一种可验证的(t,n)门限秘密共享方案

摘要：秘密共享能够避免秘密过于集中，分散安全风险，提高系统的安全性和健壮性，是信息安全专业一个重要的分支。本文提出了一种可验证的（t，n）门限秘密共享方案，该方案中，所有用户的私钥由自己产生，无需可信中心，可以防止可信中心的权威欺骗。此外，该方案中，验证者之间不需要互相交换秘密份额，有效的保证了方案的公平性。

关键词：秘密共享；门限加密；可验证；可信中心；公平性1引言

1979年，Shamir A[1]和Blakley G[2]分别独立的提出秘密共享的概念，其基本思想是将共享秘密分割成n个影子，将n个影子交给n个参与者，任意t个或t个以上的参与者可以解密，少于t个无法恢复秘密。文献[1][2]存在如下问题：（1）共享秘密不能重复使用；（2）秘密份额交换过程中没有验证秘密份额的真伪，存在参与者欺骗问题,导致诚实的参与者无法恢复秘密[3]；（3）秘密恢复，需要依賴可信中心，降低了系统的安全性。文献[4]提出一种防欺骗的门限共享方案，但该方案存在以下问题：（1）共享秘密只能使用一次，不能重复使用；（2）每个成员私钥由KAC分配，降低了方案的安全性；（3）该方案中，密文只能由一人获得，即只能一对一通信。

本文针对文献[4]存在的问题，提出了一种可验证的（t，n）门限秘密共享方案。本方案中，无需可信中心，每个成员自己产生私钥，有效防止了权威欺骗，提高了系统的安全性。任意t个参与者协同合作才可恢复明文，并且t个参与者都能获得明文，实现了一对多通信。在恢复明文过程中，任一成员都不知道组私钥，组私钥可重复使用。

2本方案构成

设用户UA为加密者，其标识为IDA，为n个参与者的集合，每个参与者的标识为IDi。NB为公告牌。

2.1初始化

⑴生成方案中每个成员的私钥及公钥

每个参与者pi∈P随机秘密选取两个大素数ki和hi，计算：

其中xi为pi的私钥，yi为pi的公钥。g为GF(p)上的q阶生成元。q为大素数。

同理，用户UA计算出其私钥为xA，公钥为yA。

⑵组公钥及组私钥S的影子的生成

①每个参与者pi∈P随机秘密选取大素数λi，计算：λixi，并把λixi发送给用户UA。UA计算组公钥 。

②用户UA构造多项式：

用户计算f(1)，f(2)，……，f(n)，分别分发给参与者p1，p2，……，pn

⑶生成方案中每个成员的公钥证书

解同余方程：

求出 ，计算

将（IDi，yi，vi）作为每个参与者的公钥证书。同理求出用户UA的公钥证书（IDA，yA，vA）。将方案中每个成员的公钥证书在公告牌NB上公布。

2.2 成员公钥的验证

用户UA可以验证任一参与者pi的公钥证书，有效的防止了攻击者假冒pi。

用户UA验证公式： （6）是否成立，若成立，证明yi是参与者pi的公钥。因为：

由式（5）可得

又因为：

所以：

2.3 明文加密

用户UA随机选择一个与p互素的整数k，计算：

用户UA将密文（C1，C2）发送给每个参与者pi。将验证信息Vi在信息公告牌上公布。

2.4 恢复明文

⑴pi收到私钥影子后，计算： 。

⑵pi向其他成员广播 ，其他成员根据式（10）验证信息 的正确性。

⑶若有不诚实成员提交假的秘密份额，则停止恢复。

⑷若所有成员的影子正确则根据Language插值定理，则可用式（11）恢复 。假设用（Xi，Yi）代表所得到的t个数偶：。

⑸恢复明文： （12）

3方案特点分析

⑴每个参与者都不知道组私钥S。因为t个参与者协同合作恢复的是 ，根据离散对数难求解问题，很难根据 ，退出组私钥S。因此，组私钥S可以反复利用。

⑵文献[4]中，每个成员的私钥是由密钥认证中心KAC产生,容易受到攻击者的合谋攻击，大大的降低了系统的安全性。本方案中，每个成员自己产生私钥，无需可信中心，有效的避免了权威欺骗。在恢复私钥S的过程中，能够识别秘密份额的有效性，从而识别欺骗者。

⑶文献[4]中，用户加密明文后，只能由指定的一人恢复，其余t-1个为验证者，无权恢复明文。不仅降低了方案的灵活性，而且不能有效的预防权威欺骗。本方案中，任意t个参与者协同合作，不仅提高了方案的灵活性，而且t个参与则会间相互制约，有效的防止了权威欺骗。

4结束语

本文提出一种可验证的（t，n）门限加密方案。在该方案中，每个成员自己产生私钥，无需可信中心，有效的避免了可信中心的权威欺骗。在恢复私钥S的过程中，能够识别秘密份额的有效性，从而识别欺骗者。每个参与者都不知道组私钥S，组私钥S可以反复利用。任意t个参与者协同合作，不仅提高了方案的灵活性，而且t个参与者间相互制约，有效的防止了权威欺骗。

[参考文献]

[1]Shamir A.How to share a secret[J].Communications of the ACM,1979,22(11):612-613.

[2]Blakley G R.Safeguarding Cryptographic Keys[C].Proc.of AFIPS National Computer Conference.New York,USA:AFIPS Press,1979.

[3]侯整风,史英杰,胡东辉,朱晓玲.一种公平的（t，n）门限加密方案[J].仪器仪表学报（增刊）2011,12（32）：15-18.

[4]侯整风,韩江洪.防欺骗（t，n）秘密共享模式研究[J].浙江大学学报（理学版），2007,6（34）：633-635,701.