Разделение секрета

Разделение секрета (Шаблон:Lang-en) — термин в криптографии, под которым понимают любой из способов распределения секрета среди группы участников, каждому из которых достаётся «персональная доля». Секрет может воссоздать только коалиция участников из первоначальной группы, причём входить в эту коалицию должно не менее некоторого изначально известного числа (порогового значения) участников.

Схемы разделения секрета применяются в случаях, когда существует значимая вероятность компрометации одного или нескольких хранителей секрета, но вероятность недобросовестного сговора значительной части участников считается пренебрежимо малой.

Существующие схемы имеют две составляющие: разделение и восстановление секрета. К разделению относится формирование частей секрета и распределение их между членами группы, что позволяет разделить ответственность за секрет между её участниками. Обратная схема должна обеспечить его восстановление при условии доступности его хранителей в некотором необходимом количествеШаблон:Sfn.

Пример использования: протокол тайного голосования на основе разделения секретаШаблон:Sfn.

Пусть имеется группа из ${\displaystyle t}$ человек и сообщение ${\displaystyle s}$ длины ${\displaystyle n}$, состоящее из двоичных символов. Если подобрать случайным образом такие двоичные сообщения ${\displaystyle s_1,\dots ,s_t}$, что в сумме они будут равняться ${\displaystyle s}$, и распределить эти сообщения между всеми членами группы, получится, что прочесть сообщение будет возможно только в случае, если все члены группы соберутся вместеШаблон:Sfn.

В такой схеме есть существенная проблема: в случае утраты хотя бы одного из членов группы секрет будет утерян для всей группы безвозвратно.

В отличие от процедуры разбиения секрета, где ${\displaystyle t=n}$, в процедуре разделения секрета количество долей, которые нужны для восстановления секрета, может отличаться от того, на сколько долей секрет разделён. Такая схема носит название пороговой схемы ${\displaystyle (t,n)}$, где ${\displaystyle n}$ — количество долей, на которые был разделён секрет, а ${\displaystyle t}$ — количество долей, которые нужны для восстановления секрета. Идеи схем ${\displaystyle t\ne n}$ были независимо предложены в 1979 году Ади Шамиром и Джорджем Блэкли. Кроме этого, подобные процедуры исследовались Гусом Симмонсом^[1]Шаблон:SfnШаблон:Sfn.

Если коалиция участников такова, что они имеют достаточное количество долей для восстановления секрета, то коалиция называется разрешённой. Схемы разделения секрета, в которых разрешённые коалиции участников могут однозначно восстановить секрет, а неразрешённые не получают никакой апостериорной информации о возможном значении секрета, называются совершеннымиШаблон:Sfn.

Шаблон:Main

Идея схемы заключается в том, что двух точек достаточно для задания прямой, трёх точек — для задания параболы, четырёх точек — для кубической параболы, и так далее. Чтобы задать многочлен степени ${\displaystyle k}$, требуется ${\displaystyle k+1}$ точек.

Для того, чтобы после разделения секрет могли восстановить только ${\displaystyle k}$ участников, его «прячут» в формулу многочлена степени ${\displaystyle (k-1)}$ над конечным полем ${\displaystyle G}$. Для однозначного восстановления этого многочлена необходимо знать его значения в ${\displaystyle k}$ точках, причём, используя меньшее число точек, однозначно восстановить исходный многочлен не получится. Количество же различных точек многочлена не ограничено (на практике оно ограничивается размером числового поля ${\displaystyle G}$, в котором ведутся расчёты).

Кратко данный алгоритм можно описать следующим образом. Пусть дано конечное поле ${\displaystyle G}$. Зафиксируем ${\displaystyle n}$ различных ненулевых известных элементов данного поля. Каждый из этих элементов приписывается определённому члену группы. Далее выбирается произвольный набор из ${\displaystyle t}$ элементов поля ${\displaystyle G}$, из которых составляется многочлен ${\displaystyle f(x)}$ над полем ${\displaystyle G}$ степени ${\displaystyle t-1,1<t\le n}$. После получения многочлена вычисляем его значение в несекретных точках и сообщаем полученные результаты соответствующим членам группыШаблон:Sfn.

Чтобы восстановить секрет, можно воспользоваться интерполяционной формулой, например формулой Лагранжа.

Важным достоинством схемы Шамира является то, что она легко масштабируемаШаблон:Sfn. Чтобы увеличить число пользователей в группе, необходимо лишь добавить соответствующее число несекретных элементов к уже существующим, при этом должно выполняться условие ${\displaystyle r_i\ne r_j}$ при ${\displaystyle i\ne j}$. В то же время, компрометация одной части секрета переводит схему из ${\displaystyle (n,t)}$-пороговой в ${\displaystyle (n-1,t-1)}$-пороговую, при этом не раскрывая никакой информации о самом секрете.

Схема Шамира является одной из самых популярных пороговых схем разделения секрета. Данная схема, в частности, обладает свойством совершенности (доли любой неправомочной коалиции не позволяют получить какой-либо информации о секрете), идеальности (число битов, содержащихся в каждой доле секрета, равно числу битов, содержащихся в самом секрете), расширяемости (число владельцев долей секрета может быть в любой момент увеличено, при этом количество частей секрета, необходимых для восстановления секрета, останется неизменным) и т. д.Шаблон:Sfn Данная схема активно применяется в безопасных многосторонних вычислениях (например, в протоколе BGW)

Шаблон:Main Две непараллельные прямые на плоскости пересекаются в одной точке. Любые две некомпланарные плоскости пересекаются по одной прямой, а три некомпланарные плоскости в пространстве пересекаются лишь в единственной точке. В общем случае, n n-мерных гиперплоскостей всегда пересекаются в одной точке. Одна из координат этой точки будет секретом. Тогда если закодировать секрет как несколько координат точки, то по одной доле секрета (одной гиперплоскости) можно получить какую-то информацию о секрете, то есть о взаимозависимости координат точки пересечения.

С помощью схемы БлэклиШаблон:Sfn можно создать (t,Шаблон:Nbspn)-схему разделения секрета для любых t и n: для этого надо использовать размерность пространства, равную t, и каждому из n игроков дать одну гиперплоскость, проходящую через секретную точку. Тогда любые t из n гиперплоскостей будут однозначно пересекаться в секретной точке.

Схема Блэкли менее эффективна, чем схема Шамира: в схеме Шамира каждая доля такого же размера, как и секрет, а в схеме Блэкли каждая доля в t раз больше. Существуют улучшения схемы Блэкли, позволяющие повысить её эффективность.

Схема Блэкли обладает свойством идеальности и свойством линейности, при этом эта схема является обобщением схемы Шамира. В некоторых случаях схема Блэкли может обладать свойством совершенности.

Шаблон:Main В 1983 году Шаблон:Iw, Асмут и Блум предложили две схемы разделения секрета, основанные на китайской теореме об остатках. Для некоторого числа (в схеме Миньотта это сам секрет, в схеме Асмута — Блума — некоторое производное число) вычисляются остатки от деления на последовательность чисел, которые раздаются сторонам. Благодаря ограничениям на последовательность чисел, восстановить секрет может только определённое число сторонШаблон:SfnШаблон:Sfn.

Пусть количество пользователей в группе равно ${\displaystyle n}$. В схеме Миньотта выбирается некоторое множество попарно взаимно простых чисел ${\displaystyle \{m_1,m_2,...,m_n\}}$ таких, что произведение ${\displaystyle k-1}$ наибольших чисел меньше, чем произведение ${\displaystyle k}$ наименьших из этих чисел. Пусть эти произведения равны ${\displaystyle M}$ и ${\displaystyle N}$, соответственно. Число ${\displaystyle k}$ называется порогом для конструируемой схемы по множеству ${\displaystyle \{m_1,m_2,...,m_n\}}$. В качестве секрета выбирается число ${\displaystyle S}$ такое, для которого выполняется соотношение ${\displaystyle M<S<N}$. Части секрета распределяются между участниками группы следующим образом: каждому участнику выдаётся пара чисел ${\displaystyle (r_i,m_i)}$, где ${\displaystyle r_i\equiv S(\mathrm{mod}{m}_i)}$.

Чтобы восстановить секрет, необходимо объединить ${\displaystyle t\ge k}$ фрагментов. В этом случае получим систему сравнений вида ${\displaystyle x\equiv r_i(\mathrm{mod}{m}_i)}$, множество решений которой можно найти, используя китайскую теорему об остатках. Секретное число ${\displaystyle S}$ принадлежит этому множеству и удовлетворяет условию ${\displaystyle S<m_1\cdot m_2\cdot ...\cdot m_t}$. Также несложно показать, что если число фрагментов меньше ${\displaystyle k}$, то, чтобы найти секрет ${\displaystyle S}$, необходимо перебрать порядка ${\displaystyle \frac{N}{M}}$ целых чисел. При правильном выборе чисел ${\displaystyle m_i}$ такой перебор практически невозможно реализовать. К примеру, если разрядность ${\displaystyle m_i}$ будет от 129 до 130 бит, а ${\displaystyle k<15}$, то соотношение ${\displaystyle \frac{N}{M}}$ будет иметь порядок ${\displaystyle 2^{100}}$Шаблон:Sfn.

Схема Асмута — Блума является доработанной схемой Миньотта. В отличие от схемы Миньотта, её можно построить в таком виде, чтобы она была совершеннойШаблон:Sfn.

Шаблон:Main В 1983 году Карнин, Грин и Хеллман предложили свою схему разделения секрета, которая основывалась на невозможности решить систему с ${\displaystyle m}$ неизвестными, имея менее ${\displaystyle m}$ уравненийШаблон:Sfn.

В рамках данной схемы выбираются ${\displaystyle n+1}$ ${\displaystyle m}$-мерных векторов ${\displaystyle V_0,V_1,...,V_n}$ так, чтобы любая матрица размером ${\displaystyle m\times m}$, составленная из этих векторов, имела ранг ${\displaystyle m}$. Пусть вектор ${\displaystyle U}$ имеет размерность ${\displaystyle m}$.

Секретом в схеме является матричное произведение ${\displaystyle U^T{V}_0}$. Долями секрета являются произведения ${\displaystyle U^T{V}_i,1\le i\le n}$.

Имея любые ${\displaystyle m}$ долей, можно составить систему линейных уравнений размерности ${\displaystyle m\times m}$, неизвестными в которой являются коэффициенты ${\displaystyle U}$. Решив данную систему, можно найти ${\displaystyle U}$, а имея ${\displaystyle U}$, можно найти секрет. При этом система уравнений не имеет решения в случае, если долей меньше, чем ${\displaystyle m}$^[2].

Существуют несколько способов нарушить протокол работы пороговой схемы:

• владелец одной из долей может помешать восстановлению общего секрета, отдав в нужный момент неверную (случайную) долюШаблон:Sfn.
• злоумышленник, не имея доли, может присутствовать при восстановлении секрета. Дождавшись оглашения нужного (порогового) числа долей, он быстро восстанавливает секрет самостоятельно и генерирует ещё одну долю, после чего предъявляет её остальным участникам. В результате он получает доступ к секрету и остаётся непойманнымШаблон:Sfn. Имея секрет в моменте, злоумышленник может распорядиться им сразу, либо подождать достаточное для отвода подозрений количество времени и использовать секрет позднее.

Также существуют другие возможные нарушения работы, не связанные с особенностями реализации схемы:

• злоумышленник может сымитировать ситуацию, при которой необходимо раскрытие секрета, тем самым выведав доли всех участников или их частиШаблон:Sfn.

• Проверяемое разделение секрета
• Схемы разделения секрета для произвольных структур доступа

Шаблон:Примечания

• Шаблон:Книга:Прикладная криптография
• Шаблон:Книга:Прикладная криптография
• Шаблон:Книга
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source
• Шаблон:Source

Шаблон:^