2007
年
7
月
第
31
卷第
4
期
安徽大学学报(自然科学版)
Journal
of
Anhui University Natural Science Edition
July 2007
Vo
l.
31
No.4
一种动态的可验证秘密共享方案
石润华黄刘生
2
(1.安徽大学计算机科学与技术学院,安徽合肥
230039;
2.
中国科学技术大学计算机科学与技术系,安徽合肥
230027)
摘
要:提出一种新的可验证的秘密共享方案.该方案具有两种形式:一种是计算安全的,与
Feldman
方案等效;另一种是无条件安全的,与
Pedersen
方案等效.此外,设计了防欺诈的共享更新协议
和共享重构协议.在执行此类协议时,新方案比
Feldman
方案和
Pedersen
方案更有效.因而,新方案是一
种非常有效的、动态的可验证秘密共享方案.
关键词:门限方案;秘密共享;承诺协议;离散对数
中图分类号:
TP309
文献标识码
:A
文章编号
:1000
-2162(2007)04
-0025
-04
在秘密共享方案中,秘密分发者把一个秘密分割成等份,每一份称为共享或影子,秘密地分发给每
一个参与者;授权子集中的所有参与者合作能够恢复秘密,而非授权子集却不能.秘密共享在现代密码
学中有着非常重要的应用,诸如在密钥分发、存取控制、安全多方计算、电子商务等领域.最早的秘密共
享方案是门限方案,分别由Bl
akley[IJ
和
Shamir[2
J
于
1979
年提出.在忡
,
n)
门限方案中,任意
k
个或多于
k
个用户联合起来可以恢复秘密,而任意少于
k
个用户却不能.
然而,在现实生活中,某个参与者可能不诚实,他可能出示错误的共事,或是其他原因使得共享发生
错误(如网络传输错误)
,从而即使是授权子集也不能够正确地恢复秘密.所以一般的秘密共享方案在
现实生活中并不太适用.为了检验共享的正确性
Chor.
et
al
[3J
第一次提出了可验证的秘密共享方案.一
个正常执行的可验证秘密共享方案能够保证:在秘密分发阶段,分发者发送给参与者的共享是正确的;
在秘密恢复阶段,参与者提交的共享也是正确的.
已有的可验证秘密共享方案多是基于
Shar
山
r
方案,在秘密或共享更新时开销很大,相反许多实际
应用需要动态地更新秘密或共享.因此,探寻其他高效的可验证秘密共享方案就有着很现实的意义.本
文提出一种动态的可验证秘密共享方案,与已有的主流方案相比更有效.新方案基于线性方程组的求解
理论,借鉴自然进化思想,实现极其简单.方案具有两种形式:一种是计算安全的,另一种是无条件安全
的.前者更有效,后者更安全.两种形式都易于扩展,参与秘密共享的用户可以动态地加入或离开,参与
者人数可以根据需要动态地变更.而且参与者拥有的共享份额也可以动态地更新或重构.
1
建议的方案
1. 1
理论基础
新方案借鉴自然进化的思想,把从分享的秘密演化生成所有参与者共享的过程看作是一个进化过
程,每个共享看做是一个状态,并且该状态与以前连续的
k
个状态有关.而重构秘密的主要原理基于
k
个线性方程求解
k
个未知变量当系数矩阵的行列式不等于零时有唯一解.先定义如下序列
s
.C
,
.C
… C, ,
.So
.S
,
.S
1 ,
'-'2'
,
'-'k-l
,
""Q
, '-'l ,
'-'2'
、、
ZJJ
tEA
/''飞、
其中
SEZJ
为共享秘密
'C
1
'C
2
,
…
,
C
k
_
1
是随机产生的
(k
-
1)
个整数
(C
i
E
Zq'
,
1
运
i
运
k
-
1)
,而
s/O
:::三
J
:::三
n)
均由它前面的
k
项相加模
q
得来
(q
为一大素数)
.即
收稿日期
:2006
-
08
-
01
基金项目:国家自然科学基金资助项目
(60573171);
安徽省青年教师科研基金资助项目
(2005
月
1036)
作者简介:石润华(
1974
一)
,男,安徽安庆人,安徽大学讲师,硕士;
黄刘生
(1957
一)
,男,安徽安庆人,中国科学技术大学教授,博士生导师.