Схемы разделения секрета для произвольных структур доступа

Схемы разделения секрета для произвольных структур доступа (англ. Secret sharing with generalized access structure) — схемы разделения секрета, которые позволяют задать произвольный набор групп участников (квалифицированных подмножеств), имеющих возможность восстановить секрет (структуру доступа).

ИсторияПравить

В 1979 году израильский криптоаналитик Ади Шамир предложил пороговую схему разделения секрета между $\text{[math]}$ $\text{[math]}$ $n$ сторонами, обладающую следующими свойствами:

Для восстановления секрета достаточно $\text{[math]}$ $\text{[math]}$ $k$ и больше сторон.
Никакие $\text{[math]}$ $\text{[math]}$ $k-1$ и меньше сторон не смогут получить никакой информации о секрете.^[1]

Такой подход нашел много применений. Например, для многопользовательской авторизации в инфраструктуре открытых ключей, в цифровой стеганографии для скрытой передачи информации в цифровых изображениях, для противодействия атакам по сторонним каналам при реализации алгоритма AES.

Однако более сложные приложение, где определённые группы участников могут иметь доступ, а другие нет, не вписываются в модель пороговых схем. Для решения этой проблемы были разработаны схемы разделения секрета для произвольных структур доступа.

Японские ученые Мицуро Ито, Акиро Саито и Такао Нишизеки первые начали изучать разделение секрета для произвольных структур доступа и в 1987 году предложили свою схему.^[2] Их мысль развили Джош Бенало и Джерри Лейхтер, предложив в 1988 году схему разделения для монотонных структур.^[3] В 1989 Эрнест Бриккелл предложил схему, в которой участникам раздаются не доли секрета, а их линейные комбинации.^[4]

Определение используемых терминовПравить

Дилер — участник процедуры (протокола), который, зная секрет, вычисляет доли секрета и раздаёт эти доли остальным участникам.

Квалифицированное подмножество — множество участников группы, для которого разрешено восстановление секрета.

Примером, иллюстрирующим появление квалифицированных подмножеств, может служить разделение секрета между управленцами. В случае, если секрет может быть восстановлен либо всеми тремя управленцами, либо любым управленцем и любым вице-президентом, либо президентом в одиночку,^[1] квалифицированными подмножествами будут президент, вице-президент и управленец, или любые три управленца.

Структура доступа — перечисление квалифицированного и неквалифицированных подмножеств.

Пусть $\text{[math]}$ $\text{[math]}$ $A$ — множество участников группы, $\text{[math]}$ $\text{[math]}$ $n$ — количество участников группы, $\text{[math]}$ $\text{[math]}$ $2^{[n]}$ — множество, состоящее из всех возможных подмножеств участников группы. Пусть $\text{[math]}$ $\text{[math]}$ $\Gamma$ — множество, состоящее из подмножеств участников, которым разрешено восстановление секрета (квалифицированные множества участников), $\text{[math]}$ $\text{[math]}$ $\Delta$ — множество, состоящее из подмножеств участников, которые не могут восстановить секрет. Структура доступа обозначается как ( $\text{[math]}$ $\text{[math]}$ $\Gamma$ , $\text{[math]}$ $\text{[math]}$ $\Delta$ ).

Структура доступа называется монотонной, если все надмножества квалифицированных подмножеств также входят в $\text{[math]}$ $\text{[math]}$ $\Gamma$ , то есть $\text{[math]}$ $\text{[math]}$ $A\in \Gamma ,A\subseteq B\subseteq P\Rightarrow B\in \Gamma$

Предположим ( $\text{[math]}$ $\text{[math]}$ $\Gamma$ , $\text{[math]}$ $\text{[math]}$ $\Delta$ ) — структура доступа на $\text{[math]}$ $\text{[math]}$ $A$ . $\text{[math]}$ $\text{[math]}$ $B\in \Gamma$ называют минимальным квалифицированным подмножеством, если $\text{[math]}$ $\text{[math]}$ $C\not \in \Gamma$ всегда, когда $\text{[math]}$ $\text{[math]}$ $C\subset B$ . Множество минимальных квалифицированных подмножеств $\text{[math]}$ $\text{[math]}$ $\Gamma$ обозначается как $\text{[math]}$ $\text{[math]}$ $\Gamma _{min}$ и называется базисом $\text{[math]}$ $\text{[math]}$ $\Gamma$ . Минимальное квалифицированное подмножество однозначно задает структуру доступа.

Схема Бенало-ЛейхтераПравить

Пусть задана монотонная структура доступа $\text{[math]}$ $\text{[math]}$ $A$ и $\text{[math]}$ $\text{[math]}$ $\Gamma _{min}$ — множество минимальных квалифицированных подмножеств, соответствующее $\text{[math]}$ $\text{[math]}$ $A$ . Пусть $\text{[math]}$ $\text{[math]}$ $\Gamma _{min}=\{A_{1},A_{2},...,A_{m}\}$ . Для каждого $\text{[math]}$ $\text{[math]}$ $A_{i}$ вычисляются доли секрета для участников этого подмножества $\text{[math]}$ $\text{[math]}$ $s_{i1},s_{i2},...,s_{i|A|}$ с помощью любой $\text{[math]}$ $\text{[math]}$ $(|A_{i}|,|A_{i}|)$ — пороговой схемы разделения секрета.

Доля секрета $\text{[math]}$ $\text{[math]}$ $s_{i,j}$ передается соответствующему участнику. В результате каждый участник получает набор долей секрета. Восстановление секрета происходит по выбранной (n, n)-пороговой схеме.^[3]

Пример:

$\text{[math]}$ $\text{[math]}$ $\Gamma _{min}=\{\{1,2,3\},\{1,4\},\{2,4\},\{3,4\}\}$

$\text{[math]}$ $\text{[math]}$ $A_{1}=\{1,2,3\}\ \ \ \ \ A_{2}=\{1,4\}\ \ \ \ \ A_{3}=\{2,4\}\ \ \ \ \ A_{4}=\{3,4\}$

Здесь, например, $\text{[math]}$ $\text{[math]}$ $P_{4}$ является вторым в $\text{[math]}$ $\text{[math]}$ $A_{2},A_{3},A_{4}$ , поэтому он получает доли секрета $\text{[math]}$ $\text{[math]}$ $s_{2,2},s_{3,2},s_{4,2}$

Аналогично для остальных участников

$\text{[math]}$ $\text{[math]}$ $P_{1}\leftarrow s_{1,1},s_{2,1}\ \ P_{2}\leftarrow s_{1,2},s_{3,1}\ \ P_{3}\leftarrow s_{1,3},s_{4,1}\ \$

Недостаток данной схемы — возрастающий объём долей секрета для каждого участника при увеличении $\text{[math]}$ $\text{[math]}$ $\Gamma _{min}$ ^[5]^[6].

Схема Ито-Саито-НишизекиПравить

Ито, Саито, Нишизеки представили так называемую технику кумулятивного массива для монотонной структуры доступа.^[2]

Пусть $\text{[math]}$ $\text{[math]}$ $A$ — монотонная структура доступа размером $\text{[math]}$ $\text{[math]}$ $n$ и пусть $\text{[math]}$ $\text{[math]}$ $A_{1},...,A_{m}$ — соответствующие ей максимальные неквалифицированные подмножества участников.

Кумулятивный массив структуры доступа $\text{[math]}$ $\text{[math]}$ $A$ есть матрица размеров $\text{[math]}$ $\text{[math]}$ $n\times m$ $\text{[math]}$ $\text{[math]}$ $(C_{i,j}^{A})_{1\leq i\leq n,1\leq j\leq m}$ , где $\text{[math]}$ $\text{[math]}$ $C_{i,j}^{A}={\begin{cases}0,&{\text{если }}i\in A_{j}\\1,&{\text{если }}i\not \in A_{j}\end{cases}}$ и обозначается как $\text{[math]}$ $\text{[math]}$ $C^{A}$ . То есть столбцы матрицы отвечают неквалифицированным подмножествам, а значение по строкам внутри столбца будет единицей, если элемент не входит в данное подмножество.

В данной схеме можно использовать любую $\text{[math]}$ $\text{[math]}$ $(m,m)$ — пороговую схему разделения секрета с секретом $\text{[math]}$ $\text{[math]}$ $S$ и соответствующими долями $\text{[math]}$ $\text{[math]}$ $s_{1},...,s_{m}$

Доли $\text{[math]}$ $\text{[math]}$ $I_{1},...,I_{n}$ соответствующие секрету $\text{[math]}$ $\text{[math]}$ $S$ будут определятся как множество $\text{[math]}$ $\text{[math]}$ $s_{j}$ : $\text{[math]}$ $\text{[math]}$ $I_{i}=\{s_{j}|C_{i,j}^{A}=1\}$

Восстановление секрета происходит по выбранной $\text{[math]}$ $\text{[math]}$ $(m,m)$ — пороговой схеме.

Сложность реализации данной схемы, достигнутая в 2016 году составляет $\text{[math]}$ $\text{[math]}$ $O(n)$ .^[7]

Пример:

Пусть $\text{[math]}$ $\text{[math]}$ $n=4$ , $\text{[math]}$ $\text{[math]}$ $\Gamma =\{\{1,2\},\{3,4\},\{1,2,3\},\{1,2,4\},\{1,3,4\},\{2,3,4\}\}$ .

Соответствующее $\text{[math]}$ $\text{[math]}$ $A$ множество минимальных квалифицированных подмножеств $\text{[math]}$ $\text{[math]}$ $\Gamma _{min}=\{\{1,2\},\{3,4\}\}$

В этом случае $\text{[math]}$ $\text{[math]}$ $\Delta _{max}=\{\{1,3\},\{1,4\},\{2,3\},\{2,4\}\}$ и $\text{[math]}$ $\text{[math]}$ $m=4$ .

Кумулятивный массив структуры доступа $\text{[math]}$ $\text{[math]}$ $A$ имеет вид $\text{[math]}$ $\text{[math]}$ $C^{A}={\begin{pmatrix}0&0&1&1\\1&1&0&0\\0&1&0&1\\1&0&1&0\end{pmatrix}}$

Доли секрета участников равны $\text{[math]}$ $\text{[math]}$ $I_{1}=\{s_{3},s_{4}\};\ \ I_{2}=\{s_{1},s_{2}\};\ \ I_{3}=\{s_{2},s_{4}\};\ \ I_{4}=\{s_{1},s_{3}\}$

Восстановление секрета аналогично восстановлению секрета в $\text{[math]}$ $\text{[math]}$ $(4,4)$ — пороговой схеме Шамира.

Линейная схема разделения секрета БрикеллаПравить

Для структуры доступа $\text{[math]}$ $\text{[math]}$ $A$ и набора участников $\text{[math]}$ $\text{[math]}$ $P=\{P_{1},...,P_{n}\}$ составляется матрица $\text{[math]}$ $\text{[math]}$ $M$ размера $\text{[math]}$ $\text{[math]}$ $n\times m$ , в которой строка $\text{[math]}$ $\text{[math]}$ $M[i]$ длины $\text{[math]}$ $\text{[math]}$ $m$ ассоциируется с участником $\text{[math]}$ $\text{[math]}$ $i$ . Для подмножества участников $\text{[math]}$ $\text{[math]}$ $x\subset \Gamma$ , которому соответствует набор строк матрицы $\text{[math]}$ $\text{[math]}$ $M$ — $\text{[math]}$ $\text{[math]}$ $M_{x}$ , должно выполняться условие, что вектор $\text{[math]}$ $\text{[math]}$ $(1,0,...,0)$ принадлежит линейной оболочке, натянутой на $\text{[math]}$ $\text{[math]}$ $M_{x}$ .

Дилер выбирает вектор $\text{[math]}$ $\text{[math]}$ $r=(r_{0},...,r_{m})$ , где разделяемый секрет $\text{[math]}$ $\text{[math]}$ $s=r_{0}$ . Доля секрета участника $\text{[math]}$ $\text{[math]}$ $i$ : $\text{[math]}$ $\text{[math]}$ $s_{i}=M[i]r$

Восстановление секрета.

Выбирается вектор $\text{[math]}$ $\text{[math]}$ $\alpha$ , длины $\text{[math]}$ $\text{[math]}$ $m$ , $\text{[math]}$ $\text{[math]}$ $\alpha _{x}$ — вектор, составленный из координат $\text{[math]}$ $\text{[math]}$ $\alpha$ , соответствующих набору участников $\text{[math]}$ $\text{[math]}$ $x\subset \Gamma$ .

Для каждого $\text{[math]}$ $\text{[math]}$ $x\subset \Gamma$ должно выполняться условие: $\text{[math]}$ $\text{[math]}$ $\alpha _{x}M_{x}=(1,0,....,0)$ . Тогда секрет можно восстановить по формуле:

$\text{[math]}$ $\text{[math]}$ $\sum _{i\in x}s_{i}\alpha _{i}=\sum _{i\in x}(M[i]r)\alpha _{i}=(\sum _{i\in x}\alpha _{i}M[i])r=(1,0,...,0)r=s$ ^[4]

Пример:

Множество минимальных квалифицированных подмножество $\text{[math]}$ $\text{[math]}$ $\Gamma =\{\{1,2,3\},\{1,4\}\}$ .

Подходящая матрица:

$\text{[math]}$ $\text{[math]}$ ${\begin{pmatrix}0&1&0\\1&0&1\\0&1&-1\\1&1&0\end{pmatrix}}$

$\text{[math]}$ $\text{[math]}$ $M$ удовлетворяет требованию схемы:

Для $\text{[math]}$ $\text{[math]}$ $\{1,2,3\}$ : $\text{[math]}$ $\text{[math]}$ $(1,0,0)=-(0,1,0)+(1,0,1)+(0,1,-1)$

Для $\text{[math]}$ $\text{[math]}$ $\{1,4\}$ : $\text{[math]}$ $\text{[math]}$ $(1,0,0)=-(0,1,0)+(1,1,0)$

Доли секрета каждого участника:

$\text{[math]}$ $\text{[math]}$ $P_{1}\leftarrow r_{1};\qquad P_{2}\leftarrow s+r_{2};\qquad P_{3}\leftarrow r_{1}-r_{2};\qquad P_{4}\leftarrow s+r_{1}\qquad$

Восстановление секрета:

Для восстановления секрета выбирается $\text{[math]}$ $\text{[math]}$ $\alpha =(-1,1,1,1)$

Тогда для $\text{[math]}$ $\text{[math]}$ $x=\{1,2,3\}$ : $\text{[math]}$ $\text{[math]}$ $\alpha _{x}=(-1,1,1)$

$\text{[math]}$ $\text{[math]}$ $(-1,1,1){\begin{pmatrix}0&1&0\\1&0&1\\0&1&-1\end{pmatrix}}=(1,0,0)$

А для $\text{[math]}$ $\text{[math]}$ $x=\{1,4\}$ : $\text{[math]}$ $\text{[math]}$ $\alpha _{x}=(-1,1)$

$\text{[math]}$ $\text{[math]}$ $(-1,1){\begin{pmatrix}0&1&0\\1&1&0\end{pmatrix}}=(1,0,0)$

ПрименениеПравить

Данные схемы применяются в протоколах условного раскрытия секрета (англ. conditional disclosure of secrets, CDS)^[8], безопасных распределенных вычислениях^[9]^[10]^[11], задачах распределения ключей^[12] и схемах аутентификации нескольких приемников^[13].

ПримечанияПравить

↑ ¹ ² Shamir A. How to share a secret // Commun. ACM — NYC, USA. — 1979. — Т. 22. — С. 612—613.
↑ ¹ ² Ito M., Saito A., Nishizeki T. Secret sharing scheme realizing general access structure // Electronics and Communications in Japan (Part III: Fundamental Electronic Science). — 1987. Архивировано 23 апреля 2021 года.
↑ ¹ ² Benaloh J., Leichter J. Generalized Secret Sharing and Monotone Functions // Advances in Cryptology - CRYPTO' 88. — 1988. — С. 27—35.
↑ ¹ ² Brickell E. F. Some ideal secret sharing schemes // Journal of Combin. Math. and Commbin. Comput. no. 9. — 1989. — С. 105—113.
↑ Sreekumar A., Babusundar S. Secret Sharing Schemes using Visual Cryptography // Cochin University of Science and Technology. — 2009.
↑ Kouya TOCHIKUBO. A Construction Method of Secret Sharing Schemes Based on Authorized Subsets // International Symposium on Information Theory and its Applications. — 2008.
↑ Lein Harna, Hsu Chingfang, Zhang Mingwua, He Tingtingc, Zhang Maoyuanc. Realizing secret sharing with general access structure // Information Sciences. — 2016. — № 367–368. — С. 209—220.
↑ Gertner, Y., Ishai, Y., Kushilevitz, E., Malkin, T. Protecting data privacy in private information retrieval schemes // Journal of Computer and System Sciences. — 2000. — № 60(3). — С. 592–629.
↑ Ben-Or, M., Goldwasser, S., Wigderson, A. Completeness theorems for noncryptographic fault-tolerant distributed computation. In: Proceedings of the 20th annual ACM symposium on Theory of computing // ACM Press. — 1998. — С. 1–10.
↑ Cramer, R., Damg˚ard, I., Maurer, U. General secure multi-party computation from any linear secret-sharing scheme. // Preneel, B. (ed.) EUROCRYPT 2000. — Т. 1807. — С. 316–334.
↑ Cramer, R., Damg˚ard, I., Nielsen, J.B. Secure Multiparty Computation and Secret Sharing: An Information Theoretic Approach.. (недоступная ссылка)
↑ Lee, C.-Y., Wang, Z.-H., Harn, L., Chang, C.-C. Secure key transfer protocol based on secret sharing for group communications // IEICE Trans. Inf. and Syst.. — 2011. — С. 2069–2076.
↑ Zhang, J., Li, X., Fu, F.-W. Multi-receiver authentication scheme for multiple messages based on linear codes // Huang, X., Zhou, J. (eds.) ISPEC 2014. LNCS. — 2014. — Т. 8434. — С. 287–301.

[:0-1] ¹ ² Shamir A. How to share a secret // Commun. ACM — NYC, USA. — 1979. — Т. 22. — С. 612—613.

[:1-2] ¹ ² Ito M., Saito A., Nishizeki T. Secret sharing scheme realizing general access structure // Electronics and Communications in Japan (Part III: Fundamental Electronic Science). — 1987. Архивировано 23 апреля 2021 года.

[:2-3] ¹ ² Benaloh J., Leichter J. Generalized Secret Sharing and Monotone Functions // Advances in Cryptology - CRYPTO' 88. — 1988. — С. 27—35.

[:3-4] ¹ ² Brickell E. F. Some ideal secret sharing schemes // Journal of Combin. Math. and Commbin. Comput. no. 9. — 1989. — С. 105—113.

[5] Sreekumar A., Babusundar S. Secret Sharing Schemes using Visual Cryptography // Cochin University of Science and Technology. — 2009.

[6] Kouya TOCHIKUBO. A Construction Method of Secret Sharing Schemes Based on Authorized Subsets // International Symposium on Information Theory and its Applications. — 2008.

[7] Lein Harna, Hsu Chingfang, Zhang Mingwua, He Tingtingc, Zhang Maoyuanc. Realizing secret sharing with general access structure // Information Sciences. — 2016. — № 367–368. — С. 209—220.

[8] Gertner, Y., Ishai, Y., Kushilevitz, E., Malkin, T. Protecting data privacy in private information retrieval schemes // Journal of Computer and System Sciences. — 2000. — № 60(3). — С. 592–629.

[9] Ben-Or, M., Goldwasser, S., Wigderson, A. Completeness theorems for noncryptographic fault-tolerant distributed computation. In: Proceedings of the 20th annual ACM symposium on Theory of computing // ACM Press. — 1998. — С. 1–10.

[10] Cramer, R., Damg˚ard, I., Maurer, U. General secure multi-party computation from any linear secret-sharing scheme. // Preneel, B. (ed.) EUROCRYPT 2000. — Т. 1807. — С. 316–334.

[11] Cramer, R., Damg˚ard, I., Nielsen, J.B. Secure Multiparty Computation and Secret Sharing: An Information Theoretic Approach.. (недоступная ссылка)

[12] Lee, C.-Y., Wang, Z.-H., Harn, L., Chang, C.-C. Secure key transfer protocol based on secret sharing for group communications // IEICE Trans. Inf. and Syst.. — 2011. — С. 2069–2076.

[13] Zhang, J., Li, X., Fu, F.-W. Multi-receiver authentication scheme for multiple messages based on linear codes // Huang, X., Zhou, J. (eds.) ISPEC 2014. LNCS. — 2014. — Т. 8434. — С. 287–301.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]