3基本的安全协议.ppt

1 基本的安全协议 刘昆 alexliukun@163.com 中国矿业大学徐海学院 2 秘密分割 设想你已发明了一种新的调味料，你只能告诉最信赖的雇员各种成分准确的调合，但如果他们中的一个背叛到对手方时怎么办呢？这种情况就要求秘密分割。 （1）Trent产生一随机比特串R。 （2）Trent用R异或M得到S：M ⊕ R = S （3）Trent把R给Alice，将S给Bob。 （4）重构消息：Alice和Bob将他们的消息异或就可得到此消息R ⊕ S = M. 如何在多个人中分割一消息 ？ 秘密分割的缺点是什么? 3 3 秘密共享 是一种将秘密分割存储的密码技术，目的是阻止秘密过于集中，以达到分散风险和容忍入侵的目的，是信息安全和数据保密中的重要手段。 背景 重要的秘密不能都由一个人管理，势必造成权力过于集中 比起相信一个人更容易相信多数人 机密性与强健性 秘密共享 把一个秘密消息分成n块，分割给m个参与者 每个参与者只拥有其中的一块 只有所有消息块组合在一起才能恢复秘密 每一块对其拥有者来说是没用的. 秘密共享 4 秘密共享 5 秘密共享 有缺陷的秘密共享方案 简单秘密共享方案(秘密分割) 秘密 s = b1  b2  …  bn-1  bn 1) 选择随机数 b1,….,bn-1 2) 计算 bn = b1  b2  …  bn-1  s Flawed N个消息块组合在一起才能恢复秘密 s (不健全) 6 门限秘密共享 方案 假设 Coca-Cola公司的董事会想保护可乐的配方.该公司总裁应该能够在需要时拿到配方，但在紧急的情况下，12位董事会成员中的任意3位就可以揭开配方。 这可以通过一个秘密共享方案实现 t = 3 、 n = 15,其中3股给总裁，1股给其他每个董事会成员 安全问题 机密性：抵抗任何不当行为 强健性：对任何可能出现的错误的可靠性 7 (t, n) 秘密共享(tn) 秘密K 被拆分为n 个份额的共享秘密 利用任意 t（2≤t≤n）个或更多个共享份额就可以恢复秘密 K 任何m – 1或更少的共享份额是不能得到关于秘密SK的任何有用信息 强健性：暴露一个份额或多到m – 1个份额都不会危及密钥，且少于 m – 1个用户不可能共谋得到密钥，同时若一个份额被丢失或损坏，还可恢复密钥 Shamir 秘密共享, Blakley 秘密共享 根据t和n的选择，权衡安全性和可靠性。 高 t，提供高安全性，低可靠性 低 t，提供低安全性，高可靠性 门限秘密共享 8 Shamir秘密共享 (t, n) 秘密共享 秘密信息 K 把一个信息（秘密地秘方，发射代码等）分成 n部分(P1,…,Pn)，每部分叫做它的“影子”或共享 使用 t-1次任意系数的随机多项式 Step 1. 构造多项式：交易商选择了一个共享秘密, K ( p : 随机素数) 为常数项， F(x) = K + a1x + a2x2 + … + ak-1xt-1 mod p 为 t-1 次任意系数的随机多项式。 Step 2. 秘密分割：分配 F(i) (i=1,…,n) 安全共享 Pi。 Step 3. 秘密恢复：当 t 共享 =(K1, K2,…,Kt) 其中 n 是给定的, 使用拉格朗日差值多项式方案恢复K。 9 例如： (3,5) 秘密共享 K=11, p=17 构造 2次随机多项式 F(x) = K + a1x + a2x2 mod p a1=8, a2=7 F(x) = 11 + 8x + 7x2 mod 17 秘密分割 K1 = F(1) = 712 + 8 1 + 11  9 mod 17 K2 = F(2) = 722 + 8 2 + 11  4 mod 17 K3 = F(3) = 732 + 8 3 + 11  13 mod 17 K4 = F(4) = 742 + 8 4 + 11  2 mod 17 K5 = F(5) = 752 + 8 5 + 11  5 mod 17 （K1, K2, K3, K4, K5 ）=(P1,…,P5) Shamir秘密共享 10 解方程恢复秘密： 由 K2, K3, K4, 我们可以得到 K = 11 a 22 + b 2 + K  4 mod 17 a 32 + b 3 + K  13 mod 17 a 42 + b 4 + K  2 mod 17 解 3个变量的多项式方程 获得 K. 利用拉格朗日插值 For =(K1,