Схема Карнина — Грина — Хеллмана

Схема Карнина — Грина — Хеллмана — пороговая схема разделения секрета на основе решения систем уравнений. Авторы — Эхуд Карнин (англ. Ehud D. Karnin), Джонатан Грин (Jonathan W. Greene) и Мартин Хеллман (Martin E. Hellman).

ВведениеПравить

Пороговая схема разделения секрета на конечных полях — схема обмена секретного ключа $\text{[math]}$ $\text{[math]}$ $k$ между $\text{[math]}$ $\text{[math]}$ $n$ участниками таким образом, что любые $\text{[math]}$ $\text{[math]}$ $t$ из них могут восстановить секрет, но любая группа из $\text{[math]}$ $\text{[math]}$ $t-1$ или менее — не может. Схема состоит из двух фаз. В первой фазе — фазе распределения — некоторая сторона (называемая поставщиком) создаёт доли участия $\text{[math]}$ $\text{[math]}$ $s_{1},s_{2},\dots ,s_{n}$ , используя алгоритм распределения $\text{[math]}$ $\text{[math]}$ $D$ . Для каждого $\text{[math]}$ $\text{[math]}$ $i$ поставщик лично отдает долю участия $\text{[math]}$ $\text{[math]}$ $s_{i}$ участнику $\text{[math]}$ $\text{[math]}$ $P_{i}$ . Вторая фаза, называемая фазой восстановления, происходит, когда $\text{[math]}$ $\text{[math]}$ $t$ участников $\text{[math]}$ $\text{[math]}$ $P_{i_{1}},P_{i_{2}},\dots ,P_{i_{t}}$ хотят восстановить секретный ключ $\text{[math]}$ $\text{[math]}$ $k$ .

Типы пороговых схемПравить

Пороговая схема разделения секрета называется совершенной, если по крайней мере $\text{[math]}$ $\text{[math]}$ $t$ участников могут восстановить секрет, а любая группа из $\text{[math]}$ $\text{[math]}$ $t-1$ или менее сторон — не может.
Пороговая схема разделения секрета называется линейной, если восстановление секрета $\text{[math]}$ $\text{[math]}$ $k$ происходит путём взятия линейной комбинации $\text{[math]}$ $\text{[math]}$ $t$ долей участия.
Пороговая схема разделения секрета называется идеальной, если размер долей участий такой же, как у секрета $\text{[math]}$ $\text{[math]}$ $k$ .
Совершенная, идеальная и линейная пороговая схема разделения секрета называется PIL (perfect, ideal and linear) пороговой схемой разделения секрета.

Для PIL пороговой схемы можно задать требования в терминах свойств матрицы распределения $\text{[math]}$ $\text{[math]}$ $D :$

1.Полнота — любая группа, включающая не менее $\text{[math]}$ $\text{[math]}$ $t$ участников, может вычислить секрет $\text{[math]}$ $\text{[math]}$ $k$ . Таким образом, любые $\text{[math]}$ $\text{[math]}$ $t$ строк матрицы распределения $\text{[math]}$ $\text{[math]}$ $D$ должны иметь интервал, включающий строку

\text{[math]}

\left[1,0,0,\dots ,0\right]

.

2.Конфиденциальность — ни одна группа, включающая менее чем $\text{[math]}$ $\text{[math]}$ $t$ участников, не может получить информацию о секретном ключе $\text{[math]}$ $\text{[math]}$ $k$ . Инными словами, $\text{[math]}$ $\text{[math]}$ $t-1$ или меньше строк матрицы распределения $\text{[math]}$ $\text{[math]}$ $D$ не могут включать интервал, включающий строку

\text{[math]}

\left[1,0,0,\dots ,0\right]

.

ОписаниеПравить

Рассмотрим конечное поле $\text{[math]}$ $\text{[math]}$ $\mathrm {GF} (q^{m})$ . Пусть $\text{[math]}$ $\text{[math]}$ $\alpha$ простой элемент $\text{[math]}$ $\text{[math]}$ $\mathrm {GF} (q^{m})$ и пусть

\text{[math]}

\alpha _{i}\equiv \alpha ^{i},i={\overline {1,q^{m-1}}}

.

Поставщик случайно выбирает $\text{[math]}$ $\text{[math]}$ $a_{1},a_{2},\dots ,a_{t-1}$ из $\text{[math]}$ $\text{[math]}$ $\mathrm {GF} (q^{m})$ .

Затем он строит $\text{[math]}$ $\text{[math]}$ $n$ долей участия $\text{[math]}$ $\text{[math]}$ $s_{i}$ следующим образом

\text{[math]}

\left[{\begin{array}{c}s_{1}\\s_{2}\\\vdots \\s_{r}\\s_{r+1}\\\end{array}}\right]=\quad \left[{\begin{array}{ccccc}1&\alpha _{1}&\alpha _{1}^{2}&\cdots &\alpha _{1}^{t-1}\\1&\alpha _{2}&\alpha _{2}^{2}&\cdots &\alpha _{2}^{t-1}\\\vdots &\vdots &\vdots &\ddots &\vdots \\1&\alpha _{r}&\alpha _{r}^{2}&\cdots &\alpha _{r}^{t-1}\\0&0&0&\cdots &1\end{array}}\right]\left[{\begin{array}{c}k\\a_{1}\\a_{2}\\\vdots \\a_{t-1}\\\end{array}}\right]

$\text{[math]}$ $\text{[math]}$ $n=r+1,r\leq q^{m}-1$ .

Потом поставщик отправляет $\text{[math]}$ $\text{[math]}$ $s_{i}$ участнику $\text{[math]}$ $\text{[math]}$ $P_{i}$ , следя за тем, чтобы любые $\text{[math]}$ $\text{[math]}$ $t$ строк матрицы $\text{[math]}$ $\text{[math]}$ $D$ , обозначенные как $\text{[math]}$ $\text{[math]}$ $D_{i_{1},i_{2},\dots ,i_{t}}$ , составляли обратимую матрицу $\text{[math]}$ $\text{[math]}$ $t\times t$ .

Отсюда, $\text{[math]}$ $\text{[math]}$ ${\bar {y}}=D_{i_{1},i_{2},\dots ,i_{t}}^{-1}\cdot {\bar {S}}_{i_{1},i_{2},\dots ,i_{t}}$ , где $\text{[math]}$ $\text{[math]}$ ${\bar {S}}_{i_{1},i_{2},\dots ,i_{t}}-$ вектор — столбец, состоящий из $\text{[math]}$ $\text{[math]}$ $s_{i_{1}},s_{i_{2}},\dots ,s_{i_{t}}$ .

Таким образом, секрет $\text{[math]}$ $\text{[math]}$ $k$ может быть вычислен.

Кроме того, для любых $\text{[math]}$ $\text{[math]}$ $t-1$ строк матрицы $\text{[math]}$ $\text{[math]}$ $D$ , строка $\text{[math]}$ $\text{[math]}$ $[{\begin{array}{ccccc}\gamma ,0,0,\cdots ,0\\\end{array}}]$ , $\text{[math]}$ $\text{[math]}$ $\forall \gamma \in \mathrm {GF} (q^{m})\setminus \{0\}$ не будет входить в $\text{[math]}$ $\text{[math]}$ $D_{i_{1},i_{2},\dots ,i_{t-1}}.$

Значит, $\text{[math]}$ $\text{[math]}$ $t-1$ или менее участников не могут получить никакой информации о секрете $\text{[math]}$ $\text{[math]}$ $k$ . Следовательно, можно построить пороговую схему разделения секрета для $\text{[math]}$ $\text{[math]}$ $r+1$ , где $\text{[math]}$ $\text{[math]}$ $r+1=\mid \mathbb {F} \mid$ , то есть число участников $\text{[math]}$ $\text{[math]}$ $n$ может быть равно размеру поля.

Таким образом, с точки зрения определения максимального $\text{[math]}$ $\text{[math]}$ $n$ мы можем сказать, что схема Карнина — Грина — Хеллмана эффективней, чем схема Шамира.

Пример оптимальной схемыПравить

$\text{[math]}$ $\text{[math]}$ $n_{max,t}$ — это наибольшее $\text{[math]}$ $\text{[math]}$ $n$ , для которого можно построить PIL $\text{[math]}$ $\text{[math]}$ $(t,n)-$ пороговую схему разделения секрета над конечным полем $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ .
$\text{[math]}$ $\text{[math]}$ $D$ — матрица распределения PIL $\text{[math]}$ $\text{[math]}$ $(t,n)$ — пороговой схемы разделения секрета над конечным полем $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ записана в KGH нормальной форме, если удовлетворяет следующему равенству:

\text{[math]}

D=\quad \left[{\begin{array}{ccccc}1&x_{12}&x_{13}&\cdots &x_{1t}\\1&x_{22}&x_{23}&\cdots &x_{2t}\\\vdots &\vdots &\vdots &\ddots &\vdots \\1&x_{r2}&x_{r3}&\cdots &x_{rt}\\1&1&1&\cdots &1\\0&1&0&\cdots &0\\0&0&1&\cdots &0\\\vdots &\vdots &\vdots &\ddots &\vdots \\0&0&0&\cdots &1\\\end{array}}\right]

Для любой PIL $\text{[math]}$ $\text{[math]}$ $(t,n)$ — пороговой схемы разделения секрета над конечным полем $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ матрицу распределения $\text{[math]}$ $\text{[math]}$ $D$ можно записать в KGH нормальной форме.

Теорема 1. Допустим, у нас есть секретное пространство $\text{[math]}$ $\text{[math]}$ ${\mathcal {S}}$ = $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ = $\text{[math]}$ $\text{[math]}$ $\mathrm {GF} (q^{m})$

Тогда $\text{[math]}$ $\text{[math]}$ $n_{max,t}$ удовлетворяет:

\text{[math]}

\mid \mathbb {F} \mid \leq n_{max,t}\leq \mid \mathbb {F} \mid +t-2

,

\text{[math]}

q^{m}>t

,

\text{[math]}

n_{max,t}=t

,

\text{[math]}

q^{m}\leq t

,

Теорема 2. Пусть $\text{[math]}$ $\text{[math]}$ $\mathbb {F} =\mathrm {GF} (2^{m})$ — конечное поле и $\text{[math]}$ $\text{[math]}$ $n=\mid \mathbb {F} \mid +1$ . Тогда существует надежная PIL $\text{[math]}$ $\text{[math]}$ $(3,n)$ — пороговая схема разделения секрета над полем $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ .

Доказательство. Характеристикой поля $\text{[math]}$ $\text{[math]}$ $\mathbb {F} =\mathrm {GF} (2^{m})$ является $\text{[math]}$ $\text{[math]}$ $2$ . Все нетривиальные элементы (элементы не равные $\text{[math]}$ $\text{[math]}$ $0$ или $\text{[math]}$ $\text{[math]}$ $1$ ) поля $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ имеют мультипликативный порядок больше, чем $\text{[math]}$ $\text{[math]}$ $2$ . Пусть $\text{[math]}$ $\text{[math]}$ $x_{1},x_{2},\cdots ,x_{\mid \mathbb {F} \mid -2}$ — элементы поля $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ не равные $\text{[math]}$ $\text{[math]}$ $0$ или $\text{[math]}$ $\text{[math]}$ $1$ .

Тогда матрица распределения примет следующий вид:

\text{[math]}

D=\quad \left[{\begin{array}{ccccc}1&x_{1}&x_{1}^{2}\\\vdots &\vdots &\vdots \\1&x_{\mid \mathbb {F} \mid -2}&x_{\mid \mathbb {F} \mid -2}^{2}\\1&1&1\\0&1&0\\0&0&1\\\end{array}}\right]

Таким образом, $\text{[math]}$ $\text{[math]}$ $D$ — это матрица PIL $\text{[math]}$ $\text{[math]}$ $(3,n)-$ пороговой схемы разделения секрета размером $\text{[math]}$ $\text{[math]}$ $(\mid \mathbb {F} \mid +1)\times 3.$

Рассмотрим полноту.

Пронумеруем строки матрицы $\text{[math]}$ $\text{[math]}$ $D$ от $\text{[math]}$ $\text{[math]}$ $1$ до $\text{[math]}$ $\text{[math]}$ $n$ сверху вниз.

Случай I. Любые 3 строки из набора $\text{[math]}$ $\text{[math]}$ $\{1,\cdots ,n-2\}$ могут восстановить секрет ввиду обратимости матрицы Вандермонда.
Случай II. Допустим даны строки $\text{[math]}$ $\text{[math]}$ $\left[0,1,0\right]$ и $\text{[math]}$ $\text{[math]}$ $\left[0,0,1\right]$ и ещё одна строка из набора $\text{[math]}$ $\text{[math]}$ $\{1,\cdots ,n-2\}$ . Тогда очевидно, что можно восстановить секрет.
Случай III. Допустим одна из строк принадлежит набору $\text{[math]}$ $\text{[math]}$ $\{\left[0,1,0\right],\left[0,0,1\right]\}$ , а две остальные выбраны из $\text{[math]}$ $\text{[math]}$ $\{1,\cdots ,n-2\}.$ Тогда с помощью элементарных преобразований строк можно убрать строку из набора $\text{[math]}$ $\text{[math]}$ $\{\left[0,1,0\right],\left[0,0,1\right]\}$ . В итоге, останется система Вандермонта размером $\text{[math]}$ $\text{[math]}$ $2\times 2$ , которая обратима.

Свойство полноты доказано. Доказательство конфиденциальности проходит похожим образом.

Для любого поля $\text{[math]}$ $\text{[math]}$ $\mathbb {F}$ с характеристикой $\text{[math]}$ $\text{[math]}$ $2$ получается, что:

\text{[math]}

n_{max,3}=\mid \mathbb {F} \mid +1=\mid \mathbb {F} \mid +3-2=\mid \mathbb {F} \mid +t-2

.

Следовательно, для полей с характеристикой $\text{[math]}$ $\text{[math]}$ $2$ в схеме Карнина — Грина — Хеллмана $\text{[math]}$ $\text{[math]}$ $n_{max,3}$ по теореме 1 достигает верхней границы.

ЛитератураПравить

Шнайер Б. 23.2 Алгоритмы разделения секрета. Karnin — Greene — Hellman // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 590. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
Yvo Desmedt, Brian King, Berry Schoenmakers. Revisiting the Karnin, Greene and Hellman Bounds // ICITS '08 Proceedings of the 3rd international conference on Information Theoretic Security. — 2008. — С. 183—198. — ISBN 978-3-540-85092-2. — doi:10.1007/978-3-540-85093-9_18.
Karnin E.D., Greene J. , Hellman M.E. On secret sharing systems // Information Theory, IEEE Transactions on. — 2003. — С. 35—41. — ISSN 0018-9448. — doi:10.1109/TIT.1983.1056621.
Stinson, D. R. Cryptography: theory and practice. — Chapman and Hall/CRC, 2005. — ISBN 978-1584885085.