地加入新的參與者。在方案的實現過程中，能及時檢測和識別SD對參與者以及參與者之間的欺騙，從而提高了重構秘密的成功率和方案的效率， 因而有較高的安全性和實用性。

關鍵詞：秘密共享;驗證； 動態； RSA

中圖分類號：TP309

文獻標志碼：A

文章編號：1001－3695(2008)06－1806－03

秘密共享的概念和機制最早是由Shamir[1]和Blakley[2]在1979年分別提出的。隨后秘密共享成為密碼學領域中一個非常重要的研究內容[3，4]，并被廣泛應用于信息安全和數據保密中，它在理論和實踐中對通信密鑰管理和計算機網絡安全等領域具有重要意義。最初的秘密共享方案都存在五個問題：a）在秘密共享過程中，只能共享一個群組密鑰；b）群組密鑰被重構后，秘密分發者要重新分發子密鑰給參與者，即參與者的子秘密只能使用一次；c）秘密分發過程中不能防止秘密分發者對參與者的欺騙，即參與者不能驗證其子密鑰的真實性；d）群組密鑰重構過程中不能防止不誠實的參與者對其他參與者的欺騙，即參與者之間不能相互驗證重構信息的真實性。e）參與者的集合中增加新成員時，秘密分發者要重新分發子密鑰來更新老成員的子密鑰。

針對問題a），許多學者提出了多重秘密共享方案[5~7]，在秘密共享過程中可以共享多個秘密。為了克服問題b），Jakson等人[8]對多重秘密共享作了進一步的研究，將多重秘密共享分為兩類，即一次性的多重秘密共享和重復使用的多重秘密共享。其中，重復使用的多重秘密共享可以解決問題b），但是對問題c)d)卻無能為力。針對問題c），Chor等人[9]提出的可驗證的秘密共享方案(VSS)，每個參與者可以驗證其子密鑰的真實性，這就防止了不誠實的秘密分發者對參與者的欺騙。但是Chor等人的方案仍然沒有解決問題d）。隨后，Stadler提出了一個可以同時解決問題c） d）的可驗證秘密共享方案[10]，在其方案中可以實現參與者對秘密分發者的驗證和參與者之間的驗證。但是在Chor等人和Stadler等人的方案中卻存在問題a） b）。以上所提出的方案都存在問題e）。針對問題e），Cachin等人[11]和Princh [12]分別提出了在線秘密共享方案，允許參與者的動態加入而不需要改變其他參與者的子秘密。但是，秘密分發者要存儲各參與者的子秘密，導致了秘密分發者很大的存儲負擔。

綜合以上分析，本文提出的一個可驗證的動態(t，n)多重秘密共享方案克服了以上文獻中的缺陷，可以很好地解決以上五個問題，并有以下特征：

a）秘密分發者在不改變參與者子密鑰的前提下，能夠共享多個群組密鑰并動態更新群組密鑰，參與者的子密鑰能夠重復使用。

b）在秘密分發階段，參與者能夠及時發現秘密分發者的欺騙并驗證其子密鑰的真實性；在秘密重構階段，參與者之間能夠通過非交互式的驗證協議來驗證其他參與者發送的重構信息的真實性，從而阻止了惡意參與者對其他參與者的欺騙。

c）秘密分發者在不改變原有參與者的子密鑰的前提下就能夠實現在參與者集合中增加成員，且秘密分發者不用存儲參與者的子密鑰的信息，從而減輕了秘密分發者的存儲負擔。

1方案構成

基于RSA密碼體制和離散對數難題，本文提出一個可驗證的動態多重秘密共享方案。在這個方案中，秘密分發者需要一個公告牌(NB)，只有秘密分發者可以修改、更新NB上的內容，其他人只能閱讀或下載。方案由四部分組成，即初始化階段、子密鑰的分發和驗證階段、群組密鑰分發階段、群組密鑰重構階段。

3結束語

本文提出的動態的(t，n)多秘密共享方案，能夠很好地解決引言中提到的現有秘密共享方案存在的問題；在方案實現的過程中，不需要交互式協議就能夠實現參與者對SD以及參與者之間的驗證，有效地阻止了SD對參與者以及參與者對參與者的欺騙，從而提高了秘密重構的成功率和方案的效率。因此本文方案具有較高的安全性和實際的應用性。

參考文獻:

[1]SHAMIR A. How to share a secret[J]. Communication of the ACM， 1979， 22(11): 612－613.

[2]BLAKLEY G. Safeguarding cryptographic keys[C] //Proc AFIPS 1979 Nalt Conf. New York: AFIPS Press， 1979.

[3]ITO M， SAITO A， NISHIZEKI T. Secret sharing scheme realizing general access structure[C] //Proc IEEE Globecom’87. Tokyo: IEEE Press， 1987.

[4]TZONG C W， WEI H H. A geometric approach for sharing secrets[J]. Computers Security， 1995， 14(2):135－145.

[5]CHIEN H Y， JAN J K， TSENG Y M. A practical (t，n) multi－secret sharing scheme[J]. IEICE Trans on Fundamentals， 2000， E83－A(12):2762－2765.

[6]HARN L. Efficient sharing (broadcasting) of multisecret[J]. IEE Proceedings－Computers and Digital Techniques， 1995， 142 (3):237－240.

[7]HE J， DAESON E. Multistage secret sharing based on one－way function[J]. Electron， Lett， 1994， 30(19):1591－1592.

[8]JACKSON W A， MARTIN K M， O'KEEFE C M. On sharing many secrets[C] //Advances in Cryptology－Asiacrypt’94. Berlin:Springer－Verlag， 1994.

[9]CHOR B， GOLDWASSER S， MICALI S， et al. Verifiable secret sharing and achieving simultaneity inthe presence of faults[C] //Proc of the 26th IEEE Symposium on the Foundations of Computer Science (FOCS). Washington DC: IEEE Computer Society， 1985.

[10]STADLER M. Public verifiable secret sharing[C] //Proc of Advances in Cryptology－Eurocrypt’96. Berlin: Springer－Verlag， 1996.

[11]CACHIN C， BODY C. On－line secret sharing[C] //Proc of the 5th IMAConf. Berlin: Springer－Verlag， 1994.

[12]PINCH R. On－line multiple secret sharing [J]. Electronics Letters， 1996， 32(12):1087－1088.

[13]SCHNEIER B. Applied cryptography: protocols， algorithms， and source code in C[M]. 2nd ed. New York: Springer－Verlag， 1996.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文