杨波, 《i现代密码学(第2版)》05-2.pptVIP

如果一个参与者或一组未经授权的参与者在猜测秘密s时，并不比局外人猜秘密时有优势，即： ③由少于k个参与者所持有的部分信息得不到秘密s的任何信息。 则称这个方案是完善的，即(k, n)-秘密分割门限方案是完善的。 下面介绍最具代表性的两个秘密分割门限方案。 5.5.2 Shamir门限方案 Shamir门限方案是基于多项式的Lagrange插值公式的。 设{(x1,y1),…,(xk,yk)}是平面上k个点构成的点集，其中xi(i=1,…,k)均不相同，那么在平面上存在一个唯一的k-1次多项式f(x)通过这k个点。 若把密钥s取作f(0), n个子密钥取作f(xi) (i=1, 2 ,…, n)，那么利用其中的任意k个子密钥可重构f(x)，从而可得密钥s。 这种门限方案也可按如下更一般的方式来构造。 设GF(q)是一有限域，其中q是一大素数，满足q≥n+1, 秘密s是在GF(q)\{0}上均匀选取的一个随机数，表示为s∈RGF(q) \{0}。k-1个系数a1,a2,…,ak-1的选取也满足ai∈RGF(q) \{0}(i=1,2,…,k-1)。 在GF(q)上构造一个k-1次多项式 f(x)=a0+a1x+…+ak-1 xk-1。 n个参与者记为P1, P2 ,…, Pn, Pi分配到的子密钥