Схема Карнина — Грина — Хеллмана

Схема Карнина — Грина — Хеллмана — пороговая схема разделения секрета на основе решения систем уравнений. Авторы — Эхуд Карнин (Шаблон:Lang-en), Джонатан Грин (Шаблон:Lang-en2) и Мартин Хеллман (Шаблон:Lang-en2).

Пороговая схема разделения секрета на конечных полях — схема обмена секретного ключа ${\displaystyle k}$ между ${\displaystyle n}$ участниками таким образом, что любые ${\displaystyle t}$ из них могут восстановить секрет, но любая группа из ${\displaystyle t-1}$ или менее — не может. Схема состоит из двух фаз. В первой фазе — фазе распределения — некоторая сторона (называемая поставщиком) создаёт доли участия ${\displaystyle s_1,s_2,\dots ,s_n}$, используя алгоритм распределения ${\displaystyle D}$. Для каждого ${\displaystyle i}$ поставщик лично отдает долю участия ${\displaystyle s_i}$ участнику ${\displaystyle P_i}$. Вторая фаза, называемая фазой восстановления, происходит, когда ${\displaystyle t}$ участников ${\displaystyle P_{i_1},P_{i_2},\dots ,P_{i_t}}$ хотят восстановить секретный ключ ${\displaystyle k}$.

• Пороговая схема разделения секрета называется совершенной, если по крайней мере ${\displaystyle t}$ участников могут восстановить секрет, а любая группа из ${\displaystyle t-1}$ или менее сторон — не может.
• Пороговая схема разделения секрета называется линейной, если восстановление секрета ${\displaystyle k}$ происходит путём взятия линейной комбинации ${\displaystyle t}$ долей участия.
• Пороговая схема разделения секрета называется идеальной, если размер долей участий равен размеру секрета ${\displaystyle k}$.
• Совершенная, идеальная и линейная пороговая схема разделения секрета называется PIL (perfect, ideal and linear) пороговой схемой разделения секрета.

Для PIL пороговой схемы можно задать требования в терминах свойств матрицы распределения ${\displaystyle D:}$

1.Полнота — любая группа, включающая не менее ${\displaystyle t}$ участников, может вычислить секрет ${\displaystyle k}$. Таким образом, любые ${\displaystyle t}$ строк матрицы распределения ${\displaystyle D}$ должны иметь интервал, включающий строку

${\displaystyle [1,0,0,\dots ,0]}$.

2.Конфиденциальность — ни одна группа, включающая менее чем ${\displaystyle t}$ участников, не может получить информацию о секретном ключе ${\displaystyle k}$. Инными словами, ${\displaystyle t-1}$ или меньше строк матрицы распределения ${\displaystyle D}$ не могут включать интервал, включающий строку

${\displaystyle [1,0,0,\dots ,0]}$.

Рассмотрим конечное поле ${\displaystyle \mathrm{G}\mathrm{F}(q^m)}$. Пусть ${\displaystyle \alpha }$ простой элемент ${\displaystyle \mathrm{G}\mathrm{F}(q^m)}$ и пусть

${\displaystyle {\alpha }_i\equiv {\alpha }^i,i=\overline{1,q^{m-1}}}$.

Поставщик случайно выбирает ${\displaystyle a_1,a_2,\dots ,a_{t-1}}$ из ${\displaystyle \mathrm{G}\mathrm{F}(q^m)}$.

Затем он строит ${\displaystyle n}$ долей участия ${\displaystyle s_i}$ следующим образом

${\displaystyle \left[\begin{array}{c}{s}_1\\ s_2\\ ⋮\\ s_r\\ s_{r+1}\end{array}\right]=\left[\begin{array}{ccccc}1& {\alpha }_1& {\alpha }_1^2& \cdots & {\alpha }_1^{t-1}\\ 1& {\alpha }_2& {\alpha }_2^2& \cdots & {\alpha }_2^{t-1}\\ ⋮& ⋮& ⋮& \ddots & ⋮\\ 1& {\alpha }_r& {\alpha }_r^2& \cdots & {\alpha }_r^{t-1}\\ 0& 0& 0& \cdots & 1\end{array}\right]\left[\begin{array}{c}k\\ a_1\\ a_2\\ ⋮\\ a_{t-1}\end{array}\right]}$

${\displaystyle n=r+1,r\le q^m-1}$.

Потом поставщик отправляет ${\displaystyle s_i}$ участнику ${\displaystyle P_i}$, следя за тем, чтобы любые ${\displaystyle t}$ строк матрицы ${\displaystyle D}$, обозначенные как ${\displaystyle D_{i_1,i_2,\dots ,i_t}}$, составляли обратимую матрицу ${\displaystyle t\times t}$.

Отсюда, ${\displaystyle \overline{y}=D_{i_1,i_2,\dots ,i_t}^{-1}\cdot {\overline{S}}_{i_1,i_2,\dots ,i_t}}$, где ${\displaystyle {\overline{S}}_{i_1,i_2,\dots ,i_t}-}$ вектор — столбец, состоящий из ${\displaystyle s_{i_1},s_{i_2},\dots ,s_{i_t}}$.

Таким образом, секрет ${\displaystyle k}$ может быть вычислен.

Кроме того, для любых ${\displaystyle t-1}$ строк матрицы ${\displaystyle D}$, строка ${\displaystyle [\begin{array}{c}\gamma ,0,0,\cdots ,0\end{array}]}$, ${\displaystyle \mathrm{\forall }\gamma \in \mathrm{G}\mathrm{F}(q^m)\setminus \{0\}}$ не будет входить в ${\displaystyle D_{i_1,i_2,\dots ,i_{t-1}}.}$

Значит, ${\displaystyle t-1}$ или менее участников не могут получить никакой информации о секрете ${\displaystyle k}$. Следовательно, можно построить пороговую схему разделения секрета для ${\displaystyle r+1}$, где ${\displaystyle r+1=\mid 𝔽\mid }$, то есть число участников ${\displaystyle n}$ может быть равно размеру поля.

Таким образом, с точки зрения определения максимального ${\displaystyle n}$ мы можем сказать, что схема Карнина — Грина — Хеллмана эффективней, чем схема Шамира.

• ${\displaystyle n_{max,t}}$ — это наибольшее ${\displaystyle n}$, для которого можно построить PIL ${\displaystyle (t,n)-}$ пороговую схему разделения секрета над конечным полем ${\displaystyle 𝔽}$.
• ${\displaystyle D}$ — матрица распределения PIL ${\displaystyle (t,n)}$ — пороговой схемы разделения секрета над конечным полем ${\displaystyle 𝔽}$ записана в KGH нормальной форме, если удовлетворяет следующему равенству:

${\displaystyle D=\left[\begin{array}{ccccc}1& x_{12}& x_{13}& \cdots & x_{1t}\\ 1& x_{22}& x_{23}& \cdots & x_{2t}\\ ⋮& ⋮& ⋮& \ddots & ⋮\\ 1& x_{r2}& x_{r3}& \cdots & x_{rt}\\ 1& 1& 1& \cdots & 1\\ 0& 1& 0& \cdots & 0\\ 0& 0& 1& \cdots & 0\\ ⋮& ⋮& ⋮& \ddots & ⋮\\ 0& 0& 0& \cdots & 1\end{array}\right]}$

Для любой PIL ${\displaystyle (t,n)}$ — пороговой схемы разделения секрета над конечным полем ${\displaystyle 𝔽}$ матрицу распределения ${\displaystyle D}$ можно записать в KGH нормальной форме.

Теорема 1. Допустим, у нас есть секретное пространство ${\displaystyle 𝒮}$ = ${\displaystyle 𝔽}$ = ${\displaystyle \mathrm{G}\mathrm{F}(q^m)}$

Тогда ${\displaystyle n_{max,t}}$ удовлетворяет:

${\displaystyle \mid 𝔽\mid \le n_{max,t}\le \mid 𝔽\mid +t-2}$, ${\displaystyle q^m>t}$,

${\displaystyle n_{max,t}=t}$, ${\displaystyle q^m\le t}$,

Теорема 2. Пусть ${\displaystyle 𝔽=\mathrm{G}\mathrm{F}(2^m)}$ — конечное поле и ${\displaystyle n=\mid 𝔽\mid +1}$. Тогда существует надежная PIL ${\displaystyle (3,n)}$ — пороговая схема разделения секрета над полем ${\displaystyle 𝔽}$.

Доказательство. Характеристикой поля ${\displaystyle 𝔽=\mathrm{G}\mathrm{F}(2^m)}$ является ${\displaystyle 2}$. Все нетривиальные элементы (элементы не равные ${\displaystyle 0}$ или ${\displaystyle 1}$) поля ${\displaystyle 𝔽}$ имеют мультипликативный порядок больше, чем ${\displaystyle 2}$. Пусть ${\displaystyle x_1,x_2,\cdots ,x_{\mid 𝔽\mid -2}}$ — элементы поля ${\displaystyle 𝔽}$ не равные ${\displaystyle 0}$ или ${\displaystyle 1}$.

Тогда матрица распределения примет следующий вид:

${\displaystyle D=\left[\begin{array}{ccc}1& x_1& x_1^2\\ ⋮& ⋮& ⋮\\ 1& x_{\mid 𝔽\mid -2}& x_{\mid 𝔽\mid -2}^2\\ 1& 1& 1\\ 0& 1& 0\\ 0& 0& 1\end{array}\right]}$

Таким образом, ${\displaystyle D}$ — это матрица PIL ${\displaystyle (3,n)-}$ пороговой схемы разделения секрета размером ${\displaystyle (\mid 𝔽\mid +1)\times 3.}$

Рассмотрим полноту.

Пронумеруем строки матрицы ${\displaystyle D}$ от ${\displaystyle 1}$ до ${\displaystyle n}$ сверху вниз.

• Случай I. Любые 3 строки из набора ${\displaystyle \{1,\cdots ,n-2\}}$ могут восстановить секрет ввиду обратимости матрицы Вандермонда.
• Случай II. Допустим даны строки ${\displaystyle [0,1,0]}$ и ${\displaystyle [0,0,1]}$ и ещё одна строка из набора ${\displaystyle \{1,\cdots ,n-2\}}$. Тогда очевидно, что можно восстановить секрет.
• Случай III. Допустим одна из строк принадлежит набору ${\displaystyle \{[0,1,0],[0,0,1]\}}$, а две остальные выбраны из ${\displaystyle \{1,\cdots ,n-2\}.}$ Тогда с помощью элементарных преобразований строк можно убрать строку из набора ${\displaystyle \{[0,1,0],[0,0,1]\}}$. В итоге, останется система Вандермонта размером ${\displaystyle 2\times 2}$, которая обратима.

Свойство полноты доказано. Доказательство конфиденциальности проходит похожим образом.

Для любого поля ${\displaystyle 𝔽}$ с характеристикой ${\displaystyle 2}$ получается, что:

${\displaystyle n_{max,3}=\mid 𝔽\mid +1=\mid 𝔽\mid +3-2=\mid 𝔽\mid +t-2}$.

Следовательно, для полей с характеристикой ${\displaystyle 2}$ в схеме Карнина — Грина — Хеллмана ${\displaystyle n_{max,3}}$ по теореме 1 достигает верхней границы.

• Шаблон:Книга:Шнайер Б.: Прикладная криптография
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Книга