一种公开可验证秘密共享方案.docVIP

一种公开的可验证秘密共享方案 　　摘 要：公开的可验证秘密共享(PVSS)方案是一种任何一方均能公开地验证共享正确性的可验证秘密共享方案，验证并不局限于共享所属的参与者本人，所以它比一般的可验证秘密共享方案有着更广泛的应用。提出了一个基于公钥密码和零知识证明的，非交互式的，信息论安全的PVSS方案。该方案实现简单，且易于扩展和更新，特别适宜于一般接入结构上公开的可验证秘密共享。 　　关键词：秘密共享； 接入结构； 零知识证明； 公钥密码 　　中图分类号：TP309文献标志码：A 　　文章编号：1001―3695(2007)03―0146―03 　　秘密共享在现代密码学中有着非常重要的应用。一个秘密共享方案至少包含两个基本协议：①分配协议。秘密分发者（Dealer）将秘密s分割成n份s1,s2,…,sn，每一份称为共享（Share）或影子，分发给每一个参与者。②重构协议。授权子集中的所有参与者合作，能够恢复秘密s。最早的秘密共享是一种(k,n)门限方案，分别由Blakley[1]和Shamir[2]于1979年提出；接着Ito[3]和Benaloh[4]提出了更一般接入结构（Access Structure）上的秘密共享。 　　最初的秘密共享方案要求所有参与者都是诚实的。但在现实生活中，可能会出现一些恶意的行为：秘密分发时，分发者将不正确的共享分发给某个或某些参与者；秘密恢复时，参与者提供不正确的共享。为了防止以上恶意行为的出现，Chor[5]第一次提出了可验证秘密共享。在文献[5]中，秘密分发者通过秘密信道将共享分发给各参与者，并且各参与者能够根据公开的信息检验属于自己份额的共享的正确性。在后来的实际应用中，Chor方案又显示出了不足之处：需要秘密信道传送共享，共享不能被公开验证。为了弥补这一缺陷，Stadler[6]提出了一种公开的可验证秘密共享方案。在文献[6]中，秘密分发者将各参与者的共享加密并附加上一个证明，在公开信道上传送，使得共享能够被公开验证，但又不被泄露。?? 　　显然，与前面的方案相比，Stadler方案更有实用价值。但是，它还不是一个完备的方案。虽然能够公开地验证分发给各参与者的共享的正确性，但并不能保证各参与者提交正确的共享。针对Stadler方案的不足，Schoenmakers[7]提出了一个更完整的非交互式的PVSS方案；接着，文献[8]也提出了一个类似的方案。不同的是，前者是计算安全的，而后者是信息论安全的（无条件安全的）。 　　在Schoenmakers的公开可验证秘密共享方案中，任何一方都能公开地验证共享的正确性，验证并不局限于共享所属的参与者本人，所以它比一般的可验证秘密共享方案应用更广。例如，可以作为密钥托管（Key Escrow）、电子投票（Electronic Voting）、电子支付（Electronic Cash）等系统中的基本密码协议。目前，多数PVSS方案均是基于拉格朗日多项式插值的方法。多项式插值的方法在处理门限方案时非常有效，但推广到一般的接入结构上时却很复杂。 　　 　　1 非交互式PVSS模型 　　在PVSS方案中，秘密分发者希望在n个参与者中分享秘密s。令P={P1,P2,…,Pn}是参与者集合；Γ 2P，是由P的子集所组成的集合，且Γ中任意子集均能够恢复秘密，则称Γ为接入结构（Access Structure），Γ中的元素称之为授权子集（Authorized Subset）。在文献[7]中，Schoenmakers定义了一个非交互式的PVSS模型。与一般的VSS相比，PVSS有一个最明显的特征：在秘密分发者与各参与者之间没有秘密信道，所有的信息加密后，在公开信道上传输。?? 　　（1）系统初始化。采用公开有效的算法生成所需的系统参数。这部分并不需要分配者与各参与者之间交互信息，而且参与者可以动态地加入或离开。加入时，参与者Pj秘密选择一个私钥xj，注册其公钥yj。假定执行以下协议的参与者均已注册。 　　（2）共享分发。这部分协议可细分为两个子协议。 　　①共享的分发。秘密分发者D选择一个秘密s，在n个参与者P1,P2,…,Pn中分享。首先，D为每个参与者Pj生成一个共享sj（j=1,…,n），公开加密的共享Ej(sj)。其次，为了确保Ej(sj)中加密了正确的共享sj，需要加上相应的证明PROOF??D。另外，PROOF??D还作为D对秘密s的一个承诺，保证在重构协议中得到同样的s。?? 　　②共享的验证。知道加密算法Ej及其相应公钥的用户均可以验证加密共享的正确性。运行PROOF??D的一个非交互式的验证算法，验证Ej(sj)中sj的正确性。一个或多个共享验证失败时，中止协议的继续执行。因为任何人可以根据公开信息验证共享的正确性，这样