无可信第三方的可验证多秘密共享.docVIP

无可信第三方的可验证多秘密共享 　　摘 要：一般秘密共享方案需要有可信第三方作为分发者进行秘密分配，实际应用中，不存在完全可信的第三方，因此已有方案均存在安全隐患，降低了实用性。为提高方案的实用性，提出了一种无可信第三方的可验证多秘密共享方案。方案利用哈希函数作为安全假设，减少了计算开销。通过广播消息避免了对安全信道的需求并且降低了通信代价。方案无需无可信第三方，提高了秘密共享方案的安全，方案一次可共享多个秘密，且可验证秘密份额的有效性。 中国论文网 /7/view-7222153.htm 　　关键词：秘密共享；可验证；无可信第三方 　　秘密共享是密码学中密钥管理的重要分支之一，最早由Shamir提出。Shamir的（t， n）门限共享方案基于多项式插值实现的，该方案准许诚实的分发者将秘密S分成n份子秘密发送给n个参与者，使得大于等于t个分发者可以重构秘密S，任意小于t个参与者无法获得秘密的信息。秘密共享思想得到广泛应用，如电子投票、电子拍卖、数字签名等。 　　Shamir门限共享方案具有简单、实用的特点，但方案仍存在不足。首先，方案为单秘密共享方案，共享效率较低；其次，方案可能存在欺骗攻击，在秘密重构阶段，参与者可能发送虚假子秘密导致重构失败；最后，完全可信的第三方现实中不存在，实际应用中存在安全隐患。为解决上述问题，有的方案提出了多秘密共享方案，方案一次可共享多个秘密，有效的提高了共享效率。方案1提出了可验证的秘密共享方案，方案可验证子秘密的有效性，有效的解决了参与者的欺骗的攻击。而针对分发者的诚实问题，方案2提出了抗泄露的秘密共享方案，有效防止半诚实分发者存在的攻击，但只可共享一个秘密。方案3基于离散对数问题提出一种无可信中心的可公开验证秘密共享方案，但方案计算与通信开销较大。 　　为解决上述文献存在的问题，综合已有方案的优点，本文提出了一种无可信第三方的可验证多秘密共享方案，方案利用单向哈希函数简单易于实现的优点，实现子秘密的验证过程，有效的降低了计算开销，方案采用由参与者共同创造多项式系数的方式，降低了分发者的权限，可以有效的抵抗半诚实参与者的攻击。 　　一、预备知识 　　（一）单向哈希函数 　　单向哈希函数是指具有单向性和抗碰撞性的哈希函数H。 　　（1）单向性：已知H（x），计算满足y = H（x）的x是困难的。 　　抗碰撞性：对于x的哈希值H（x），找到x满足H（x） = H（x）是困难的。 　　（二）半诚实分发者 　　半诚实分发者不同于传统的欺骗分发者直接发送假的秘密份额，半诚实分发者只是将秘密信息隐藏在有效的子秘密中，具有一定隐蔽性而且打破了秘密共享的门限限制。 　　（三）无可信第三方的可验证多秘密共享 　　无可信第三方的可验证多秘密共享方案是一种符合正确性、安全性、可验证性的多秘密共享方案。 　　正确性：如果分发者是半诚实分发者，那么由任意不小于t个参与者提供的秘密份额能够正确重构秘密S。 　　安全性：如果分发者是半诚实分发者，那么通过任意小于t个参与者提供的秘密份额将无法得到任何关于秘密S的信息。 　　可验证性： 如果分发者是半诚实分发者，那么参与者可以验证分发者分发的秘密份额的有效性，分发者D也可以验证参与重构的参与者提供的秘密份额的有效性。 　　三、方案分析 　　（一）正确性分析 　　定理1 分发者是半诚实的，方案可保证任意大于等于t个参与者正确恢复k个秘密。 　　证明：根据半诚实分发者定义，当方案执行时，分发者按照方案执行。参与者Pi正确计算子秘密f （ i ） ，并且诚实提供子秘密。根据拉格朗日插值，已知大于等于t个多项式函数值可唯一确定一个t-1阶多项式。因此，参与者可以正确恢复f （0）， 利用公布的gi，进而恢复k个秘密。 　　（二）安全性分析 　　定理2 分发者是半诚实的，方案可保证小于t个参与者无法获得任何关于秘密的信息。 　　证明：根据半诚实分发者定义，分发者按照方案执行。根据方案描述，公布的信息包括gi， vi， f （i） ，其中已知gi，未知f （0）敌手无法获得任何秘密的信息。又因为vi =H（f （i） ），根据哈希函数单向性，已知vi，敌手无法获得任何关于f （i） 的信息。由于公布的f （i） = ri + f （i） 中ri为每个参与者选择的随机数，因为即使公布 f （i）每个参与者也不能获得多余的有效子秘密。假设有t-1个参与者{P1， P2， ...， Pt}试图恢复秘密，根据拉格朗日插值定理，t -1个函数值只能唯一确定t -2阶多项式，而f （x）为t-1阶，因此t-1个参与者无法得到任何关于f （0）的信息，即无法重构k个秘密。 　　（三）可验证性分析 　　定理3 分发者是半诚实的，方案可使参与者验证个人计算