现代密码学原理与应用第7章 .pptVIP

7.4.1 Shamir门限方案 1979年，Shamir利用有限域上的多项式方程结合Lagrange插值公式构造了一个(t，n)门限方案。 设GF(p)是一有限域，共享密钥k∈GF(p)。可信任中心给n(np)个共享者Ai(1≤i≤n)分配共享密钥的过程如下： 可信任中心TA随机选择一个t-1次多项式： g(x)=at-1xt-1+at-2xt-2+…+a2x2+a1x+a0 (2) 可信任中心TA在GF(p)中选择n个非零的、互不相同的元素x1,x2,…,xn，分别计算： yi=g(xi) i=1,2,…,n 也就是找出曲线g(x)上的n个点。 (3) 把第i个点，即把(xi, yi)作为秘密份额分配给第i个共享者Ai，xi是公开的，通常可以直接取共享者Ai的身份IDi，yi是属于共享者Ai的秘密份额，i=1,2,…,n。 假如已知t个秘密份额(xr, yr)，r=1,2,…,t，由Lagrange插值公式可重建多项式g(x)如下： 显然，只要知道g(x)，易于计算出共享密钥k。由于k=g(0)，因此有 【例7-2】在Shamir门限方案中，假设t=3，n=5，p=17，可信任中心TA将5个秘密份额分配给5个用户A、B、C、D和E保管。现有其中任意3个用户A、C和E到场，他们的秘密份额分别为(1,8)、(3,10)和(5,11)。请重构出多项式g(x)，求解共享密钥k。 已知A、C和E的秘密份额分别为(1,8)、(3,10)和(5,11)，由于 共享密钥k=g(0)＝13 7.4.2 Asmuth-Bloom门限方案 1983年，Asmuth-Bloom提出了一个基于中国剩余定理的(t，n)门限方案，该门限方案描述如下： 1) 选取n个大于1的整数m1, m2, … , mn（mi与mq两两互素，且i≠q），这n个整数严格递增m1＜m2＜ … ＜mn； 2) 选取秘密整数k，满足mnmn-1…mn-t+2＜k＜m1m2…mt； 3) 计算M = m1m2…mn为n个mi之积； 4) 计算ki ≡ k (mod mi)； 5) 以(ki, mi, M)作为一个秘密份额，分配给第i个共享者Ai，n个共享者A1, A2,…, An每个人拥有一个秘密份额。 在Asmuth-Bloom (t，n)门限方案中，n个共享者当有t个人参与时，每个参与者计算 根据剩余定理可求得 显然，当有t个人参与，拥有t个秘密份额时，可求解出k，但当参与者少于t个，则无法求解出k。 【例7-3】设t=3, n=5, m1=97, m2=98, m3=99, m4=101, m5=103，可信任中心TA将5个秘密份额分配给5位共享者，现已知共享者A1拥有秘密份额(53, 97, 9790200882)，A4拥有(23, 101, 9790200882)，A5拥有(6, 103, 9790200882)，求解秘密整数k。 由于M=m1m2 m3 m4m5=9790200882 又k1=53, k4=23, k5=6, 因m4m5＝10403，m1m2m3=941094 所以，k满足m4m5km1m2m3。 7.4.3 防欺骗行为的密钥共享方案 在门限方案中，作为信任中心TA和持有份额的秘密共享者Ai都有可能不诚实，以至于会发生欺骗行为。如今，出现了一些对(t，n)门限方案的改进方案，重点在于研究如何检测或者防止这些欺骗行为的出现。 1．防止信任中心TA的欺骗行为 该方法如下： 1) TA利用g(x)产生所需数量的秘密份额，分发给共享者； 2) TA另选大量t-1次多项式，比如说100个，h1(x)，h2(x)，…，h100 (x)，并利用它们各自生成一套秘密份额，也分别分发给共享者； 3) 全体共享者合作任选50个hi(x)，并根据相应的秘密份额将它们重建出来。如果重建的这50个多项式都是t-1次的，则几乎可以确信另50个未重建的hi(x)也是t-1次的； * 第7章 密钥管理 7.1 概述 密钥管理的目的是确保密钥的安全性，即密钥的真实性和有效性，进而来保证密码系统的安全性? 一个好的密钥管理系统应该做到： (1) 密钥难以被窃取； (2) 在一定条件下密钥被窃取也没有用，密钥有使用范围和时间限制； (3) 密钥的分配和更换过程对用户透明，用户不一定要亲自管理密钥?