朱錦華

摘 要：一般秘密共享方案需要有可信第三方作為分發(fā)者進(jìn)行秘密分配，實(shí)際應(yīng)用中，不存在完全可信的第三方，因此已有方案均存在安全隱患，降低了實(shí)用性。為提高方案的實(shí)用性，提出了一種無(wú)可信第三方的可驗(yàn)證多秘密共享方案。方案利用哈希函數(shù)作為安全假設(shè)，減少了計(jì)算開(kāi)銷。通過(guò)廣播消息避免了對(duì)安全信道的需求并且降低了通信代價(jià)。方案無(wú)需無(wú)可信第三方，提高了秘密共享方案的安全，方案一次可共享多個(gè)秘密，且可驗(yàn)證秘密份額的有效性。

關(guān)鍵詞：秘密共享；可驗(yàn)證；無(wú)可信第三方

秘密共享是密碼學(xué)中密鑰管理的重要分支之一，最早由Shamir提出。Shamir的（t， n）門限共享方案基于多項(xiàng)式插值實(shí)現(xiàn)的，該方案準(zhǔn)許誠(chéng)實(shí)的分發(fā)者將秘密S分成n份子秘密發(fā)送給n個(gè)參與者，使得大于等于t個(gè)分發(fā)者可以重構(gòu)秘密S，任意小于t個(gè)參與者無(wú)法獲得秘密的信息。秘密共享思想得到廣泛應(yīng)用，如電子投票、電子拍賣、數(shù)字簽名等。

Shamir門限共享方案具有簡(jiǎn)單、實(shí)用的特點(diǎn)，但方案仍存在不足。首先，方案為單秘密共享方案，共享效率較低；其次，方案可能存在欺騙攻擊，在秘密重構(gòu)階段，參與者可能發(fā)送虛假子秘密導(dǎo)致重構(gòu)失?。蛔詈?，完全可信的第三方現(xiàn)實(shí)中不存在，實(shí)際應(yīng)用中存在安全隱患。為解決上述問(wèn)題，有的方案提出了多秘密共享方案，方案一次可共享多個(gè)秘密，有效的提高了共享效率。方案1提出了可驗(yàn)證的秘密共享方案，方案可驗(yàn)證子秘密的有效性，有效的解決了參與者的欺騙的攻擊。而針對(duì)分發(fā)者的誠(chéng)實(shí)問(wèn)題，方案2提出了抗泄露的秘密共享方案，有效防止半誠(chéng)實(shí)分發(fā)者存在的攻擊，但只可共享一個(gè)秘密。方案3基于離散對(duì)數(shù)問(wèn)題提出一種無(wú)可信中心的可公開(kāi)驗(yàn)證秘密共享方案，但方案計(jì)算與通信開(kāi)銷較大。

為解決上述文獻(xiàn)存在的問(wèn)題，綜合已有方案的優(yōu)點(diǎn)，本文提出了一種無(wú)可信第三方的可驗(yàn)證多秘密共享方案，方案利用單向哈希函數(shù)簡(jiǎn)單易于實(shí)現(xiàn)的優(yōu)點(diǎn)，實(shí)現(xiàn)子秘密的驗(yàn)證過(guò)程，有效的降低了計(jì)算開(kāi)銷，方案采用由參與者共同創(chuàng)造多項(xiàng)式系數(shù)的方式，降低了分發(fā)者的權(quán)限，可以有效的抵抗半誠(chéng)實(shí)參與者的攻擊。

一、預(yù)備知識(shí)

（一）單向哈希函數(shù)

單向哈希函數(shù)是指具有單向性和抗碰撞性的哈希函數(shù)H。

（1）單向性：已知H（x），計(jì)算滿足y = H（x）的x是困難的。

抗碰撞性：對(duì)于x的哈希值H（x），找到x滿足H（x） = H（x）是困難的。

（二）半誠(chéng)實(shí)分發(fā)者

半誠(chéng)實(shí)分發(fā)者不同于傳統(tǒng)的欺騙分發(fā)者直接發(fā)送假的秘密份額，半誠(chéng)實(shí)分發(fā)者只是將秘密信息隱藏在有效的子秘密中，具有一定隱蔽性而且打破了秘密共享的門限限制。

（三）無(wú)可信第三方的可驗(yàn)證多秘密共享

無(wú)可信第三方的可驗(yàn)證多秘密共享方案是一種符合正確性、安全性、可驗(yàn)證性的多秘密共享方案。

正確性：如果分發(fā)者是半誠(chéng)實(shí)分發(fā)者，那么由任意不小于t個(gè)參與者提供的秘密份額能夠正確重構(gòu)秘密S。

安全性：如果分發(fā)者是半誠(chéng)實(shí)分發(fā)者，那么通過(guò)任意小于t個(gè)參與者提供的秘密份額將無(wú)法得到任何關(guān)于秘密S的信息。

可驗(yàn)證性： 如果分發(fā)者是半誠(chéng)實(shí)分發(fā)者，那么參與者可以驗(yàn)證分發(fā)者分發(fā)的秘密份額的有效性，分發(fā)者D也可以驗(yàn)證參與重構(gòu)的參與者提供的秘密份額的有效性。

三、方案分析

（一）正確性分析

定理1 分發(fā)者是半誠(chéng)實(shí)的，方案可保證任意大于等于t個(gè)參與者正確恢復(fù)k個(gè)秘密。

證明：根據(jù)半誠(chéng)實(shí)分發(fā)者定義，當(dāng)方案執(zhí)行時(shí)，分發(fā)者按照方案執(zhí)行。參與者Pi正確計(jì)算子秘密f （ i ） ，并且誠(chéng)實(shí)提供子秘密。根據(jù)拉格朗日插值，已知大于等于t個(gè)多項(xiàng)式函數(shù)值可唯一確定一個(gè)t-1階多項(xiàng)式。因此，參與者可以正確恢復(fù)f （0）， 利用公布的gi，進(jìn)而恢復(fù)k個(gè)秘密。

（二）安全性分析

定理2 分發(fā)者是半誠(chéng)實(shí)的，方案可保證小于t個(gè)參與者無(wú)法獲得任何關(guān)于秘密的信息。

證明：根據(jù)半誠(chéng)實(shí)分發(fā)者定義，分發(fā)者按照方案執(zhí)行。根據(jù)方案描述，公布的信息包括gi， vi， f （i） ，其中已知gi，未知f （0）敵手無(wú)法獲得任何秘密的信息。又因?yàn)関i =H（f （i） ），根據(jù)哈希函數(shù)單向性，已知vi，敵手無(wú)法獲得任何關(guān)于f （i） 的信息。由于公布的f （i） = ri + f （i） 中ri為每個(gè)參與者選擇的隨機(jī)數(shù)，因?yàn)榧词构?f （i）每個(gè)參與者也不能獲得多余的有效子秘密。假設(shè)有t-1個(gè)參與者{P1， P2， ...， Pt}試圖恢復(fù)秘密，根據(jù)拉格朗日插值定理，t -1個(gè)函數(shù)值只能唯一確定t -2階多項(xiàng)式，而f （x）為t-1階，因此t-1個(gè)參與者無(wú)法得到任何關(guān)于f （0）的信息，即無(wú)法重構(gòu)k個(gè)秘密。

（三）可驗(yàn)證性分析

定理3 分發(fā)者是半誠(chéng)實(shí)的，方案可使參與者驗(yàn)證個(gè)人計(jì)算的子秘密是否正確；在重構(gòu)階段，每個(gè)參與者可驗(yàn)證其他參與者發(fā)送的子秘密是否有效。

證明1：假設(shè)參與者不具可驗(yàn)證性，即參與者可半誠(chéng)實(shí)分發(fā)者發(fā)送的虛假秘密份額。假設(shè)分發(fā)者公布消息為，根據(jù)方案描述，參與者利用隨機(jī)數(shù)ri計(jì)算秘密份額，利用哈希函數(shù)計(jì)算并和vi比較：

根據(jù)方案，參與者要求分發(fā)者重新發(fā)送，因此，與假設(shè)矛盾，方案參與者具有可驗(yàn)證性。

證明2：在秘密恢復(fù)階段，每個(gè)參與者接受其他參與者的秘密份額，根據(jù)方案描述，參與者在接受到所有子秘密后，計(jì)算秘密份額的哈希值，并判斷是否與vi相等，，當(dāng)驗(yàn)證通過(guò)后進(jìn)行秘密恢復(fù)，因此方案秘密恢復(fù)階段，參與者具有驗(yàn)證性。

四、方案比較

本文方案在共享秘密個(gè)數(shù)，安全假設(shè)以及是否依賴可信第三方上具有較大優(yōu)勢(shì)。多秘密共享表示共享秘密個(gè)數(shù)，安全假設(shè)描述方案計(jì)算負(fù)責(zé)度，是否依賴可信第三方是指方案分發(fā)者是否完全誠(chéng)實(shí)。根據(jù)對(duì)已有文獻(xiàn)研究，對(duì)比結(jié)果如表1：

表1中Y表示具有該項(xiàng)性質(zhì)，N表示不具有該項(xiàng)性質(zhì)。在安全假設(shè)中hash、RSA、DLP分別表示單向哈希函數(shù)、RSA假設(shè)、離散對(duì)數(shù)問(wèn)題。根據(jù)對(duì)比分析，本方案屬于多秘密共享發(fā)難，方案使用單向哈希函數(shù)作為安全假設(shè)，增強(qiáng)了實(shí)用性，方案不需要依賴可信第三方，降低方案的條件限制，提高了方案的安全性以及實(shí)用性。

五、總結(jié)與展望

本文提出了一種無(wú)可信第三方的可驗(yàn)證多秘密共享方案，方案無(wú)需誠(chéng)實(shí)的分發(fā)者進(jìn)行秘密分發(fā)，降低了已有方案的限制條件，使得方案更具有實(shí)用性；方案基于單向哈希函數(shù)，方案無(wú)需花費(fèi)較大的計(jì)算開(kāi)銷。

參考文獻(xiàn)：

[1]Shamir A. How to share a secret [J]. Communications of the ACM， 1979， 22（11）： 612-613.

[2]Li H， Sui Y， Peng W. A viewable e-voting scheme for environments with conflict interest[C].//Proceeding of the 2013 IEEE conference on communcication and network security， 2013：251-259.

[3]Peng K. Secure e-commerce based on distributed processing[C].//Proceeding of the 12th international Conference on Parallel and Distributed Computing， PDCAT 2011：406-411.

[4]Huang X Y， Liu J K， Tang S H， et al. Cost-effective authentic and anonymous data sharing with forward security[J]. IEEE Transaction on computers，2015，64（4）：971- 983.

[5]Carpentieri M， Santies D， Vaccaro U. A perfect threshold secret sharing scheme to indentifiy cheaters Designs[J].Codes and Cryptography， 1994， 5（3）：183-187

[6]Chang T Y， Hwang M S， Yang W P. An improvement on the Lin-Wu （t， n） threshold verifiable multi-secret sharing scheme [J]. Applied Mathematics and Computation， 2005， 163（1）： 169-178.

[7]Young L， Yung M. Kleptography： Using Cryptography Against Cryptography [C] // Advances in Cryptology- EURO CRYPT97. Berlin， Heidelberg： Springer-Verlag， 1997： 62-74.

[8]Jun S. Efficient verifiable multi-secret sharing scheme based on hash function [J]. Information Sciences， 2014， 278（9）： 104 - 109.

[9]limid R F. Dealer-Leakage resilient verifiable secret sharing [EB/OL]. Cryptology ePrint Archive， 2014.

[10]Harn L， Fuyou M， CHange C C. Verifiable secret sharing based on the chinese remainder theorem[J].Security and Communication Networks， 2014， 7（6）： 950-957.

[11]于佳，陳養(yǎng)奎，郝蓉等. 無(wú)可信中心的可公開(kāi)驗(yàn)證多秘密共享[J]. 計(jì)算機(jī)學(xué)報(bào)， 2014， 37（5）： 1032.