一个单方加密-多方解密的公钥加密方案的分析

刘雪樵

（暨南大学 计算机系，广东 广州510632）

随着数字电视等数字信息服务的普及，人们对用户的身份认证与通信保密性也提出了更高要求。发送者希望密文只能被经过授权的接收者所解密，而未授权的接收者将不能解密。无线网络和有线网络中的广播/组播业务对于发送方和接收方也有类似要求。因此，如何保证上述情景下的通信安全亟待解决。

1976年，DEFFIE W和HELLMAN M E首次提出了公钥密码体制这一概念[1]，意味着同一消息的加密与解密密钥不同且成对出现。加密密钥即公钥是公开的，而解密密钥即私钥唯有解密方知道，因此通信前无需进行密钥协商。公钥加密方案常用于传递秘密信息和协商会话密钥。尽管公钥加密方案能够解决单播加密问题，但由于只有一个解密私钥，因此在广播/组播和会议密钥的安全分发等应用场景中仍存在效率低的局限性。由此单方加密-多方解密的公钥加密方案应运而生。

1979年，SHAMIR A提出了秘密共享方案[2]，使得单方加密-多方解密成为可能。单方加密-多方解密即具有一个发送者、多个接收者。发送者持有唯一的加密密钥，只需加密一次，而多个解密方则持有各自不同的解密密钥，加密方加密过的密文可以被任一解密方持有的解密密钥所解密，得到同一则明文消息，即多个解密方均可解密该密文。这一概念最初是由BAUDRON O等人[3]与BELLARE M等人[4]在将单接收者推广到多接收者的基础上提出的。此后，BAEK J等人利用双线性配对构造了基于身份的具有多接收者的公钥加密方案[5]。

最近，庞辽军等人提出了一个单方加密-多方解密的公钥加密方案[6]，并称其方案满足前向保密性。然而遗憾的是，本文通过具体分析，表明其方案并不能满足前向保密性。

1 预备知识

1.1 双线性配对

(G1，+)、(G2，·)为两个阶数均为素数 p 的循环群，其中前者为加法群，后者为乘法群；令P为G1的生成元。称变换e：G1×G1→G2为双线性变换，如果满足下面的性质：

(1)双线性：对任意P1、P2和Q∈G1，有e(P1+P2，Q)=e(P1，Q)e(P2，Q)成立。

(2)非退化性：存在P∈G1即e(P，P)≠1，也就是说e(P，P)是G2的生成元。

(3)可计算性：对任意P1，P2∈G1，存在有效算法计算e(P1，P2)。

1.2 SHAMIR A的秘密共享方案

SHAMIR A提出的基于Lagrange插值公式构造的(t，n)门限秘密共享方案[2]如下：

(1)初始化阶段：秘密分发者D随机地从GF(q)(q为素数且q＞n)中选取n个不同的非零元素x1，x2，…，xn，使用xi标识每一个参与者Ui(i=1，2，…，n)，所有xi的值都是公开的。

(2)秘密分发阶段：若D打算让这n个参与者共享秘密s∈GF(q)，则D随机选择t-1中的s∈GF(q)个元素a1，a2，…，at-1构造t-1 次多项式f(x)=s+a1x+…+at-1xt-1。计算yi=f(xi)(i=1，2，…，n)并将yi安全地发送给相应参与者Ui作为其子秘密。

3.协调成立联席工作机制。2018年5月，省农业厅与财政厅、教育厅、卫计委和民政厅召开了山西省农垦国有农场办社会职能改革工作联席会议，建立了省级联席会议机制，明确了各部门的职责范围，形成工作合力。我省承担农垦改革任务的大同市、朔州市、吕梁市、临汾市、长治市和忻州市也相应建立了市县级部门联席会议推进的工作机制，明确由五部门共同对各市县国有农场所承担的办社会职能情况进行核实和界定，共同指导、协调推进改革。

2 单方加密-多方解密的公钥加密方案

庞辽军等人的单方加密-多方解密的公钥加密方案[6]如下：

(1)系统建立：(G1，+)、(G2，·)为阶数p为素数的循环群，前者为加法群，后者为乘法群，G1中的Diffie-Hellman计算问题为困难问题；P为G1的生成元；e为G1和G2上的双线性变换；(Ek，Dk)为某对称加密方案的加、解密算法，k为对称密钥；h(·)是单向 Hash 函数；hk(·)是由密钥k控制的钥控单向Hash函数。假设所选对称加密方案和Hash函数是密码学安全的。

假设系统中有一个发送方(加密者)S和n个接收方(解密者)R1，R2，…，Rn。S选取两个正整数a和b，并在中随机选择a+bn个不同的元素，构成以下n+1个向量：S随机选取自己的加密主密钥，并计算QS=SSP∈G1。S随机选择两个元素Q1，Q2∈G1以及一个a+b-1次多项式f(x)∈Zp[x]，使之满足f(0)=SS，并计算如下两个向量：

系统参数表示如 下：①(p，G1，G2，e，P，QS，Q1，Q2，S，R1，…，Rn，S*)为系统公共参数；②SS为发送方S的加密主密钥，S将其保密；③为消息接收方Ri的解密私钥(i=1，2，…，n)。

②计算k′：

其中，符号 Value(X，i)表示返回向量（或数组）X中的第i个分量（或元素）的值。

④判断I′=I，相等则接受m′为合法明文，否则拒绝m′。

3 对单方加密-多方解密的公钥加密方案的分析

所谓前向保密性，是指当秘密分发者的私钥泄漏后，之前所共享秘密的安全性不会受到任何影响[7]。该方案声称其具备前向保密性，即使发送者的主密钥SS泄漏，也不会对以前由其建立的会话密钥k构成威胁，也就是说攻击者通过这个主密钥得不到以前建立的会议密钥，从而也影响不了之前发送过的消息的保密性。

因此发送者的主密钥SS泄漏将会导致以前建立的会话密钥k的泄漏，从而威胁到之前发送消息的保密性，即庞辽军等人[6]的方案不具备前向保密性。

本文针对庞辽军等人的单方加密-多方解密的公钥加密方案[6]进行了具体分析，指出其方案并不能满足其所声称的前向保密性，即加密者的主密钥泄漏，将会影响到之前加密过的信息的安全性。

[1]DIFFIE W，HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory，1976(22)：474-492.

[2]SHAMIR A.How to share a secret communications of the ACM[J].1979，22(11)：612-613.

[3]BAUDRON O，POINTCHEVAL D，STERN J.Extended notions of security for multicast public key cryptosystems[C].Proceedings of the Automata，Languages and Programming 27th International Colloquium，Geneva，Switzerland，2000.

[4]BELLARE M，BOLDYREVA A，MICALI S.Public-key encryption in a multi-user setting：Security proofs and improvements[C].Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques，Bruges，Belgium，2000.

[5]BAEK J，SAFAVI N R，SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386：Proceedings of the 8th Int Workshop on Theory and Practice in Public Key Cryptography，Berlin：Springer，2005.

[6]庞辽军，李慧贤，裴庆祺，等.一个单方加密-多方解密的公钥加密方案[J].计算机学报，2012，35(5)：1059-1066.

[7]庞辽军，裴庆祺，焦李成，等.基于 ID的门限多重秘密共享方案[J].软件学报，2008，19(10)：2739-2745.