田秀霞, 張 悅, 顏赟成

(上海電力大學(xué) a.計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院; b.能源與機(jī)械工程學(xué)院, 上海 200090)

隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的發(fā)展和大數(shù)據(jù)時(shí)代的到來(lái),人們?cè)谏詈凸ぷ髦械臄?shù)據(jù)越來(lái)越重要,與此同時(shí)信息泄露問(wèn)題也日趨增多。近期自新型冠狀病毒肺炎疫情爆發(fā)以來(lái),為了能夠更好地控制疫情,多家企業(yè)上線了與疫情相關(guān)的大數(shù)據(jù)產(chǎn)品,各級(jí)政府部門也同時(shí)組織摸排和收集返鄉(xiāng)人員的信息和資料。在此過(guò)程中,個(gè)人信息存在著被非法收集、泄露和傳播的風(fēng)險(xiǎn),而且惡意攻擊者泄露通信數(shù)據(jù)的案例比比皆是。這些問(wèn)題嚴(yán)重影響了人民生活并且危害了國(guó)家安全。為了解決這些問(wèn)題,很多研究者通過(guò)研究發(fā)現(xiàn),秘密共享(Secret Sharing)技術(shù)可以有效解決這些問(wèn)題,高效保護(hù)隱私數(shù)據(jù)和提高網(wǎng)絡(luò)安全。

秘密共享技術(shù)包括參與者、分發(fā)者、秘密3個(gè)部分,對(duì)于正整數(shù)t和n(t≤n),規(guī)定有n個(gè)參與者,至少t個(gè)參與者參與重構(gòu)秘密。分發(fā)者將秘密分發(fā)給各個(gè)參與者,參與者拿到各自的秘密份額后,至少t個(gè)參與者的秘密份額參與秘密重構(gòu),方可重構(gòu)秘密,否則不能得到秘密。制定秘密共享方案時(shí),要考慮效率和安全性。分發(fā)多個(gè)秘密時(shí),重復(fù)共享方案會(huì)降低方案的安全性,而每次分發(fā)秘密更新秘密份額,雖然可以提高安全性,但會(huì)降低秘密分享效率。因此,針對(duì)不同的應(yīng)用場(chǎng)景需要構(gòu)建不同的秘密共享方案。本文通過(guò)查閱大量文獻(xiàn),歸納總結(jié)了秘密共享方案的發(fā)展過(guò)程及其應(yīng)用。

1 秘密共享發(fā)展

隨著計(jì)算機(jī)在電子郵件、電子資金轉(zhuǎn)移和信息存儲(chǔ)等領(lǐng)域的普及,保護(hù)隱私信息不被泄露、重要信息不被破壞等問(wèn)題變得更加重要。1979年,文獻(xiàn)[1]和文獻(xiàn)[2]分別提出了一種不同類型的保護(hù)方案——閾值方案,一種針對(duì)公鑰密碼的方案。閾值方案的基本思想是創(chuàng)建消息的“陰影”(秘密),有一定數(shù)量的陰影(稱為閾值)可用,然后可以檢索消息,表示為(m,n)閾值方案,其中m為閾值,n為陰影的數(shù)量。秘密共享方案基本原理如圖1所示。

圖1 秘密共享方案的基本原理

1979年,文獻(xiàn)[1]提出了秘密共享方案。該方案基于多項(xiàng)式內(nèi)插法:設(shè)定S為秘密值的集合S={s1,s2,s3,…,sn},設(shè)f為秘密共享函數(shù),f(x)=a0+a1x+…+ak-1xk-1,使得f(0)=s,計(jì)算s1=f(1),s2=f(2),…,sn=f(n),然后將(i,si)(i=1,2,3,…,n)分給n個(gè)不同的參與者,當(dāng)掌握了任意t對(duì)(i,si)時(shí),就可以確定f(x)的系數(shù),從而確定秘密S;當(dāng)所掌握的(i,si)的數(shù)對(duì)少于t對(duì)時(shí),則無(wú)法確定S。

通常密鑰是解密唯一的鑰匙,但如果密鑰因?yàn)椴豢煽咕艿脑?出現(xiàn)消失或損壞,那么就不能訪問(wèn)秘密S。然而,通過(guò)秘密共享方案,可以很好地解決這一問(wèn)題。選取合適的t,將其分散放置在每個(gè)參與者手中,只要有大于或等于t個(gè)參與者共同參與訪問(wèn)秘密S,那么秘密就可以被訪問(wèn)。但需要注意的是,在使用文獻(xiàn)[1]方法時(shí)要選擇合適的t值。

與此同時(shí),文獻(xiàn)[2]也提出了基于線性投影幾何的秘密共享方案。它是一種概率性方法。文獻(xiàn)[1]和文獻(xiàn)[2]的方案奠定了門限方案的基礎(chǔ)。

1.1 多秘密共享

1992年,文獻(xiàn)[3]提出了多秘密共享的應(yīng)用場(chǎng)景:有很多枚導(dǎo)彈,每枚導(dǎo)彈都有自己的發(fā)射密碼,通過(guò)管理每枚導(dǎo)彈的發(fā)射密碼,使得導(dǎo)彈能夠安全發(fā)射,最簡(jiǎn)單的方案就是每枚導(dǎo)彈都進(jìn)行一次秘密共享。該方案的缺點(diǎn)是,參與者需要儲(chǔ)存大量的秘密份額,同時(shí)由于秘密份額的數(shù)量過(guò)多,不方便管理。其優(yōu)點(diǎn)是可以安全有效地管理導(dǎo)彈發(fā)射問(wèn)題。但是秘密共享一次只能重構(gòu)一個(gè)秘密,當(dāng)需要同時(shí)發(fā)射多枚導(dǎo)彈時(shí),會(huì)導(dǎo)致重構(gòu)秘密效率太低。1994年,文獻(xiàn)[4]提出了基于單向函數(shù)的多階段秘密共享方案(Multistage Secret Sharing Scheme),解決了同時(shí)發(fā)射多枚導(dǎo)彈的問(wèn)題,可以—次共享多個(gè)秘密,并且每個(gè)參與秘密重構(gòu)的參與者只需要存儲(chǔ)一個(gè)秘密份額。但使用該方案時(shí),重構(gòu)秘密的順序不能改變。為了優(yōu)化上述方案,1995年,文獻(xiàn)[5]提出了多秘密共享方案(Multi-secret Sharing Scheme),重構(gòu)秘密順序可以發(fā)生改變,分發(fā)者的秘密份額可以重復(fù)使用,由此提高了共享秘密的效率。多秘密共享方案是秘密共享方案的改進(jìn)。在一個(gè)秘密共享過(guò)程中共享多個(gè)秘密時(shí),最初的秘密共享就不能在此場(chǎng)景中使用。該方案也存在一些安全性問(wèn)題。同一時(shí)間,文獻(xiàn)[6]提出了一種可驗(yàn)證秘密共享方案。該方案可交互且使用的是離散對(duì)數(shù)難解性算法,實(shí)現(xiàn)了對(duì)秘密份額的驗(yàn)證,提高了方案的安全性。2000年,文獻(xiàn)[7]提出了一種基于系統(tǒng)分組碼的(t,n)門限多秘密共享方案。其優(yōu)點(diǎn)是可以同時(shí)重構(gòu)p(p>1)個(gè)秘密,因此該方案一經(jīng)提出,便得到了廣泛應(yīng)用。在使用的過(guò)程中,人們發(fā)現(xiàn)該方案計(jì)算量大,需要解(n+p-t)聯(lián)立方程,而且秘密泄露問(wèn)題頻繁出現(xiàn)。2002年,文獻(xiàn)[8]提出了防欺騙的多秘密共享方案。該方案的結(jié)構(gòu)是通過(guò)映射F:GF(pt)n→GF(pt)m定義的。該方案考慮了兩種作弊策略以及兩種不同的場(chǎng)景,并計(jì)算出成功作弊的概率,由此構(gòu)造了防欺騙的多秘密共享方案。2004年,文獻(xiàn)[9]提出了一種基于文獻(xiàn)[1]秘密共享的替代方案,需要重構(gòu)(t-1)或(p-1)次拉格朗日插值多項(xiàng)式。因此,它比文獻(xiàn)[7]的方案更容易計(jì)算。

2005年,文獻(xiàn)[10]提出的方案采用離散對(duì)數(shù)難解性算法進(jìn)行秘密份額的驗(yàn)證,提高了方案的安全性。2006年,文獻(xiàn)[11]提出了可驗(yàn)證的多重秘密共享方案,參與者可以自己選擇自己的秘密份額,提高了秘密共享的效率,因此該方案可以運(yùn)用于更廣泛的場(chǎng)景。2007年,文獻(xiàn)[12]提出了改進(jìn)的多秘密共享方案,繼承上述方案的優(yōu)點(diǎn),而且在共享秘密的過(guò)程中不需要安全傳輸信道,其安全性得到了大幅度提升,實(shí)際應(yīng)用十分廣泛。2008年,文獻(xiàn)[13]提出了一種新的基于文獻(xiàn)[1]的門限多秘密共享方案。在該方案中,為了共享p個(gè)秘密,只需要t次拉格朗日插值多項(xiàng)式,因此該方案比上述方案更容易計(jì)算,特別是當(dāng)p或n很大時(shí)。同年,文獻(xiàn)[14]提出了基于橢圓曲線的多秘密共享方案,利用橢圓曲線上自配對(duì)的特點(diǎn)審查了方案的安全性;文獻(xiàn)[15-16]提出了可驗(yàn)證秘密共享方案,將RSA加密技術(shù)應(yīng)用到方案中,以保護(hù)交互信息。

近年來(lái),文獻(xiàn)[17]提出了基于同態(tài)性質(zhì)的多秘密共享方案。該方案構(gòu)造了一個(gè)(t-1)次的多項(xiàng)式,使得n個(gè)參與者能夠共享t個(gè)秘密。每個(gè)參與者只持有一份各自的秘密份額,并使用自己的秘密份額按順序恢復(fù)秘密,利用同態(tài)性分享多個(gè)秘密并保證單個(gè)秘密不被泄露。文獻(xiàn)[18]提出了加權(quán)門限多秘密共享方案,設(shè)定了門限條件,n個(gè)參與者隨機(jī)生成各自的秘密份額,利用中國(guó)剩余定理(Chinese Remainder Theorem,CRT)計(jì)算出秘密份額的影子信息并驗(yàn)證其正確性即可恢復(fù)秘密。該方案極大地提高了秘密份額的安全性,可以防止參與者利用其進(jìn)行欺詐并使攻擊者無(wú)法偽造。

各多秘密共享方案比較如表1所示。

表1 多秘密共享方案比較

1.2 可驗(yàn)證秘密共享

可驗(yàn)證秘密共享(Verifiable Secret Sharing,VSS)是針對(duì)不誠(chéng)實(shí)的參與者的。不誠(chéng)實(shí)的參與者存在兩種欺騙現(xiàn)象:一種是惡意分發(fā)者分發(fā)不合法的秘密份額給參與者,造成無(wú)法重構(gòu)秘密;另一種是惡意參與者提供非法的秘密份額,破壞秘密恢復(fù)[19]。1985年,文獻(xiàn)[20]提出了可驗(yàn)證秘密共享方案的概念,構(gòu)造了一種新型認(rèn)證算法。該算法具有交互式特點(diǎn),能夠讓所有人(包括未參與重構(gòu)秘密的參與者)都可以對(duì)分發(fā)者分發(fā)的秘密份額進(jìn)行驗(yàn)證,提高了方案的安全性,避免了惡意分發(fā)者泄露秘密。但是因?yàn)槊總€(gè)參與秘密重構(gòu)的參與者都要與分發(fā)者信息交互以驗(yàn)證秘密份額是否合法,因此該方案的效率較低[21]。1987年,文獻(xiàn)[22]提出了非交互式秘密共享方案,但該方案是基于離散對(duì)數(shù)難解性設(shè)計(jì)的,分發(fā)者會(huì)發(fā)布一個(gè)承諾信息,而該承諾信息是一個(gè)藏有秘密的多項(xiàng)式,每個(gè)參與秘密重構(gòu)的人只需要驗(yàn)證該承諾信息即可,這樣就驗(yàn)證了份額的合法性。但是承諾信息一旦被泄露,這個(gè)秘密將會(huì)被泄露。1992年,文獻(xiàn)[23]基于ElGarnal簽名技術(shù)提出了高效安全的非交互式可驗(yàn)證秘密共享方案:假設(shè)不誠(chéng)實(shí)的分發(fā)者在不確定的多項(xiàng)式時(shí)間內(nèi)分配不一致的秘密份額,那么該方案就不會(huì)泄露任何關(guān)于秘密的信息。1996年,文獻(xiàn)[24]提出了基于ElGamal密碼系統(tǒng)的可公開(kāi)驗(yàn)證秘密共享方案。該方案解決了重構(gòu)秘密效率低的問(wèn)題,提高了秘密分發(fā)者和參與重構(gòu)秘密的人的安全性,但缺點(diǎn)是秘密分發(fā)者存在欺騙導(dǎo)致不能重構(gòu)秘密,秘密份額不能實(shí)現(xiàn)更新。2011年,文獻(xiàn)[25]優(yōu)化了該方案,運(yùn)用雙線性變換的知識(shí)提出了可驗(yàn)證、可更新的秘密分享方案,將驗(yàn)證密鑰用于驗(yàn)證份額并更新秘密份額,分發(fā)秘密的人分發(fā)秘密份額和密鑰,參與重構(gòu)秘密的人驗(yàn)證秘密份額,保證了秘密份額的安全性。經(jīng)過(guò)驗(yàn)證,該方案改進(jìn)了以往方案的不足,可以實(shí)現(xiàn)安全有效的秘密重構(gòu)。

近年來(lái),有很多技術(shù)應(yīng)用到秘密共享方案中,例如基于離散對(duì)數(shù)、基于橢圓曲線加密(Elliptic Curve Cryptography,ECC)、基于CRT、基于RSA加密技術(shù)和單向加密、基于線性幾何加密的方案等。

可驗(yàn)證秘密共享方案比較如表2所示。

表2 可驗(yàn)證秘密共享方案比較

1.3 無(wú)分發(fā)者秘密共享

在最初的秘密共享方案中,包含分發(fā)者、參與者和秘密3個(gè)部分。分發(fā)者持有秘密并且可以決定每個(gè)參與者的秘密份額,因此很容易受到惡意行為的危害。1985年,文獻(xiàn)[26]首次提出了無(wú)秘密分發(fā)者秘密共享(Dealer-free Secret Sharing),但只提出了相關(guān)概念,沒(méi)有提出可實(shí)施的方案。1995年,文獻(xiàn)[27]提出了一種協(xié)議來(lái)構(gòu)造秘密共享方案,實(shí)現(xiàn)了任何訪問(wèn)結(jié)構(gòu),而不需要經(jīng)銷商的幫助。簡(jiǎn)而言之,在文獻(xiàn)[27]的協(xié)議中,制定一個(gè)公有的秘密共享方案共同使用,再制定私有方案用于其他參與者之間共享信息。因此,文獻(xiàn)[27]方案也稱為“民主秘密共享計(jì)劃”。該方案持有份額的人無(wú)需分發(fā)者就可以生成秘密份額。民主的秘密共享只允許在參與者之間共享一個(gè)“隨機(jī)”的秘密,而在傳統(tǒng)的秘密共享方案中,經(jīng)銷商可以共享任何他想共享的秘密。1991年,文獻(xiàn)[28]提出了一種基于門限密碼系統(tǒng)的無(wú)需分發(fā)者的門限秘密共享方案。該方案n個(gè)參與者共享一個(gè)組秘鑰,需要其中k個(gè)參與者聯(lián)合參與方可破解密文。在該方案中,參與者通過(guò)分發(fā)者生成對(duì)應(yīng)的子秘密份額進(jìn)行累加后可重構(gòu)秘密。

1994年,文獻(xiàn)[29]提出了無(wú)需分發(fā)者的門限秘密共享技術(shù),并將該技術(shù)應(yīng)用于群組簽名方案中。此方案的特點(diǎn)是攻擊者經(jīng)過(guò)一次簽名后就可以獲取群組以及成員的私鑰。實(shí)施秘密共享計(jì)劃的一個(gè)重要問(wèn)題是分配給參與者的股份的大小,可以想象,一部分參與者可能會(huì)試圖欺騙,也就是說(shuō),通過(guò)謊報(bào)他們所擁有的股份來(lái)欺騙任何其他參與者。2003年,為了解決簽名后份額持有者的私鑰泄露,文獻(xiàn)[30]提出了基于聯(lián)合秘密共享技術(shù)的(t,n)門限簽名方案。因?yàn)橄到y(tǒng)的安全性隨著必須保密的信息數(shù)量的增加而降低,如果成功作弊的概率被限制在指定的概率范圍內(nèi),即使假定作弊者擁有無(wú)限的計(jì)算資源,閾值秘密共享方案也被認(rèn)為是無(wú)條件安全的,所以可以防止作弊。2008年,文獻(xiàn)[31]提出了無(wú)需分發(fā)者且可驗(yàn)證份額的秘密共享方案,是第一個(gè)基于CRT的聯(lián)合隨機(jī)秘密共享方案。在該方案中,參與者們聯(lián)合生成和共享一個(gè)秘密并且在秘密分發(fā)階段不使用可信的分發(fā)器。2011年,文獻(xiàn)[32]在文獻(xiàn)[2]的線性投影幾何的基礎(chǔ)上,首次提出了基于線性投影無(wú)需分發(fā)者的秘密共享方案。該方案利用安全標(biāo)量積協(xié)議和其他安全多方計(jì)算的基本協(xié)議,達(dá)到了通信低和計(jì)算簡(jiǎn)便的目的,同時(shí)避免了參與者的欺詐行為。2015年,文獻(xiàn)[33]提出了基于CRT的無(wú)需分發(fā)者且可驗(yàn)證份額的門限秘密共享方案。該方案中,參與者通過(guò)分享秘密份額影子得到屬于自己的秘密份額,并且通過(guò)驗(yàn)證秘密份額影子避免了參與者間的欺詐,在秘密分享階段不需要可信中心。之后,為了解決密鑰泄露的情況,文獻(xiàn)[34]運(yùn)用同態(tài)秘密共享技術(shù)提出了無(wú)需分發(fā)者的群組密鑰生成方案,既可以協(xié)同生成秘密份額,又可以保護(hù)密鑰不被泄露。

無(wú)分發(fā)者的秘密共享方案比較如表3所示。

表3 無(wú)分發(fā)者秘密共享方案比較

1.4 可安全重構(gòu)秘密共享

門限秘密共享的重點(diǎn)在于秘密重構(gòu)階段,即設(shè)置閾值K,當(dāng)參與者擁有的秘密份額滿足閾值K或者遠(yuǎn)大于閾值K時(shí),參與者就可以重構(gòu)秘密。然而在此過(guò)程中,參與重構(gòu)秘密的人都可以得知其余參與者的秘密份額。當(dāng)參與者中有攻擊者時(shí),攻擊者可以通過(guò)獲取其他持有者的份額,進(jìn)而恢復(fù)秘密,造成秘密泄露。當(dāng)K個(gè)參與者參與恢復(fù)秘密時(shí),攻擊者會(huì)提供非法的秘密份額使得其他(K-1)個(gè)參與者無(wú)法重構(gòu)秘密,但是攻擊者可以通過(guò)私有份額和(K-1)個(gè)參與者成功地重構(gòu)秘密。

當(dāng)大于K個(gè)參與者參與秘密恢復(fù)時(shí),攻擊者會(huì)偽裝成合法的K個(gè)參與者參與秘密重構(gòu)。可驗(yàn)證秘密共享方案可以驗(yàn)證秘密份額的有效性,當(dāng)秘密份額出現(xiàn)問(wèn)題時(shí),可找出惡意攻擊者。但是攻擊者已經(jīng)騙取的合法秘密份額會(huì)幫助攻擊者重構(gòu)秘密。因此,為了優(yōu)化可驗(yàn)證秘密共享方案,2014年,文獻(xiàn)[35]提出了可安全重構(gòu)秘密的共享方案。該方案基于拉格朗日元件,通過(guò)秘密份額和其他持有者的多項(xiàng)式代入值,即(x,y)中x的值,以及一些其他信息生成拉格朗日元件;然后驗(yàn)證每個(gè)參與者的拉格朗日元件的有效性,當(dāng)都有效時(shí),即可恢復(fù)秘密。此方案在提高方案安全性的同時(shí),解決了可驗(yàn)證秘密共享方案存在的問(wèn)題。

1.5 主動(dòng)式秘密共享

秘密共享技術(shù)可以有效地提高秘密的安全性,但在保存私鑰的過(guò)程中,會(huì)因?yàn)楸４嫠借€時(shí)間過(guò)長(zhǎng),導(dǎo)致秘密泄露。1991年,文獻(xiàn)[36]提出了主動(dòng)式秘密共享(Proactive Secret Sharing)。在該方案中,將保護(hù)秘密時(shí)間分成不同階段,每個(gè)階段所分配給參與者的秘密份額不同,這樣就可以解決因?yàn)楸４婷孛軙r(shí)間過(guò)長(zhǎng)而給惡意攻擊者時(shí)間,導(dǎo)致秘密泄露這一缺點(diǎn)。1995年,文獻(xiàn)[37]提出了主動(dòng)秘密分享方案。該方案實(shí)現(xiàn)了定時(shí)更新份額,但份額持有者的互相欺騙會(huì)導(dǎo)致秘密泄露。2002年,文獻(xiàn)[38]提出了額定更新防欺詐方案,使用的是離散對(duì)數(shù)難解性算法,避免了由于參與者相互欺騙致使秘密泄露的問(wèn)題。該方案的缺點(diǎn)是在秘密分享的過(guò)程中分發(fā)者需要全程參與,而惡意攻擊者會(huì)根據(jù)這一特點(diǎn)攻擊該方案。為了改善上述方案,2004年,文獻(xiàn)[39]提出了一種主動(dòng)式秘密共享的方案,具有異步模式的特點(diǎn),拓寬了主動(dòng)式秘密共享的可應(yīng)用場(chǎng)景,表明實(shí)際環(huán)境中份額持有者會(huì)加入或離開(kāi)系統(tǒng)。為了解決這一問(wèn)題,近期又有研究者提出了份額持有者可變的主動(dòng)式秘密共享方案[40]。

2 秘密共享實(shí)際應(yīng)用

2.1 在電子投票中應(yīng)用

電子投票是指將計(jì)算機(jī)的網(wǎng)絡(luò)技術(shù)和密碼學(xué)進(jìn)行融合,能智能地完成投票和統(tǒng)計(jì)票數(shù)等環(huán)節(jié)的工作。電子投票可以大量減少人為因素,彌補(bǔ)傳統(tǒng)人工投票的不足?，F(xiàn)代安全的電子投票方式需要滿足以下特征:電子選票的隱私性,系統(tǒng)的穩(wěn)固性、方便性、高效性和普遍驗(yàn)證性,選民的身份合法性和投票不重復(fù)性,計(jì)票的公平性和完整性。目前網(wǎng)絡(luò)攻擊者的數(shù)量和手段日益增多,因此電子投票的安全性需要不斷加強(qiáng),需要設(shè)計(jì)出更安全的電子投票方案。

電子投票采用的信息安全技術(shù)方案主要有混合網(wǎng)絡(luò)(Mix-net)、盲簽名(Blind Signature)、同態(tài)加密(Homomorphic Encryption)和秘密共享彌補(bǔ)4種。上述各項(xiàng)方案的優(yōu)缺點(diǎn)可以概括為:混合網(wǎng)絡(luò)方案可以基本保證選票加密的錯(cuò)誤率大大降低[41],但不能實(shí)現(xiàn)對(duì)算法的簡(jiǎn)化、對(duì)計(jì)算量的減少,因此只局限于小規(guī)模的投票;盲簽名方案主要包括FOO[42]和REVS[43]等,但在實(shí)踐中很少使用,原因是該方案不能對(duì)投票結(jié)果相同的選票進(jìn)行計(jì)票,并且投票者操作該方案較為復(fù)雜。相比于前兩種方案,同態(tài)加密方案可以提高選票的安全性,但其加解密選票過(guò)程復(fù)雜,影響選票的數(shù)據(jù)處理,耗費(fèi)了大量時(shí)間,十分低效。相較于前3種方案,秘密共享方案整個(gè)系統(tǒng)的安全性更強(qiáng),選票的數(shù)據(jù)處理更高效,且避免了前3種方案的局限性,可行性更高,因此秘密共享方案是電子投票領(lǐng)域研究的熱點(diǎn)。

在電子投票中應(yīng)用秘密共享技術(shù)方案,就是將一個(gè)儲(chǔ)存全部選票信息的機(jī)構(gòu)分配給不同的儲(chǔ)存設(shè)備,每個(gè)設(shè)備分配到不同份額的投票信息,不同設(shè)備中的選票份額可以用于恢復(fù)全部選票信息。這種策略具有較高的安全性,同時(shí)避免了人為修改選票結(jié)果的惡意影響,減少了信息的儲(chǔ)存空間。現(xiàn)有的秘密共享方案都是以文獻(xiàn)[1]的秘密共享研究為主。其秘密共享的核心就是把選票分成許多個(gè)不同的份額,要想恢復(fù)原先分解前的選票原信息僅僅靠某幾個(gè)碎片份額即可。

文獻(xiàn)[44]證明了文獻(xiàn)[1]秘密共享方案將選票拆分出的不同份額的無(wú)誤性,杜絕了人為因素修改選票信息而帶來(lái)的作弊現(xiàn)象,提高了電子投票的安全性;同時(shí),基于文獻(xiàn)[1]秘密共享?yè)碛袆?dòng)態(tài)加密性的優(yōu)勢(shì),提出了秘密計(jì)票的方式,更加確保了保密性。文獻(xiàn)[45]證明了文獻(xiàn)[1]秘密共享的公開(kāi)可驗(yàn)證性,同樣確保了選票分享出的碎片份額的無(wú)誤。文獻(xiàn)[46]在文獻(xiàn)[1]秘密共享方案的基礎(chǔ)上,對(duì)選票在進(jìn)行拆分份額的步驟前,先應(yīng)用El-Gamal加密體制對(duì)其進(jìn)行加密,再將不同的份額分發(fā)出去,這樣,儲(chǔ)存選票碎片的機(jī)構(gòu)就可以直接跳到解密過(guò)程,得到選票的完整信息。該方案省去了中間大量的計(jì)算過(guò)程和時(shí)間。文獻(xiàn)[47]以秘密承諾及文獻(xiàn)[1]秘密共享為基礎(chǔ),設(shè)計(jì)了一個(gè)電子投票的方案,核心是將選票的數(shù)據(jù)表述為多項(xiàng)式的形式,同時(shí)選民也要做出承諾,再運(yùn)用文獻(xiàn)[1]秘密共享將選票拆分儲(chǔ)存到不同的設(shè)備中,設(shè)備計(jì)算出選民承諾的總和,再運(yùn)用文獻(xiàn)[1]秘密共享的解密步驟得到原選票的數(shù)據(jù),并同時(shí)完成計(jì)票工作。文獻(xiàn)[48]結(jié)合同態(tài)運(yùn)算,并采用競(jìng)選中候選人的票數(shù)代替文獻(xiàn)[1]秘密共享門限方案中的拉格朗日插值公式中的系數(shù),證明了投票結(jié)果的無(wú)誤。

但是,由于網(wǎng)絡(luò)上黑客數(shù)量和手段的日益增多,產(chǎn)生了諸多大規(guī)模電子投票的惡意攻擊事件,造成了大量選票信息修改和丟失的現(xiàn)象,進(jìn)而人為地改變了計(jì)票的結(jié)果。由此可見(jiàn),文獻(xiàn)[1]秘密共享方案已無(wú)法確保電子投票的安全性和公平性;而且,文獻(xiàn)[1]秘密共享方案存在諸多缺點(diǎn):一是該方案中儲(chǔ)存選票碎片的設(shè)備越多,拉格朗日插值多項(xiàng)式的次數(shù)就越高,即大規(guī)模電子投票存儲(chǔ)設(shè)備數(shù)量眾多,導(dǎo)致其加解密過(guò)程極其復(fù)雜且耗時(shí)太久;二是大規(guī)模電子投票的選票碎片數(shù)據(jù)存儲(chǔ)量巨大,容易造成數(shù)據(jù)容災(zāi)的后果;三是該方案在驗(yàn)證計(jì)票結(jié)果階段的計(jì)算相當(dāng)繁瑣和復(fù)雜,效率較低。

除了上述基于文獻(xiàn)[1]秘密共享方案的電子投票外,還有基于CRT的秘密共享方案[49]。文獻(xiàn)[50]在CRT的基礎(chǔ)上,提出了可以檢測(cè)秘密共享閾值方案,與拉格朗日插值多項(xiàng)式相比,該方案計(jì)算便捷,更加高效。文獻(xiàn)[51]在CRT的基礎(chǔ)上,提出了通用的權(quán)重閾值方案。文獻(xiàn)[52]基于CRT,提出了Mignotte數(shù)列的可驗(yàn)證秘密共享。CRT方案的選票加解密過(guò)程是累乘計(jì)算存儲(chǔ)設(shè)備中的選票份額,類似于拉格朗日插值多項(xiàng)式,但在大規(guī)模電子投票中存在計(jì)算復(fù)雜、效率低下和數(shù)據(jù)容災(zāi)的缺點(diǎn)。

文獻(xiàn)[53]構(gòu)造了GF(2)上的校驗(yàn)矩陣的方案,利用了隨機(jī)線性分組碼(Random Linear Block Code,RLBC)的秘密共享方法。其優(yōu)點(diǎn)在于加解密過(guò)程中的方程組系數(shù)矩陣的列大概率滿秩,大大減少了計(jì)算過(guò)程的復(fù)雜度和驗(yàn)證階段的困難度,同時(shí)減少了碎片數(shù)據(jù)的冗余數(shù)量,解決了大量占用網(wǎng)絡(luò)帶寬和存儲(chǔ)空間的問(wèn)題,提高了大規(guī)模電子投票的效率。文獻(xiàn)[54]基于新型的安全多方計(jì)算(Secure Multiparty Computation,SMC)協(xié)議,設(shè)計(jì)了一種新型密碼技術(shù),構(gòu)造了一種新型的多選多選票結(jié)構(gòu)方案。該方案使用線性迭代計(jì)算方法,適用于大規(guī)模、多層次的選舉情況,能有效地解決電子選舉中的作弊問(wèn)題,實(shí)現(xiàn)了電子選舉的公平性和安全性。

此外,文獻(xiàn)[55]構(gòu)造了一種新型多選多選票結(jié)構(gòu),基于新型的安全多方計(jì)算[56],采用無(wú)通信協(xié)議[57],可以應(yīng)用于大規(guī)模多候選人電子投票實(shí)踐中,同時(shí)該方案可以滿足無(wú)收據(jù)性和無(wú)爭(zhēng)議性,可以實(shí)現(xiàn)電子選舉的公平性和安全性。

2.2 在數(shù)字圖像中應(yīng)用

目前用于數(shù)字圖像處理的軟件有Photoshop和Microsoft Paint 等。由于產(chǎn)品軟件的不斷更新和發(fā)展,人們對(duì)于獲取圖像信息的要求越來(lái)越高[58],圖像信息的獲取及傳輸達(dá)到了前所未有的深度和廣度,隨之帶來(lái)的信息泄密、網(wǎng)絡(luò)犯罪以及網(wǎng)絡(luò)入侵等事件時(shí)有發(fā)生[59],也就是說(shuō),數(shù)字圖像在傳輸和儲(chǔ)存過(guò)程中是不安全、不可信的,加解密數(shù)字圖像的成功與否不僅對(duì)個(gè)人信息安全有影響,而且還涉及到國(guó)家網(wǎng)絡(luò)安全[60],因此深入研究加解密數(shù)字圖像意義重大。秘密共享方案已拓展應(yīng)用到圖像領(lǐng)域,利用該技術(shù)分享圖像時(shí),可以保證圖像的安全性和完整性[55]。

目前對(duì)于數(shù)字圖像的漸進(jìn)式可視秘密共享算法存在以下問(wèn)題:一是它不支持文獻(xiàn)[1]的門限秘密共享方案;二是其恢復(fù)數(shù)字圖像的能力有限;三是像素?cái)U(kuò)展太大。文獻(xiàn)[61]提出了一種漸進(jìn)式可視秘密分享算法,并在此基礎(chǔ)上實(shí)現(xiàn)了影子圖像可理解的具有多解密能力的漸進(jìn)式秘密分享算法。通過(guò)實(shí)驗(yàn)和分析表明:相比傳統(tǒng)可視秘密分享方案,優(yōu)點(diǎn)在于加解密數(shù)字圖像過(guò)程計(jì)算量小并且能夠保護(hù)數(shù)字圖像的細(xì)節(jié),即做到了無(wú)損恢復(fù)。

文獻(xiàn)[62]采用隨機(jī)數(shù)產(chǎn)生像素的技巧進(jìn)行了圖像編碼,針對(duì)彩色圖像提出了(n,n)圖像秘密共享和通用型存取結(jié)構(gòu)及擴(kuò)充型的算法。在不需要建置基本加密矩陣的前提條件下,建立視覺(jué)秘密共享機(jī)制產(chǎn)生隨機(jī)數(shù)的像素技巧進(jìn)行圖像編碼,以產(chǎn)生不需擴(kuò)展的秘密共享圖像的投影片。該算法保持了每個(gè)像素點(diǎn)的色彩發(fā)生的特定概率,使得在此概率下所建置成的秘密共享圖像在迭合過(guò)程中仍可識(shí)別出秘密圖像,為秘密共享在數(shù)字圖像的處理上開(kāi)拓了新的嘗試。

文獻(xiàn)[63]詳細(xì)研究了數(shù)字圖像秘密共享方案,并對(duì)文獻(xiàn)[1]的(r,n)門限秘密共享的基本原理進(jìn)行了簡(jiǎn)要概述,發(fā)現(xiàn)使用該方案分享影子圖像與原圖像的大小一樣,在分享過(guò)程中所占用的存儲(chǔ)空間較大。為了更好地解決這一缺點(diǎn),提出了新的數(shù)字圖像秘密共享方案,并證明了該方案的正確性。在該方案中,影子圖像擁有一個(gè)屬于自己的像素,影子圖像在傳輸時(shí)占用空間減小,解決了數(shù)字圖像在分享時(shí)內(nèi)存占用率大的問(wèn)題。因此,文獻(xiàn)[63]提出的新數(shù)字圖像秘密共享方案相比于傳統(tǒng)的方案更加便于存儲(chǔ)和分享。

對(duì)于現(xiàn)有的一些應(yīng)用于圖像分享的算法,文獻(xiàn)[58]發(fā)現(xiàn),當(dāng)認(rèn)證碼的二進(jìn)制比特?cái)?shù)超過(guò)2位時(shí),這些方案在數(shù)字圖像恢復(fù)后會(huì)產(chǎn)生失真。為了提高算法處理后所生成圖像的品質(zhì),其利用隱寫技術(shù)(Exploiting Modification Direction,EMD),并應(yīng)用于絕對(duì)矩分塊截?cái)嗑幋a中,提出了一個(gè)適用于絕對(duì)矩分塊截?cái)嗑幋a壓縮圖像的圖像認(rèn)證方案。經(jīng)過(guò)實(shí)驗(yàn)驗(yàn)證后發(fā)現(xiàn),生成的圖像品質(zhì)得到了很大程度的提升。同時(shí),利用(n,k)漢明碼矩陣嵌入的方法改進(jìn)了文獻(xiàn)[1]的多項(xiàng)式秘密共享方案,這是一種具有認(rèn)證能力的自適應(yīng)的(k,n)門限的秘密共享方案。應(yīng)用該方案,碎片圖像的品質(zhì)有了明顯改善。同時(shí)考慮到該方案的可靠性,生成認(rèn)證碼仍然使用哈希運(yùn)算消息認(rèn)證碼(Hash-based Message Authentication Code,HMAC)的方法,但由于認(rèn)證碼的長(zhǎng)度會(huì)影響認(rèn)證時(shí)間,所以充分增加認(rèn)證碼的長(zhǎng)度能夠明顯縮短認(rèn)證時(shí)間。

對(duì)于圖像分享的可視多秘密分享方案,文獻(xiàn)[64]提出了具有偽裝圖像的雙秘密圖像可視分享方案。在圖像分享過(guò)程中,該方案采用圖像翻轉(zhuǎn)以實(shí)現(xiàn)圖像分享,通過(guò)分享后的圖像疊加來(lái)重構(gòu)秘密圖像。

2.3 在生物特征中應(yīng)用

將生物特征模板存儲(chǔ)于特征數(shù)據(jù)庫(kù)中,當(dāng)需要進(jìn)行特征認(rèn)證時(shí),可以提供有效幫助。但是特征模板未加密直接儲(chǔ)存在數(shù)據(jù)庫(kù)中,容易泄露信息,安全性不高,因此對(duì)于生物特征的保護(hù)變得越來(lái)越重要。在保護(hù)生物特征上,秘密共享技術(shù)可以保證其安全性和可靠性,具有非常良好的應(yīng)用前景。

為了使生物特征模板得到安全儲(chǔ)存和可靠保護(hù),文獻(xiàn)[65]利用文獻(xiàn)[1]的(t,a)門限秘密共享方案,提出了一種新的基于秘密分享的生物特征模板保護(hù)及存儲(chǔ)方案。針對(duì)生物特征引入哈希函數(shù)[66],進(jìn)行單向壓縮,經(jīng)過(guò)處理和實(shí)驗(yàn)分析后,得出該方案可使系統(tǒng)更加安全可靠,且擁有可靠的數(shù)據(jù)容災(zāi)與恢復(fù)能力。該方案可使秘密共享技術(shù)在生物特征存儲(chǔ)和保護(hù)的應(yīng)用上更加可靠和安全。

秘密共享技術(shù)應(yīng)用于生物特征的秘密存儲(chǔ)保護(hù)方面具有很大的優(yōu)勢(shì)[66]。文獻(xiàn)[67]提出了基于秘密共享技術(shù)的模板參數(shù)管理方案(Secret Sharing Scheme-based Parameter Management,SPM),將秘密共享技術(shù)添加于原有的管理方案上,主要表現(xiàn)在注冊(cè)和認(rèn)證階段中,結(jié)合(c,n)門限方案提出了SPM方案;并通過(guò)實(shí)驗(yàn)驗(yàn)證了SPM在生物特征的存儲(chǔ)上有很好的保護(hù)作用,避免了黑客的惡意攻擊,同時(shí)也為生物特征模板的保護(hù)提供了新的思路。

3 結(jié) 語(yǔ)

本文從多秘密共享、可驗(yàn)證秘密共享、無(wú)分發(fā)者秘密共享、可安全重構(gòu)秘密共享、主動(dòng)式秘密共享5個(gè)方面歸納總結(jié)了秘密共享技術(shù)的發(fā)展。在每個(gè)方面,秘密共享方案得到了不斷的優(yōu)化,以提高秘密共享效率及其安全性。需要注意的是,對(duì)于不同的秘密共享場(chǎng)景,所構(gòu)造的秘密方案也是不同的,因?yàn)椴煌膽?yīng)用場(chǎng)景所需要的秘密保護(hù)的側(cè)重點(diǎn)不同。此外,本文列舉了秘密共享技術(shù)在電子投票、數(shù)字圖像、生物特征3個(gè)方面的應(yīng)用。未來(lái),應(yīng)將秘密共享技術(shù)多多應(yīng)用于實(shí)例場(chǎng)景中進(jìn)行研究,通過(guò)解決新問(wèn)題,進(jìn)一步優(yōu)化秘密共享方案,拓寬其應(yīng)用范圍。