More Than Code

密码协议(5) 门限密码

发表于 分类于
本文字数: 2k 阅读时长 ≈ 2 分钟

《密码协议》课程笔记(5) 门限密码协议

门限密码

  • 动机:有时候,只有一方控制的访问是不可取的(密钥的所有权仅属于一方是不合理的),因此密钥的所有权需要分布给多方(群签名、给一个组织发消息)
  • 门限密码:面向组的密码学,在多个参与方中分发密码。例如,10个人有数字签名私钥,但签名需要7人以上的参与——秘密共享方案是基础

秘密共享方案

  • 将秘密分成多份,有足量的份数时,秘密可以被重建,否则不能重构秘密或其中任何部分——(t,l)秘密分享方案将一个秘密分割为l份,至少t个才能重构,t称为断点(breaking point)

  • 类似多项式:多项式f的阶为t-1,则需要t个多项式上的点才能确定f(0)

  • 一旦t个人通信,恶意内部人员可以获得密钥——需要一个能解密和签名但不泄露密钥的系统

  • (举了一个例子说明了)将一个比特串直接分成两块或更多块不是共享秘密的安全方法,并且不适用于长度为1的串

    • 对于秘密比特$s$,选择一个随机的比特$r$,并设置shares $s_1=s\bigoplus r$,$s_2=r$,此时$s_1$和$s_2$不会泄露$s$,并且$s_1\bigoplus s_2=s$
    • 如果$r$是均匀分布的,则$Pr(s_1=0)=Pr(r=s)=1/2$(r和s独立,并且r=1和r=0概率均为1/2),因此$s_1$和$s_2$都是均匀分布($s_2=r$)
    • 进一步,可以随机选择$l-1$个比特$r_i$,计算$s_1=s\bigoplus r_1\bigoplus … \bigoplus r_{l-1},s_2=r_1,…,s_l=r_{l-1}$

  • 具有参与者$P_1,…,P_l$的秘密共享方案包含:分发协议(一个协议使得deal D分享一个秘密s,每个参与者获得一个share $s_i$),重建协议(一个协议使得秘密s能够通过任何一组合格参与者的秘密片段恢复,这里参与者是$P_1,…,P_l$的子集)——所有这种子集构成的集合称为access structure

  • 安全需求(满足安全需求的秘密共享方案称为perfect)

    • 符合条件的参与者集可以通过shares确定s
    • 不符合条件的参与者集都不能通过shares确定关于s的任何信息

(t,l)门限密码

  • access structure定义为:

    image-20220426111610517

  • shamir’s threshold scheme:

    • $F_p$为p阶有限域,$p>l$,分享的秘密$s\in Z_p$

    • 秘密分发:分发者D选择一个$t$阶随机多项式$a(x)\in_R Z[x]$,$a(0)=s$,分发$s_i=a(i),i=1,..,n$

    • 秘密重构:利用拉格朗日插值法恢复

      image-20220426112808237

    • 是perfect的(少于t人参与重构时,任何$a(0)$都是可能的)

    • 只能抵抗被动攻击(如果分发者发给参与者的碎片是不正确的,参与者无法察觉,并且如果重构时某个参与者唯一不用正确的碎片,他可以从其他参与者的正确碎片恢复秘密),安全性依赖于方案中各方诚实执行协议,诚实执行后不合格参与者不能推断出关于秘密的信息

  • 抵御主动攻击的秘密共享方案——可验证的秘密共享(verifiable secret sharing, VSS)方案——抵御主动攻击:分发时,分发者向部分或全部参与者发送不正确的碎片,并且重构时,参与者提交不正确的碎片

  • Feldman’s VSS

    • shamir方案的推广;$p$为大素数,$$为p阶循环群,$s\in Z_p$

    • 分发:

      • 分发者选取一个多项式$a(x)=s+a_1x+…+a_{t-1}x^{t-1},a_j\in Z_p$,将$s_i=a(i)$分发给参与者,计算并广播承诺$B_j=g^{a_j},0\leq j<t$

      • 参与者验证下式是否成立,以检查分发者是否诚实

        image-20220426120505981

    • 重建:执行shamir门限秘密分享方案即可;如果少于t个参与者能够重构原始秘密,意味着$s=log_gh$被求解,因此离散对数问题是困难的假设下,少于t个参与者不能计算秘密——计算安全

  • Pedersen‘s VSS

    • shamir+承诺,信息论安全(由于是Pederson commitment)

    • $$为素数p阶循环群,h为群里的随机元素,因此没人知道离散对数$log_gh$

    • 分发:

      • 分发者随机选择两个多项式:$a(x)=a_0+a_1x+…+a_{t-1}x^{t-1},a_j\in Z_p$和$b(x)=b_0+b_1x+…+b_{t-1}x^{t-1},b_j\in Z_p$,$a_0=s$,碎片$s_i=(a(i),b(i))$
      • 分发者广播承诺值$C_j=g^{a_j}h^{b_j}$

    • 重建:

      • 参与者验证:

        image-20220426122732929

      • 执行shamir门限秘密分享的重构算法,以恢复秘密

    • 方案中,承诺与秘密相关的只有$C_0=g^sh^{b_0}$,而对任意的$\hat s\in Z_p$,都有唯一的$\hat b\in Z_p$使得$C_0=g^{\hat s}h^{\hat b}$,因此$C_0$没有泄露s的任何信息

    • 如果分发者知道$log_gh$,则可以作弊

相关文章推荐