基于中国剩余定理的秘密共享方案
李洁平;韦性佳
【摘 要】利用中国剩余定理、椭圆曲线离散对数问题(ECDLP)、双线性变换和强RSA假设,提出了一种新的可验证秘密共享方案.该方案具有能够检测出秘密分发者和可信中心的诚实性,检测出系统中参与者的欺诈行为;利用椭圆曲线,结合双线性对技术,不仅降低了系统的计算成本,而且实现了方案的可验证性;利用强RSA假设,实现方案的前向安全性,即使敌手掌握第j个时间段的子秘密,也无法获取之前时间段关于共享秘密的任何信息,增强了系统的安全性.%By utilizing the Chine remainder theorem, elliptic curve discrete logarithm problem (ECDLP), bilinear transformation and strong RSA hypothesis, a new verifiable cret sharing scheme is propod. The scheme is capable of detecting the integrity of cret distributors, trusted centers and fraudulent behavior in the system; by using elliptic curve and bilinear pair technology, the computational cost of the system could be reduced and the verification of the scheme realized; by using strong RSA assumption the forward curity of the scheme be achieved, even if the opponent grasps the sub-cret of the j-th time period, he can't get
any information about the shared cret in the previous time period, thus enhancing the curity of the system.
【期刊名称】《通信技术》
【年(卷),期】2018(051)003
【总页数】5页(P671-675)
【关键词】秘密共享;中国剩余定理;椭圆曲线;双线性变换;强RSA假设
【作 者】李洁平;韦性佳
商丘南湖【作者单位】青海师范大学 数学与统计学院,青海 西宁 810008;青海师范大学 数学与统计学院,青海 西宁 810008
boosted【正文语种】我终于失去了你中 文
【中图分类】TP309
0 引 言
秘密共享是密码学的一个重要工具。1979年,Shamir[1]和Blakley[2]两人分别基于拉格朗日多项式和射影几何理论,提出了两种不同的秘密共享方案,对现代密码学的研究具有非常重要的作用。之后,有关秘密共享方面的研究成为许多研究者的课题。1983年,Asmuth和Bloom[3]等人基于中国剩余定理提出了一种的新秘密共享方案。该方案结构简明,理论知识容易理解,且较Shamir的秘密共享方案效率更高。
1985年,Chor等人[4]第一次提出可验证的理念,并且构造了一种可验证的秘密共享方案。1992年,Pedern[5]提出了一种更方便和实用的秘密共享方案。但是,早期的秘密共享方案存在计算量大、效率相对较低等问题。直到Neal Koblitz[6]等人发现在有限域上椭圆曲线离散对数问题(ECDLP)是难解问题后,椭圆曲线(Elliptic Curve,简称ECC)就以它计算量小、效率较高等优势快速成为密码学研究的一个重要工具。2005年,Qing.L[7]等人提出了一个基于中国剩余定理的可验证秘密共享方案。该方案只有在秘密分发者诚实的情况下,检测出参与者之间的欺骗。
1997年,Anderson[8]首次提出前向安全性理论(Forward Security);2001年,Itkis和 R
eyzin[9]提出一种前向安全签名方案,实现了有效的签名验证和存储,但效率相对较低。2002年,Kozlov[10]等人利用一种快速更新算法,提出了一种前向安全的签名方案,不仅周期短,而且适合移动计算。目前,国内学者对前向安全性理论也做了大量研究,如王彩芬等人[11]提出的具有前向安全性的秘密共享方案,基于有限域上离散对数难解问题(ECDLP)和强RSA假设,有效实现了秘密的前向安全性,且具有很强的实践价值。本文方案在已有秘密共享方案[12-14]研究成果的基础上,提出了一种基于中国剩余定理的可验证方案,利用椭圆曲线计算量小、效率高的优势,减少了方案的运算成本,同时方案基于强RSA假设[15-16],实现了方案的前向安全性。
欢快的反义词
1 预备知识
1.1 椭圆曲线离散对数问题(ECDLP)
给定有限域GF(q)上的椭圆曲线E和生成元P∈E(GF(q)),且阶为q,对∀Q∈〈P〉,寻找a∈[0,q-1],使得Q=aP,称为椭圆曲线离散对数问题。
金色花ppt
1.2 双线性变换
定义1:设(G1,+)和(G2,+)是2个阶为素数p的循环群,其中前者为加法群,后者为乘法群。令g为G的生成元,如果满足以下性质,则称变换e∶G1×G1 → G2 为双线性变换:
补办身份证多久可以拿到(1)双线性。对任意P1、P2和Q∈G1,有:
(2)非退化性。存在P∈G1即e(P,P)≠1,即e(P,P)是G2的生成元。
(3)可计算性。对任意P1、P2∈G1,存在有效的算法计算e(P1,P2)。
1.3 中国剩余定理(孙子定理)
给定一组两两互素的正整数m1,m2,…,mk和整数c1,c2,c3,…,ck,则同余方程组为:
对于模M具有唯一的解:
其中:
1.4 前向安全性理论
前向安全性理论(Forward Security Theory)具体如下:(1)Pi(i=1,2…n)将S的有效期分
为T个时间段,1,2…T;(2)在整个有效期内,公钥PKU不变,但第j个时间段私钥SKU随着时间段j的改变而变换;(3)第j个时段时,Pi计算Sj=f (Sj-1),其中f是一个单向函数;(4)算出Sj后,立即删除Sj-1,这样即使攻击者A获得了第j个时间段的Sj,也不能获得关于S0,S1,…,Sj-1的任何信息,如图1所示。
图1 密钥更新流程
1.5 系统中的记号与参数
P:参与者符号,而Pi为第i个参与者,有Pi∈ P,i=1,2,…,n;
D:秘钥分配者,且D∉P;
K:要分享的秘密(初始者)。
2 提出方案
2.1 系统初始化
(1)D选择mi∈i=1,2,…,n 且 (mi,mj)=1,mi为素数;选择初始共享秘密x0∈工商管理就业前景
(2)计算如下参量:
①秘密份额:
②公钥: ,M=mP;ii
③X = ,其中T为时间周期。
(3)公开系统公钥:
将(ci,0,mi,0)作为私钥份额通过秘密通道发送给用户Pi。
2.2 子秘密的更新
当Pi收到初始私密份额(ci,0,mi,0)后,计算ci,j=作为第j个时间段的子份额,然后立即删除, j=1,2…T。
2.3 秘密的验证
2.3.1 初始阶段秘密的验证
Pi选择ki,0∈RZ *q,计算初始公钥:
然后,进行D验证:
若等式成立,则Pi诚实的;同样,Pi通过等式可验证D的份额(ci,0,mi,0)是有效的。
休憩读音2.3.2 验证更新子秘密
这个阶段,用户Pi通过下面过程研究第j个时间段秘密份额的有效性:
然后,验证 e ( P , Qi,j ) =? e( M i, K i ) e( C i, Ki )。若等式成立,D可以验证Pi更新子秘密的正确性,而Pi也可以验证D的诚实性。
3 秘密恢复
第j个时间段,所有用户{P1,P2,…,Pn}利用自己的秘密份额(ci,j,mi),合作完成如下过程:
(1)计算 M=m1m2…mn;
(2)计算,其中 ≡ 1 mod m,i=1,2,…,n;ii
(3)利用中国剩余定理,计算第j个时间段的共享秘密:
当秘密恢复成员计算出共享秘密后,计算:
(1)得到第j个时间段的共享秘密xj;
(2)利用式(9)中的共享秘密xj和系统公钥X,验证等式:
若等式成立,则说明恢复的共享秘密是有效的。
4 正确性及安全性分析
4.1 方案的正确性
定理1:方案在初始阶段秘密验证了Pi和D是诚实的,即等式(8)正确。
证明:根据已知条件,有:
等式成立。
定理2:方案中子秘密更新阶段的验证是正确( 的,即等式 e P,e( M i, K i ) e( C i, Ki )正确。
证明:根据已知条件,有:
等式成立。
定理3:方案中秘密恢复的验证是正确的,即等式(10)正确。
等式成立,所以恢复的秘密是正确的。
4.2 方案的安全性
定理4:公钥{Ci,0,Mi,Xj,Ci,Ki,Qi,j}不会泄露私钥{ki,j,ci,j,mi,xj}的任何信息。