密码学原语如何应用？走近门限密码算法.pdfVIP

密码学原语如何应⽤？⾛近门限密码算法 隐私数据密⽂控制权只能由单⼀主体掌控？代表控制权的密钥如何才能安全地交由多个互不信任的主体协同使⽤？如何 在技术层⾯保障多⽅授权的公平公正性？任⼀参与协作的主体密钥丢失，如何实现安全可靠的容灾恢复？ 在业务⽅案设计中，安全可控地让多个隐私主体参与数据协作，是隐私保护技术创造新兴商业价值的关键之⼀。在这⼀ 过程中，代表控制权的密钥由哪⼀⽅来掌握，是影响参与者合作意愿的重要因素。 因为哪⼀⽅拥有了密钥，相当于哪⼀⽅就获得了控制权，未能掌控密钥的另⼀⽅，则可能在合作关系中处于弱势。这将 成为实现公平对等多⽅协作关系的⼀个关键阻碍。 以多⽅决策为例，上市公司的⼀次董事会会议中，需要多数董事对决策项进⾏签字才能⽣效。出于某些影响，会议⽆法 ⾯对⾯举⾏，所有董事必须使⽤数字签名来远程完成这⼀个签字过程。为了保证决议过程的机密性和公正性，每位董事 不希望其他董事知晓⾃⼰的选择，同时要让股东团体对最后的决策结果，即聚合后的签名，进⾏验证。 这个过程中，存在三个隐私保护相关的主要功能点： • 每位董事的签名控制权须由⾃⼰控制，⽽不是由中⼼化的可信第三⽅来代理⾏使权⼒。 • 代表决策结果的聚合签名只需多数董事同意，便可⽣成合法的声明。 • 股东团体需要对聚合后的签名进⾏验证，但⽆需知道具体哪些董事对此进⾏了签名。 以上功能点涉及在多⽅协作过程中，如何将原本单个的密钥安全地打碎成多个密钥分⽚，并让每个主体独⽴使⽤⾃⼰的 密钥分⽚，合作完成所需的密码学协议过程。解决这⼀问题的关键，就在于门限密码算法的巧妙构造。 门限密码算法在多⽅协作的相关场景中应⽤⼗分⼴泛，可以实现数据联合授权、认证、密钥安全恢复、密钥安全交换等 需求，在诸多分布式多⽅计算协议中均可见其⾝影。 本⽂主要从秘密分享、门限加密、门限签名三⼤应⽤⽅向，分享门限密码算法的奇妙之处。 秘密分享 1979年，Adi Shamir和George Blakley各⾃独⽴地提出秘密分享（Secret Sharing）的概念，奠定了门限密码学体系的 基础。 具体⽽⾔，秘密分享是指⼀种安全地在多个参与者之间分享秘密的⽅式，其满⾜以下特性： • 每个参与者都独⽴持有⼀部分关于秘密S的分⽚，只有将⾜够数⽬的分⽚组合起来，才能够重新恢复出秘密S。 • 当获得的分⽚数量不⾜时，⽆论采⽤何种组合策略，不会泄露关于秘密S的任何信息。 秘密分享在学术上的价值在于，提供了⼀种技术⼿段，将原本单⼀的密钥，以密钥分⽚的形式，安全地、平等地分配到 多个参与者⼿中，除此之外，还实现了以下额外的安全特性： • 容错⾼可⽤：不会因为少量密钥分⽚损坏和丢失，⽽导致密钥不可⽤。 • 抗侧信道攻击：原本固定的密钥，在密码学算法⼯程实现的执⾏过程中，可能会泄露⼀部分密钥的信息（参见第5论 中的灰盒安全模型），但进⾏分⽚之后，成功实施此类攻击的难度将指数上升。 对于业务应⽤⽽⾔，主要使⽤的特性是密钥安全平等分配和容错⾼可⽤，可以⽤来满⾜价值贵重的物品或权利不能由单 ⼀主体掌控的业务需求，以此控制盗⽤、滥⽤等潜在风险。 例如，董事会的印章不能由单独的成员持有，银⾏保险箱的钥匙不能由单独的职员保管。在数字化的场景中，涉及多⽅ 隐私数据的业务合作，数据密钥也不能由单⼀主体掌管。 为了实现安全的秘密分享效果，最直接的秘密字符串分⽚⽅式并不能保障其安全性，攻击者⽆需收集⾜够的分⽚，便可 以获得秘密的部分信息，⽰例如下： 因此，我们需要引⼊更为精巧的分⽚构造⽅式。 最常见的构造⽅式利⽤了拉格朗⽇多项式插值算法。其核⼼思想为，t个点可以确定⼀个t-1阶多项式对应的曲线。每⼀ 个秘密分⽚都相当于多项式曲线上的⼀个点： • 只要收集不同点的数⽬达到t个，就可以通过拉格朗⽇多项式插值算法求解出多项式中代表秘密的系数值。 • 如果点的数⽬不⾜t个，对应的多项式有⽆限多个，对应的秘密可能是任意值，对秘密的机密性保护达到了信息论安 全。 具体构造⽅式可以参考Shamir Secret Sharing的(t, n)秘密分享⽅案，即，将秘密分为n份，任意t份都可以完整地恢复出 拆分前的秘密。构造过程如下： • 将秘密S作为多项式的第0阶常量系数，其余t-1个系数随机⽣成，由此构造出⼀个t-1阶的多项式，对应的曲线为C。 • 在曲线C上随机选n个不同的点，将其分发给n个参与者。 • 只要不⼩于t个参与者同意使⽤⾃⼰的点参与协同运算，便可恢复出曲线C对应的多项式，取其中第0阶常量系数，便 可获得秘密S。 秘密分享在分布式密钥⽣成、密钥容灾恢复、数字版权管理、数据安全传