劉 恒

(玉林師范學院計算機科學與工程學院，廣西玉林537000)

0 引言

1979 年，Shamir［1］和 Blakley［2］獨立地提出了秘密共享這一思想.此外，還有基于中國剩余定理的Asmuth-Bloom法［3］和使用矩陣乘法的Karnin-Greene-Hellman法［4］等.近 30年來，學者們針對不同的應用問題，提出了各種各樣的方案，例如可驗證的秘密共享和多秘密共享，具體可參考文獻［5-6］.

筆者前期研究中提出的可區(qū)分秘密分享者角色的防欺詐秘密共享方案［7］已假定秘密分發(fā)者誠實可信，在進行秘密共享方案的初始化過程中，一旦秘密分發(fā)者作弊，分發(fā)出來的是錯誤的或者虛假的數(shù)據(jù)，則秘密共享方案失敗，該方案是單秘密共享方案，也就是說，秘密份額是一次性的，只能使用一次，這在現(xiàn)實應用中是很難讓人滿意.為了可以同時共享多個秘密，且達到防止秘密分發(fā)者的欺詐和共享者的欺騙，筆者在前期方案［7］的基礎(chǔ)上提出了一個可區(qū)分共享者角色的可驗證的多秘密共享方案.

1 改進后的方案

在下面的描述中，E(M，K)表示用密鑰K對報文M加密后得到的密文.為討論方便，先假設(shè)分享秘密的共享者分別為A、B和C共3種角色，若有更多的角色類別可類推.

1.1 參數(shù)建立

方案有1個秘密分發(fā)者和n個共享者.秘密分發(fā)者設(shè)為 D，n 個共享者是 P1，P2，…，Pn，擔任A、B、C 共3 種角色中的1 種，M1，M2，…，Mm是所要共享的m個秘密.D利用密鑰分配器分別向三類共享者分配密鑰，密鑰分配器是產(chǎn)生密鑰和加密所產(chǎn)生密鑰的中心源G，事先為G設(shè)置一個密鑰KG.有一個系統(tǒng)公告牌，每個共享者均可讀到公告牌上的內(nèi)容，但無權(quán)向公告牌上寫內(nèi)容，只有D可以在公告牌上修改或?qū)懭雰?nèi)容.D事先進行幾項工作.

(1)選定一個大素數(shù)p和一個生成元g，g為Zp的生成元，這兩個數(shù)字公布在公告牌上.

(2)選定一個素數(shù)q，其中q|p-1.

(3)選h是p的一個素根，即hn≡1 mod p.

(4)D的私鑰，即要分割的密鑰為S.選擇正整數(shù) a、b、c(a+b+c＞ =p)，這 3 個數(shù)字保密，滿足S=a+b+c mod p，且將S分解為n個{si}，將它的公開密鑰T=gSmod p公布在公告牌上.

(5)設(shè)f(r，s)是一個二元單向函數(shù)，具有如下性質(zhì)：

a) 已知 r、s，容易計算出 f(r，s);

b)已知 s和 f(r，s)，不能求出 r;

c)已知 r和 f(r，s)，不能求出s;

d) 未知 s，對任意 r，難以計算 f(r，s);

e)已知s，找到不同的r1和r2滿足f(r1，s)=f(r2，s)在計算上是不可行的;

f) 已知任意多的(ri，f(ri，s))對，其中 r≠ri，求f(r，s)是不可行的.

隨機選擇一個整數(shù)r將其公布在公告牌上，r∈Zp，計算出 f(r，si)和 σi=gf(r，si)mod p(i=1，…，n).

(6)在［m，p-1］中選取n個隨機整數(shù)ui(i=1，…，n)分別作為每個共享者Pi的公開身份信息.

(7)根據(jù) n+m 個數(shù)值對(0，M1)，(1，M2)，…，(m-1，Mm)以及(ui，f(r，si))，i=1，…，n，構(gòu)造n+m-1次多項式：h(x)=a0+a1x+a2x2+…+an+m-1xn+m-1.計算出 εj≡gajmod p(j=0.1，…，n+m-1)，并公布在公告牌上.

(8)從集合［m，p-1］/Y{ui}(i=1，…，n)中取出最小的 n+m-t個整數(shù) d1，d2，…，dn+m-t，并計算出 h(dk)和 τk=gh(dk)mod p，其中 k=1，…，n+m-t，并將τk公布在公告牌上.

1.2 秘密分發(fā)

密鑰分配器對共享者進行身份鑒別后，先向A類用戶分配密鑰，過程如下：密鑰分配器隨機產(chǎn)生大量密鑰 K1，K2，…，Kt，這些密鑰都滿足條件Kimod p=a，并用KG加密形成密鑰流.設(shè)某A類共享者A1獲得G發(fā)來的一些經(jīng)過KG加密的密鑰后，選擇其中一個，如 E(KA1，KG).這時，A1在電腦終端輸入一個密碼，用來加密所選擇的密鑰，形成 E(E(KA1，KG))，并將這個經(jīng)過兩次加密的密鑰回送給G解密這一密鑰，使之只處在保護下，即 E(EA1)，并將其發(fā)送給A1，A1用對之解密，則得到自己挑選的密鑰KA1，同時它在域中產(chǎn)生隨機數(shù)aA1，將aA1KA1作為自己的私鑰，然后將之代入到下面的式子中：PA1=gKaA1mod p.求出PA1作為自己的公鑰，并將PA1發(fā)送給G.

接下來密鑰分配器向B類共享者分配密鑰，流程與前面所述的A類共享者相似，唯一改變的是，密鑰分配器隨機產(chǎn)生的大量密鑰都滿足條件：Kimod p=b;而對于C類共享者，密鑰分配器隨機產(chǎn)生的大量密鑰都滿足條件：Kimod p=c.

分配結(jié)束后，每個共享者都得到了個人的私鑰，而密鑰分配器G上則有每個共享者的公鑰.D可以把這些公鑰整理成共享者的公鑰表公布在公告牌上，以后可以用于驗證共享者的數(shù)字簽名.

在新方案中，a、b、c是秘密片段，是共享秘密的影子，而每個共享者的私鑰可以認為是a、b、c的影子，正因為有這種影子的擴展，每種角色的人員都可以有無數(shù)個.密鑰分配器可以同時分配多個密鑰，達到多秘密共享，則有：

1.3 密鑰使用

當需要獲得共享的秘密時，只要每種角色中各有一人合作即可恢復.但有時并不需要恢復秘密，而只需要確認某3個人分別持有3個角色的秘密片段，且他們都認可某個消息.假設(shè)一個消息M要求必須經(jīng)過上述3種角色中各一人的認可才能生效，設(shè)A角色中某個Ai看過消息M后認可此消息，則他需要用到他的私鑰進行以下操作：

①求出a=KAimod p;②計算T1=gamod p;③用私鑰對消息M與T1進行簽名，并發(fā)送給驗證者.

同時，如果B角色中的某個Bi看過消息M后也認可此消息，則他也進行類似的計算并簽名.在經(jīng)過最后一個人簽名后，驗證者可利用D的公鑰驗證：T=(T1×T2×T3)mod p.如果該式成立，則可確認：

(1)這3個人分別是A、B、C共3個角色的成員;(2)這3個人都認可消息 M，則 T1、T2、T3是這3個人的認證片段.

如果該式不成立，則可以對T1、T2、T3分別驗證 T1=gamod p，T2=gbmod p，T3=gcmod p，哪個式子不成立則說明哪個人是非法的共享者.

更進一步，如果要區(qū)分某種角色中不同人員的權(quán)限，則先要對該角色的秘密片段進行進一步的切割，比如，對A角色中的高級共享者，向其分配秘密片段a;對A角色的普通共享者，向其分配的秘密片段為，這樣，兩個普通共享者認可消息M就相當于一個高級共享者認可消息M，從而區(qū)別其權(quán)限.對各角色的秘密片段做更精細的切割，可以實現(xiàn)更精細的權(quán)限管理.

2 安全性論證

(1)識別秘密分發(fā)者的欺詐.根據(jù)公告牌上的相關(guān)參數(shù)，每一個共享者都可以通過

(2)識別共享者的欺騙.當需要恢復共享的秘密信息M時，n個共享者中可能存在內(nèi)部欺騙者或外部欺騙者，其中，內(nèi)部欺騙者出示假的片段以阻止共享的秘密信息的正確恢復，外部欺騙者則設(shè)法參與共享的秘密信息的恢復以獲得M.

檢測內(nèi)部或外部欺騙者，一是可以根據(jù)對T1、T2、T3分別驗證 T1=gamod p，T2=gbmod p，T3=gcmod p識別;二是即使欺騙者竊取了秘密片段a或b或c，并由此得出了合法的認證片段，但是由于合法的共享者的私鑰是由a或b或c隨機生成的，欺騙者很難由其得到某個合法共享者的私鑰，這樣秘密分發(fā)者在利用公鑰表驗證共享者的簽名時就可識別出欺騙者，因為欺騙者的簽名是用假私鑰冒充某個合法共享者簽的.

3 結(jié)論

筆者在前題研究的基礎(chǔ)上提出了一個可區(qū)分共享者角色的可驗證的多秘密共享方案，除了保留原方案的優(yōu)良特性外，還能有效地防止惡意的秘密分發(fā)者分發(fā)偽信息.同時，根據(jù)二元單向函數(shù)的特性，在秘密恢復過程中，使用子秘密si的偽份額為f(r，si)，可知任何參與者的子秘密都不會被泄露，因為盡管秘密恢復了，但是子秘密仍然是安全的，可以在下次秘密共享中繼續(xù)使用，只要重新選擇一個隨機數(shù)r即可，從而達到了多秘密共享.數(shù)字簽名可繼續(xù)沿用原方案［7］中的簽名算法，共享者完成簽名后，別人無論何時要驗證其簽名，只要從秘密分發(fā)者原來制作的公鑰列表上讀取其公鑰，對其運用DSS數(shù)字簽名的驗證算法即可.該方案具有廣闊的應用前景，如何產(chǎn)生f(r，s)的表達式和增強密鑰使用的安全性，將是筆者下一步的研究方向.

［1］SHAMIR A.How to share a secret［J］.Comm of ACM，1979，22(1)：612-613.

［2］BLAKLEY G R.Safeguarding cryptographic keys［C］∥Proc NCC，AFIPS Press，Montvale，1979，48：313-317.

［3］ASMUTH C，BLOOM J.A Modular approach to key safegrarding［J］.IEEE Transactions On Information Theory，1983，29(2)：208-210.

［4］KARNIN E D，GREEN J W，HELLMAN M E.On sharing secret systems［J］.IEEE Transactions On Information Theory，1983，29(1)：35-41.

［5］龐遼軍，李慧賢，李志潔，等.一個可驗證的門限多秘密共享方案［J］.哈爾濱工業(yè)大學學報，2008，40(9)：1462-1465.

［6］周洪偉，郭淵博，李沁.門限多重秘密共享方案［J］. 計算機工程與設(shè)計，2008，29(8)：1946-1951.

［7］LIU Heng，WU Hua-jian.A cheating-proof secret-sharing scheme capable of differentiating the roles of the secret sharers［J］.Journal of zhengzhou：Natural science，2006，38(3)：35-38.