一個單方加密-多方解密的公鑰加密方案的分析

劉雪樵

（暨南大學 計算機系，廣東 廣州510632）

隨著數字電視等數字信息服務的普及，人們對用戶的身份認證與通信保密性也提出了更高要求。發送者希望密文只能被經過授權的接收者所解密，而未授權的接收者將不能解密。無線網絡和有線網絡中的廣播/組播業務對于發送方和接收方也有類似要求。因此，如何保證上述情景下的通信安全亟待解決。

1976年，DEFFIE W和HELLMAN M E首次提出了公鑰密碼體制這一概念[1]，意味著同一消息的加密與解密密鑰不同且成對出現。加密密鑰即公鑰是公開的，而解密密鑰即私鑰唯有解密方知道，因此通信前無需進行密鑰協商。公鑰加密方案常用于傳遞秘密信息和協商會話密鑰。盡管公鑰加密方案能夠解決單播加密問題，但由于只有一個解密私鑰，因此在廣播/組播和會議密鑰的安全分發等應用場景中仍存在效率低的局限性。由此單方加密-多方解密的公鑰加密方案應運而生。

1979年，SHAMIR A提出了秘密共享方案[2]，使得單方加密-多方解密成為可能。單方加密-多方解密即具有一個發送者、多個接收者。發送者持有唯一的加密密鑰，只需加密一次，而多個解密方則持有各自不同的解密密鑰，加密方加密過的密文可以被任一解密方持有的解密密鑰所解密，得到同一則明文消息，即多個解密方均可解密該密文。這一概念最初是由BAUDRON O等人[3]與BELLARE M等人[4]在將單接收者推廣到多接收者的基礎上提出的。此后，BAEK J等人利用雙線性配對構造了基于身份的具有多接收者的公鑰加密方案[5]。

最近，龐遼軍等人提出了一個單方加密-多方解密的公鑰加密方案[6]，并稱其方案滿足前向保密性。然而遺憾的是，本文通過具體分析，表明其方案并不能滿足前向保密性。

1 預備知識

1.1 雙線性配對

(G1，+)、(G2，·)為兩個階數均為素數 p 的循環群，其中前者為加法群，后者為乘法群；令P為G1的生成元。稱變換e：G1×G1→G2為雙線性變換，如果滿足下面的性質：

(1)雙線性：對任意P1、P2和Q∈G1，有e(P1+P2，Q)=e(P1，Q)e(P2，Q)成立。

(2)非退化性：存在P∈G1即e(P，P)≠1，也就是說e(P，P)是G2的生成元。

(3)可計算性：對任意P1，P2∈G1，存在有效算法計算e(P1，P2)。

1.2 SHAMIR A的秘密共享方案

SHAMIR A提出的基于Lagrange插值公式構造的(t，n)門限秘密共享方案[2]如下：

(1)初始化階段：秘密分發者D隨機地從GF(q)(q為素數且q＞n)中選取n個不同的非零元素x1，x2，…，xn，使用xi標識每一個參與者Ui(i=1，2，…，n)，所有xi的值都是公開的。

(2)秘密分發階段：若D打算讓這n個參與者共享秘密s∈GF(q)，則D隨機選擇t-1中的s∈GF(q)個元素a1，a2，…，at-1構造t-1 次多項式f(x)=s+a1x+…+at-1xt-1。計算yi=f(xi)(i=1，2，…，n)并將yi安全地發送給相應參與者Ui作為其子秘密。

3.協調成立聯席工作機制。2018年5月，省農業廳與財政廳、教育廳、衛計委和民政廳召開了山西省農墾國有農場辦社會職能改革工作聯席會議，建立了省級聯席會議機制，明確了各部門的職責范圍，形成工作合力。我省承擔農墾改革任務的大同市、朔州市、呂梁市、臨汾市、長治市和忻州市也相應建立了市縣級部門聯席會議推進的工作機制，明確由五部門共同對各市縣國有農場所承擔的辦社會職能情況進行核實和界定，共同指導、協調推進改革。

2 單方加密-多方解密的公鑰加密方案

龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]如下：

(1)系統建立：(G1，+)、(G2，·)為階數p為素數的循環群，前者為加法群，后者為乘法群，G1中的Diffie-Hellman計算問題為困難問題；P為G1的生成元；e為G1和G2上的雙線性變換；(Ek，Dk)為某對稱加密方案的加、解密算法，k為對稱密鑰；h(·)是單向 Hash 函數；hk(·)是由密鑰k控制的鑰控單向Hash函數。假設所選對稱加密方案和Hash函數是密碼學安全的。

假設系統中有一個發送方(加密者)S和n個接收方(解密者)R1，R2，…，Rn。S選取兩個正整數a和b，并在中隨機選擇a+bn個不同的元素，構成以下n+1個向量：S隨機選取自己的加密主密鑰，并計算QS=SSP∈G1。S隨機選擇兩個元素Q1，Q2∈G1以及一個a+b-1次多項式f(x)∈Zp[x]，使之滿足f(0)=SS，并計算如下兩個向量：

系統參數表示如 下：①(p，G1，G2，e，P，QS，Q1，Q2，S，R1，…，Rn，S*)為系統公共參數；②SS為發送方S的加密主密鑰，S將其保密；③為消息接收方Ri的解密私鑰(i=1，2，…，n)。

②計算k′：

其中，符號 Value(X，i)表示返回向量（或數組）X中的第i個分量（或元素）的值。

④判斷I′=I，相等則接受m′為合法明文，否則拒絕m′。

3 對單方加密-多方解密的公鑰加密方案的分析

所謂前向保密性，是指當秘密分發者的私鑰泄漏后，之前所共享秘密的安全性不會受到任何影響[7]。該方案聲稱其具備前向保密性，即使發送者的主密鑰SS泄漏，也不會對以前由其建立的會話密鑰k構成威脅，也就是說攻擊者通過這個主密鑰得不到以前建立的會議密鑰，從而也影響不了之前發送過的消息的保密性。

因此發送者的主密鑰SS泄漏將會導致以前建立的會話密鑰k的泄漏，從而威脅到之前發送消息的保密性，即龐遼軍等人[6]的方案不具備前向保密性。

本文針對龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]進行了具體分析，指出其方案并不能滿足其所聲稱的前向保密性，即加密者的主密鑰泄漏，將會影響到之前加密過的信息的安全性。

[1]DIFFIE W，HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory，1976(22)：474-492.

[2]SHAMIR A.How to share a secret communications of the ACM[J].1979，22(11)：612-613.

[3]BAUDRON O，POINTCHEVAL D，STERN J.Extended notions of security for multicast public key cryptosystems[C].Proceedings of the Automata，Languages and Programming 27th International Colloquium，Geneva，Switzerland，2000.

[4]BELLARE M，BOLDYREVA A，MICALI S.Public-key encryption in a multi-user setting：Security proofs and improvements[C].Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques，Bruges，Belgium，2000.

[5]BAEK J，SAFAVI N R，SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386：Proceedings of the 8th Int Workshop on Theory and Practice in Public Key Cryptography，Berlin：Springer，2005.

[6]龐遼軍，李慧賢，裴慶祺，等.一個單方加密-多方解密的公鑰加密方案[J].計算機學報，2012，35(5)：1059-1066.

[7]龐遼軍，裴慶祺，焦李成，等.基于 ID的門限多重秘密共享方案[J].軟件學報，2008，19(10)：2739-2745.