《现代密码学》课件第8章.ppt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 现代密码学 现代 密码学 课件
- 资源描述:
-
1、第8章 多方密码协议 8.1 秘密共享与门限密码体制 8.2 零知识证明 8.3 安全多方计算 第第8章章 多方密码协议多方密码协议 第8章 多方密码协议 8.1 秘密共享与门限密码体制秘密共享与门限密码体制8.1.1 秘密共享秘密共享1.秘密共享概述秘密共享概述秘密共享(secret sharing)是指在多个参与方之间共享秘密s的策略,每个参与方p得到的信息S(p)是秘密的一部分,称为一个份额或影子份额或影子(share/shadow),设P为参与方集合,则只有P的某些特定的子集集合2P能利用其掌握的份额集合重构秘密,这些子集的集合被称为访问结构访问结构或存取结构存取结构(access s
2、tructure)。如果非授权集中的参与方无法得到秘密s的任何信息,则称这样的秘密共享方案为完善的完善的(perfect)。对A,如果ABP时必有B,则称访问结构是单调的。此时如果令m表示中最小元素之集,则由m可以确定出的全部元素,称m为访问结构的基(basis)。第8章 多方密码协议 现有的秘密共享体制主要有以下几种分类方法:(1)按照分发份额及重构秘密时有无可信任的仲裁者参与,分为有仲裁的秘密共享和无仲裁的秘密共享;(2)按照参与方的非授权子集是否能得到秘密的部分信息,分为完善秘密共享和非完善秘密共享,或理论安全和计算安全的秘密共享;(3)按照秘密的数量,可分为单个秘密共享和多重秘密共享;
3、(4)按照有无验证机制,可分为可验证的秘密共享和不可验证的秘密共享。第8章 多方密码协议 除此之外,人们还根据不同的应用需求而有针对性地设计了许多其它秘密共享方法,这里不再一一列举。秘密共享技术实现了“不把鸡蛋放在同一个篮子里”的目的,从而当某个参与者实施欺骗或者其手中的份额丢失时,仍可恢复秘密,这实际上是通过引入冗余来提高数据服务的可靠性。同时,大多数秘密共享还可以实现无条件的安全性,即其安全性不是建立在某个计算上困难的问题之上,而是可以从Shannon信息论的角度证明无信息泄露,即使攻击者有无限的计算资源和时间,也无法得到秘密的任何信息。第8章 多方密码协议 秘密共享因为上述优点而在国内外
4、得到了非常广泛的研究和关注,主要有以下几方面的研究工作。1)对一般形式的访问结构构造秘密共享方案在秘密共享方面最早的研究是(k,n)门限方案的构造,后来人们开始关注更为通用的方案,Saito和Nishizeki证明了对任意的访问结构,均存在可以实现它的秘密共享方案3。Benaloh和Leichterr提出了更为简单和有效的秘密共享方案,可以在任何单调访问结构中实现4。第8章 多方密码协议 2)秘密共享的效率算法的效率主要用计算量和占用的存储空间来衡量。在现有的线性门限方案中,份额计算和秘密重构算法均为多项式时间复杂度,因而份额长度成为影响效率的关键因素。秘密共享实际上是一种冗余机制,在实际应用
5、中,为了提高安全性,同时降低存储量,秘密份额的长度应尽量小,人们提出了许多方法使份额的长度保持在适当范围内。第8章 多方密码协议 秘密共享方案的一个重要参数是其信息率(information rate)。信息率(,S)定义为共享秘密的长度与份额的最大长度之比:这里,S为所有可能的秘密集合。如果()=1,则称为理想的(ideal)秘密共享方案,通常()1。设为访问结构,如果存在一个理想的秘密共享方案能实现,则称是理想的访问结构。在(k,n)门限方案中,份额与秘密具有相同规模,然而在对一般访问结构构造的方案中,份额长度通常大于秘密长度。以下例子给出了一个简单的理想秘密共享方案5。22log,max
6、 logpSSS p 第8章 多方密码协议 例例8-1 设秘密空间与份额空间均为GF(3),参与者集合为a,b,c,访问结构=a,b,b,c,a,b,c。构造秘密共享方案如表8-1所示。第8章 多方密码协议 第8章 多方密码协议 表中,D为原始秘密;Sa,Sb,Sc分别为a,b,c的份额。注意到在每行中,D=SaSb=SbSc,然而由于每行的Sa与Sc均相等,因此a与c组合将得不到D的任何信息。第8章 多方密码协议 构造理想的秘密共享方案是秘密共享方面的重要研究课题,后面介绍的Balkley方案和Shamir门限方案均为理想的秘密共享体制。除此之外,这方面还有许多文献6-7。参考文献6中利用向
7、量空间构造证明了判定理想访问结构的充分条件;参考文献7中则利用拟阵的方法给出了必要条件。对于任意给定的访问结构,寻找理想的秘密共享方案是不太现实的,因而人们只能试图找到使信息率尽可能大的方案。访问结构的最佳信息率(optimal information rate)定义为*()sup(,S)第8章 多方密码协议 这里,sup()是指对所有可能的秘密集合|S|2和所有能实现的秘密共享方案求极大值。显然,理想的访问结构的最佳信息率为1。寻找任意访问结构的最佳信息率,并求出其上、下界也是一个尚未解决的重要研究内容。为了减少秘密份额的长度,人们将秘密共享与其它技术相结合,构造了一些新的方案,如Rabin
8、的IDA(Information Dispersal Algorithm)8和Krawczyk的“短”秘密共享方案9(将在8.1.2节介绍)。第8章 多方密码协议 3)安全性秘密共享中的不安全因素包括:某个合法参与者拒绝提供份额而无法恢复秘密;非授权成员伪装为合法成员骗取秘密份额以及仲裁者分发给参与者错误份额,等等。针对不同安全问题,人们提出了不同的解决方法。比如构造完善的秘密共享方案,使得非授权的参与方集合无法得到秘密的任何信息;对现有的门限方案进行改进,使其具有预防欺骗的功能;在分发秘密份额时加入仲裁者的签名信息,等等。8.1.2节将详细讨论如何在门限方案中防止欺骗。第8章 多方密码协议
展开阅读全文