Схема Асмута — Блума

Схема Асмута — Блума — пороговая схема разделения секрета, построенная с использованием простых чисел. Позволяет разделить секрет (число) между ${\displaystyle n}$ сторонами таким образом, что его смогут восстановить любые ${\displaystyle m}$ участников.

Пусть ${\displaystyle M}$ — некоторый секрет, который требуется разделить. Выбирается простое число ${\displaystyle p}$, большее ${\displaystyle M}$. Выбирается ${\displaystyle n}$ взаимно простых друг с другом чисел ${\displaystyle d_1,d_2,\dots ,d_n}$, таких что:

• ${\displaystyle \mathrm{\forall }i:d_i>p}$
• ${\displaystyle \mathrm{\forall }i:d_i<d_{i+1}}$
• ${\displaystyle d_1*d_2*\dots d_m>p*d_{n-m+2}*d_{n-m+3}*\dots *d_n}$

Выбирается случайное число ${\displaystyle r}$ и вычисляется

${\displaystyle M^{\prime }=M+rp}$

Вычисляются доли:

${\displaystyle k_i=M^{\prime }mod{d}_i}$

Участникам раздаются ${\displaystyle \{p,d_i,k_i\}}$

Теперь, используя китайскую теорему об остатках, можно восстановить секрет ${\displaystyle M}$, имея ${\displaystyle m}$ и более долей.

Предположим, что нам нужно разделить секрет ${\displaystyle M=2}$ между четырьмя участниками таким образом, чтобы любые три из них могли этот секрет восстановить (а два участника — не могли бы). То есть нужно реализовать (3,4)-пороговую схему.

В качестве простого числа выберем ${\displaystyle p=3}$, в качестве взаимно простых — ${\displaystyle 11,13,17,19}$. Проверяем, что:

• ${\displaystyle \mathrm{\forall }i:d_i>p}$

  ${\displaystyle \mathrm{\forall }i:i\in \{11,13,17,19\},i>p=3}$

• ${\displaystyle d_1<d_2<d_3<d_4}$

  ${\displaystyle 11<13<17<19}$

• ${\displaystyle d_1*d_2*\dots d_m>p*d_{n-m+2}*d_{n-m+3}*\dots *d_n}$

  ${\displaystyle d_1*d_2*d_3>p*d_3*d_4}$

  ${\displaystyle 11*13*17>3*17*19}$

Выбираем случайное число ${\displaystyle r=51}$ и вычисляем:

${\displaystyle M^{\prime }=M+rp=2+51*3=155}$

Вычисляем доли:

${\displaystyle k_i=M^{\prime }mod{d}_i}$

${\displaystyle k_1=155mod11=1}$

${\displaystyle k_2=155mod13=12}$

${\displaystyle k_3=155mod17=2}$

${\displaystyle k_4=155mod19=3}$

Теперь попробуем восстановить исходный секрет, имея на руках доли ${\displaystyle \{3,11,1\}}$, ${\displaystyle \{3,13,12\}}$, ${\displaystyle \{3,17,2\}}$. Составим систему уравнений:

${\displaystyle 1=M^{\prime }mod11}$

${\displaystyle 12=M^{\prime }mod13}$

${\displaystyle 2=M^{\prime }mod17}$

Мы можем восстановить ${\displaystyle M^{\prime }}$, используя китайскую теорему об остатках.

Зная ${\displaystyle M^{\prime }}$, мы восстанавливаем секрет.

${\displaystyle M\equiv M^{\prime }modp}$

${\displaystyle M\equiv 155mod3\equiv 2}$

В данном примере (так как 155<17*19) два участника спокойно восстановят секрет. M' должно быть больше произведения долей неавторизованных участников.

Рассмотрим кольцо многочленов от нескольких переменных ${\displaystyle {𝔽}_q[X]}$, ${\displaystyle X=(x_1,\cdots ,x_n)}$ над полем Галуа ${\displaystyle {𝔽}_q}$. Пусть зафиксирован некоторый мономиальный порядок. Тогда приведение многочлена по модулю идеала определено однозначно. Пусть ${\displaystyle I_1,I_2,\cdots ,I_t}$ – нульмерные идеалы, а ${\displaystyle s_1(X),s_2(X),\cdots ,s_t(X)\in {𝔽}_q[X]}$ — некоторые многочлены. Тогда справедливо утверждение: система сравнений

${\displaystyle \{\begin{array}{cc}c(X)& \equiv s_1(X)mod{I}_1\\ c(X)& \equiv s_2(X)mod{I}_2\\ & ⋮\\ c(X)& \equiv s_t(X)mod{I}_t\end{array}}$

либо несовместна, либо имеет единственное решение по модулю наименьшего общего кратного(НОК) идеалов ${\displaystyle I_1,I_2,\cdots ,I_t}$ . В случае, если идеалы попарно взаимно простые, т. е. ${\displaystyle I_i+I_j=1,\mathrm{\forall }i\ne j}$, имеем обобщенную китайскую теорему об остатках, причем решение системы всегда существует.

Рассмотрим сначала обобщение схемы Миньотта. Секретом будет некоторый многочлен ${\displaystyle C(X)}$ , участнику ${\displaystyle i}$ выдается модуль ${\displaystyle I_i}$ и частичный секрет ${\displaystyle s_i(X)=C(X)mod{I}_i}$ . Для реализации структуры доступа необходимо и достаточно, чтобы секрет ${\displaystyle C(X)}$ был приведенным по модулю НОК идеалов из любого разрешенного подмножества участников и не являлся таковым для запрещенных подмножеств.

В обобщенной схеме Асмута – Блума присутствует дополнительный модуль ${\displaystyle I_0}$ , а секретом является ${\displaystyle s_i(X)=C(X)mod{I}_i}$ . В этой схеме ${\displaystyle C(X)}$ называется промежуточным секретом.

Схема разделения секрета называется совершенной, если запрещенное подмножество участников не получает никакой дополнительной информации о секрете, кроме априорной. Другими словами, распределение секрета остается равномерным и при наличии частичных секретов участников из запрещенного подмножества. Схема Асмута – Блума в отличие от схемы Миньотта может быть совершенной.

Для выработки критерия совершенности, исследуем схему Асмута – Блума в кольце ${\displaystyle {𝔽}_q[X]}$. Обозначим через ${\displaystyle RT(I)}$ множество мономов, приведенных по модулю ${\displaystyle I}$, а через ${\displaystyle RP(I)}$ – линейную оболочку ${\displaystyle RT(I)}$. Пусть также

${\displaystyle I^B=\text{HOK}[I_i,i\in B],M_2=\bigcap _{B\in \mathrm{\Gamma }}RT(I^B)}$

– множество мономов, лежащих в пересечении ${\displaystyle RT}$ идеалов всех разрешенных подмножеств. Отметим, что промежуточный секрет ${\displaystyle C(X)\in RP(M_2)}$.

Теорема. Схема Асмута – Блума в кольце ${\displaystyle {𝔽}_q[X]}$ совершенна тогда и только тогда, когда выполнены следующие условия:

1) ${\displaystyle I_0+I_i=1,\mathrm{\forall }i\in J}$.

2) ${\displaystyle \mathrm{\forall }A\notin \mathrm{\Gamma }:RT(I^A{I}_0)\subseteq M_2}$.

Доказательство.

Необходимость. Пусть есть совершенная схема Асмута – Блума, но первое условие теоремы не выполнено, т. е. ${\displaystyle \mathrm{\exists }{I}_i:I_i+I_0=D\ne 0}$. Тогда множество возможных значений секрета для такого участника можно сузить: ${\displaystyle c(X)\equiv s_i(X)modD}$. Следовательно, схема несовершенна – получили противоречие.

Пусть первое условие выполнено, но не выполнено второе, т. е. существует запрещенное подмножество ${\displaystyle A}$ такое, что ${\displaystyle RT(I^A{I}_0)\subset ̸M_2}$. Иными словами, существует моном ${\displaystyle m\in RT(I^A{I}_0)\mathrm{\setminus }{M}_2}$. Рассмотрим многочлен

${\displaystyle g(X)=s^A(X)+(m-m({modI}^A))=s^A(X)+f_m(X),}$

где ${\displaystyle s^A(X)}$ – общий частичный секрет, восстановленный участниками из подмножества ${\displaystyle A}$.

Заметим, что многочлен ${\displaystyle f_m(X)}$ тогда удовлетворяет следующим условиям:

1) ${\displaystyle f_m(X)\in I^A}$

2) ${\displaystyle f_m(X)\in RP(I^A{I}_0)}$

3) Содержит моном ${\displaystyle m}$.

Следовательно, ${\displaystyle g(X)\in RP(I^A{I}_0)}$. Положим ${\displaystyle c^{\prime }=g(X)mod{I}_0}$. Согласно китайской теореме об остатках, для системы

${\displaystyle \{\begin{array}{c}C(X)\equiv s^A(X)mod{I}^A\\ C(X)\equiv c^{\prime }(X)mod{I}_0\end{array}}$

существует единственное решение в ${\displaystyle RP(I^A{I}_0)}$, но по построению этим решением является многочлен ${\displaystyle g(X)}$. С другой стороны, ${\displaystyle m\in g(X)\notin RP(M_2)}$, а значит, значение ${\displaystyle c^{\prime }(X)}$ для секрета невозможно – опять получили противоречие.

Достаточность. Пусть условия теоремы выполнены. Покажем, что секрет остается равномерно распределенным и при наличии частичных секретов из запрещенного подмножества. Рассмотрим произвольное запрещенное подмножество ${\displaystyle A\notin \mathrm{\Gamma }}$ и множество многочленов

${\displaystyle V=\{s^A(X)+f(X)|f(X)\in I^A,f(X)\in LP(M_2)\}}$

— множество возможных значений промежуточного секрета.

Зафиксируем некоторое значение секрета ${\displaystyle c^j(X)\in RP(I_0)}$.Тогда существует единственный многочлен ${\displaystyle g^j(X)\in LP(I^A{I}_0)}$, такой, что согласно китайской теореме об остатках

${\displaystyle g^j(X)\equiv s^A(X)mod{I}^A}$

${\displaystyle g^j(X)\equiv c^j(X)mod{I}_0}$

Рассмотрим теперь 2 случая:

1) Если ${\displaystyle RT(I^A{I}_0)=M_2}$, то каждому значения секрета соответствует единственный промежуточный секрет из множества ${\displaystyle V}$, т.е. секрет остается равномерно распределенным при наличии частичных секретов из подмножества ${\displaystyle A}$.

2) Пусть тогда ${\displaystyle RT(I^A{I}_0)\subset M_2}$. Каждому многочлену ${\displaystyle f(X)\in RP(M_2)}$, содержащему хотя бы один моном из ${\displaystyle M_2\setminus RT(I^A{I}_0)}$, поставим в соответствие многочлен

${\displaystyle \bar{f}(X)=f(X)-f(X)modRT(I^A{I}_0)\ne 0}$

Очевидно, что ${\displaystyle \bar{f}(X)\in I^A{I}_0}$. Тогда каждому значению секрета ${\displaystyle c^j(X)\in RP(I_0)}$ соответствует множество промежуточных секретов

${\displaystyle C^j=\{g^j(X),g^j(X)+\bar{f}(X)|\bar{f}(X)\in I^A{I}_0,\bar{f}(X)\in RP(M_2)\}\subset V}$

Очевидно, что множества ${\displaystyle C^j}$ равномощные. Следовательно, в множестве ${\displaystyle V}$ для каждого значения секрета существует одинаковое число возможных значений промежуточного секрета, что влечет равномерное распределение секрета и при наличии частичных секретов из запрещенного подмножества.

Теорема доказана.

• Шаблон:Книга:Прикладная криптография
• Шаблон:Source
• Шаблон:Source
• Шаблон:Книга