摘 要: 在利用門限秘密共享方案構(gòu)造的單方加密-多方解密的公鑰加密方案中,發(fā)送者有唯一的加密密鑰,不同解密者有不同解密密鑰。密文可以被任一解密密鑰得到同一明文,即多個接收者均可解密該密文,因此此類方案適用于廣播/組播和會議密鑰的安全分發(fā)等場景。龐遼軍等人提出了一個單方加密-多方解密的公鑰加密方案,并稱其具備前向保密性。通過對其方案進行具體分析,表明其并不能滿足前向保密性。
關(guān)鍵詞: 秘密共享;門限方案;雙線性對;前向保密性
隨著數(shù)字電視等數(shù)字信息服務(wù)的普及,人們對用戶的身份認證與通信保密性也提出了更高要求。發(fā)送者希望密文只能被經(jīng)過授權(quán)的接收者所解密,而未授權(quán)的接收者將不能解密。無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)中的廣播/組播業(yè)務(wù)對于發(fā)送方和接收方也有類似要求。因此,如何保證上述情景下的通信安全亟待解決。
1976年,DEFFIE W和HELLMAN M E首次提出了公鑰密碼體制這一概念[1],意味著同一消息的加密與解密密鑰不同且成對出現(xiàn)。加密密鑰即公鑰是公開的,而解密密鑰即私鑰唯有解密方知道, 因此通信前無需進行密鑰協(xié)商。公鑰加密方案常用于傳遞秘密信息和協(xié)商會話密鑰。盡管公鑰加密方案能夠解決單播加密問題,但由于只有一個解密私鑰,因此在廣播/組播和會議密鑰的安全分發(fā)等應(yīng)用場景中仍存在效率低的局限性。由此單方加密-多方解密的公鑰加密方案應(yīng)運而生。
1979年,SHAMIR A提出了秘密共享方案[2],使得單方加密-多方解密成為可能。單方加密-多方解密即具有一個發(fā)送者、多個接收者。發(fā)送者持有唯一的加密密鑰,只需加密一次,而多個解密方則持有各自不同的解密密鑰,加密方加密過的密文可以被任一解密方持有的解密密鑰所解密,得到同一則明文消息,即多個解密方均可解密該密文。這一概念最初是由BAUDRON O等人[3]與BELLARE M等人[4]在將單接收者推廣到多接收者的基礎(chǔ)上提出的。此后,BAEK J等人利用雙線性配對構(gòu)造了基于身份的具有多接收者的公鑰加密方案[5]。
最近,龐遼軍等人提出了一個單方加密-多方解密的公鑰加密方案[6],并稱其方案滿足前向保密性。然而遺憾的是,本文通過具體分析,表明其方案并不能滿足前向保密性。
1 預(yù)備知識
1.1 雙線性配對
(G1,+)、(G2,·)為兩個階數(shù)均為素數(shù)p的循環(huán)群,其中前者為加法群,后者為乘法群;令P為G1的生成元。稱變換e:G1×G1→G2為雙線性變換,如果滿足下面的性質(zhì):
(1)雙線性:對任意P1、P2和Q∈G1,有e(P1+P2,Q)=e(P1,Q)e(P2,Q)成立。
(2)非退化性:存在P∈G1即e(P,P)≠1,也就是說e(P,P)是G2的生成元。
(3)可計算性:對任意P1,P2∈G1,存在有效算法計算e(P1,P2)。
1.2 SHAMIR A的秘密共享方案
SHAMIR A提出的基于Lagrange插值公式構(gòu)造的(t,n)門限秘密共享方案[2]如下:
因此發(fā)送者的主密鑰SS泄漏將會導致以前建立的會話密鑰k的泄漏,從而威脅到之前發(fā)送消息的保密性,即龐遼軍等人[6]的方案不具備前向保密性。
本文針對龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]進行了具體分析,指出其方案并不能滿足其所聲稱的前向保密性,即加密者的主密鑰泄漏,將會影響到之前加密過的信息的安全性。
參考文獻
[1] DIFFIE W,HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory,1976(22):474-492.
[2] SHAMIR A.How to share a secret communications of the ACM[J].1979,22(11):612-613.
[3] BAUDRON O,POINTCHEVAL D,STERN J.Extended notions of security for multicast public key cryptosystems[C]. Proceedings of the Automata,Languages and Programming 27th International Colloquium,Geneva,Switzerland,2000.
[4] BELLARE M,BOLDYREVA A,MICALI S.Public-key encryption in a multi-user setting: Security proofs and improvements[C].Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques,Bruges,Belgium,2000.
[5] BAEK J,SAFAVI N R,SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386:Proceedings of the 8th Int Workshop on Theory and Practice in Public Key Cryptography,Berlin:Springer,2005.
[6] 龐遼軍,李慧賢,裴慶祺,等.一個單方加密-多方解密的公鑰加密方案[J].計算機學報,2012,35(5):1059-1066.
[7] 龐遼軍,裴慶祺,焦李成,等.基于ID的門限多重秘密共享方案[J].軟件學報,2008,19(10):2739-2745.