NUMERICAL METHOD OF THE THRESHOLD SECRET SHARING OVER A GROUP OF THE ELLIPTIC CURVE


Cite item

Full Text

Abstract

This paper presents a method of secret sharing based on imperfect threshold circuit Mignotte and key distribution scheme Massey-Omura. Threshold and elliptical cryptography has the advantage of parallel processing part of the secret, renewal, verification, change the number of users and the entropy of the secrets than the existing counterparts. The proposed scheme can be used to build secure systems, transmission, storage, processing and presentation of data in computer networks.

Full Text

Введение. С развитием инфокоммуникационных технологий возникают новые задачи, связанные с защищенным хранением, передачей, обработкой и презентацией данных. При шифровании, позволяющем с обеспечением защиты хранить и передавать информацию, теряется структура данных, что приводит к невозможности обработки данных в зашифрованном виде без предварительного дешифрования и, следовательно, к раскрытию вероятным злоумышленником секрета. Использование протоколов конфиденциальных вычислений требует каналы передачи данных с высокой пропускной способностью. Задержка приема и передачи в компьютерной сети составляет единицы миллисекунд, операция с плавающей точкой занимает несколько наносекунд. Такие задержки неприемлемы для обработки больших объемов данных. Одним из вариантов решения обозначенных актуальных и перспективных задач защиты информационных технологий выступает распараллеливание обработки на уровне элементарных операций: сложение, вычитание, умножение. В криптографии есть направление, посвященное разделению секрета на части, которое развивает схемы с распределенной обработкой данных. Частным случаем данных схем являются порого вые схемы разделения секрета, которые делятся на две группы: совершенные и несовершенные. В совершенной схеме энтропия частного секрета равна энтропии разделяемой информации, когда в несовершенной - энтропия частного секрета меньше энтропии общего секрета. Процесс разделения секрета на практике сопровождается верификацией передаваемых по сети данных, пролонгацией системы защиты посредством обновления секрета или только его частей, изменением числа пользователей. Причем совершенные схемы для решения дополнительных к разделению секрета задач используют алгоритмы ассиметричной криптографии над конечным полем, а несовершенные схемы - свойства алгебраической структуры, над которой построены схема. Данная особенность привела к следующему предположению: возможна реализация порогового разделения секрета на базе несовершенной схемы с энтропией частного секрета не меньше энтропии общего ключа, обеспеченной алгоритмами ассиметричной криптографии, с сохранением относительно невысокой сложности алгоритмов решения дополнительных задач пороговой системы. Другими словами, использование асимметричной криптографии в совершенных пороговых схемах продиктовано необходимостью расширения функционала системы защиты данных, а в несовершенных схемах - необходимостью обеспечения высокой энтропии частного секрета. Но поскольку в несовершенных схемах уже имеется возможность решения дополнительных задач посредством несложных алгоритмов, то объединение асимметричной криптографии с пороговым несовершенным разделением секрета должно иметь больший эффект по сравнению с совершенной схемой. Представленная работа посвящена развитию пороговых схем разделения секрета на базе Китайской теоремы об остатках, которая позволила бы решить задачи конфиденциальной обработки, передачи, хранения и презентации данных. «Инфокоммуникационные технологии» Том 11, № 1, 2013 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. 5 Постановка задачи Модулярная несовершенная схема на базе Китайской теоремы об остатках, предложенная Миньоттом (М. Mignotte) [1], по способу разделения и восстановления секрета эквивалентна способу кодирования информации в непозиционной системе счисления - системе остаточных классов (СОК) [2]. Данное свойство модулярной пороговой схемы позволяет использовать механизмы коррекции ошибок в СОК для верификации данных [3], механизмы параллельной обработки информации для пролонгации по принципу «блуждающих ключей» [4], механизмы масштабирования для изменения числа пользователей и порога схемы разделения секрета [5]. Пороговая схема разделения секрета Миньотта использует специальные последовательности положительных целых чисел р1<...<рп, названные {t,n) - последовательность Миньотта, таких, что gcd(^;-, р j ) = 1 для всех 1</< j<n и Р„-,+2-Рп < Pi—Pr > где n>2,2<t<n. При реализации порогового разделения по схеме Миньотта остаются нерешенными следующие задачи: - обеспечение безопасной передачи частей секрета по открытой компьютерной сети; - в случае объединения частных секретов пользователями, число которых меньше порога, обеспечение высокой энтропии секрета при подборе недостающих частей; - сокрытие от пользователей их истинных частных секретов для сведения к нулю возможности проведения внутренней атаки. Решение данных задач должно внести в схему Миньотта дополнительные свойства: защита от внутренней атаки, увеличенная энтропия частного секрета, защита частных секретов от несанкционированного доступа. Защита информации от несанкционированного доступа при передаче и хранении обеспечивается механизмами шифрования и электронной подписи. Анализ известных схем шифрования показал, что симметричное шифрование не подходит для обозначенной модификации, поскольку параллельная обработка частных секретов будет сопряжена с их раскрытием пользователям. Асимметричные экспоненциальные алгоритмы RSA и ЭльГамаля удовлетворяют требованиям к модификации пороговой схемы, что объясняется вычислениями над алгебраической структурой изоморфной алгебре пороговой схемы Миньотта. Однако RSA и схемы ЭльГамаля обладают высокой вычислительной сложностью. С данной позиции привлекательными являются криптографические алгоритмы на базе эллиптических кривых. Таким образом, можно сформулировать задачу исследования: разработка системы пространственного разделения секрета на базе несовершенной пороговой схемы и шифрования над группой точек эллиптической кривой с обеспечением верификации, пролонгации, динамики пользователей и энтропии частного секрета равного или больше энтропии секрета разделяемого. Принцип построения пороговой схемы на точках эллиптической кривой Предлагаемая криптографическая схема получена объединением схемы распределения ключей Месси-Омуры (Massey-Omura) [8] и пороговой схемы Миньотта. Для построения пороговой схемы Миньотта потребуется n попарно взаимно простых чисел рх < р2 <...<рп одинаковой и большой разрядности таких, что секрет S будет лежать t-2 t в диапазоне: рпЧ <S < pt, где t - пог=0 г=1 рог схемы разделения секрета, и диапазон из-определяемый разностью менения ( t-2 секрета, t \ -П pt , будет достаточно большим. V i=0 i=l J о J ■ 1 Тогда частные секреты 5і, = о mod р{, і = i + n. Восстановление секрета может производиться с помощью ортогональных базисов, полиадической системы счисления или позиционных характеристик [6]. Диапазон представления чисел П Р = pt . Базовой операцией эллиптической криптографии является умножение точки Q на скаляр: V = kQ, причем по известным V и Q сложно найти k. Данное свойство используется для построения алгоритмов шифрования, электронной подписи, распределения ключей, передачи с забыванием [7] и т.д. Рассмотрим протокол взаимодействия участников порогового разделения секрета. Функционирование предложенной схемы имеет циклический характер, а каждую итерацию цикла можно разбить на три этапа: разделение, хранение и восстановление секрета. На этапе разделения секрета главный сервер выбирает эллиптическую кривую 40 , где p - простое число, секретную точку G на E(Zp) большого простого порядка N, образующую циклическую подгруппу группы точек эллиптической кривой, и публикует свой открытый ключ. Пользователи также публикуют свои от- «Инфокоммуникационные технологии» Том 11, № 1, 2013 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. крытые ключи для обмена сообщениями с сервером. Каждому /-му пользователю сервер ставит в соответствие модуль pt, i = \ + n . Взаимно простые числа сервер генерирует или выбирает из списка простых чисел определенной разрядности d. Затем на главном сервере производится поиск точки Q = kG = (x,y) такой, что часть вектора х фиксирована и соответствует размеt-2 t щаемым данным, а также П рп-і<к<Цр,- .. „ ■'=О І=1 Если точка найдена, то переходим к следующему этапу, иначе производится выбор новой точки G или эллиптической кривой. На следующем шаге главный сервер разделяет скаляр k: кх = A: mod рх\ к2 = A: mod р2; кп = A: mod рп и вычисляет частные секреты: Ах = kxG\ А2 = k2G, А„ - kG. которые рассылает пользователям, используя их открытые ключи вместе с модулями, которые пользователи должны хранить в секрете. Использование для внедрения данных Q = kG, нахождение которой требует дополнительных вычислений, а не G, обусловлено необходимостью исключить передачу пользователю координат точки, которая содержит информацию обо всем секрете, даже закрытую с помощью сложной задачи дискретного логарифмирования над группой точек эллиптической кривой. Секрет восстанавливается только с помощью метода ортогональных базисов, поскольку вычисления в подгруппе точек эллиптической кривой производятся по модулю N, а восстановление числа из вычетов с помощью полиадической системы счисления или основанных на ней позиционных характеристиках содержит вычисления по модулям р1,р2...рп, что в предлагаемой криптографической системе невозможно. Поскольку восстановить секрет могут t и более пользователей, сервер по выбранному k вычисn-t ляет ранги для Z — ^C‘„=J комбинаций модулей 7=0 пороговой схемы, где с' ; - число сочетаний без повторений из n элементов по t + j: Ry = r^G', R2 = r2P2G\ K=rPG, где Pn, h = l + Z - h-ый набор модулей, вычеты по которым были объединены для восстановления секрета к, и rhrh, h = 1 + Z - ранг, соответствующий h-му набору модулей для выбранного k. Для восстановления секрета пользователи, решившие объединить частные секреты, вычисляют скалярное произведение ptД, i = \ + n и отправляют его результат серверу, используя секретный ключ сервера. Вычисление пользователями скалярного произведения ptAt обусловлено случайным характером образования набора Ph,h = l + Z из возможных комбинаций модулей при восстановлении секрета и необходимостью верификации принимаемых сервером данных от пользователей. Сервер вычисляет скалярные произведе- Рг ния о _Pk_ ijj 2 Pi Ph РіА’ где и > t <\1\<п , а h - индекс соответствующего набора модулей. Затем сервер в зашифрованном виде передает каждому /-му абоненту пару Пользователи могут произвести обмен сообщениями St и восстановить секрет: -у Ph ы Pi Ph kiG-rhPhG = kG = Q. Для сокращения объема передаваемой информации и сложности вычислений на стороне пользователя сервер может произвести вычитание двух точек эллиптической кривой — rhPhG J для случайного Ігє1 и передать пользователям сообщения KMsJ-X-'•ле)4у. Поскольку точки образуют конечную группу по модулю, результат сложения полученных сообщений будет равен секрету. Следующий за восстановлением этап подразумевает перераспределение модулей Pl,P2-Pn актуальной разрядности d между пользователями, генерацию значения k, проведение всех вышеописанных этапов вычислений и обмена информацией. 6 «Инфокоммуникационные технологии» Том 11, № 1, 2013 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. 7 Для того чтобы секрет можно было восстановить методом ортогональных базисов, требуется выполнение условия: Ph Ph kiG-rhPhG<N, где Ph Ph — Bt - ортогональный базис. А Данное условие может быть выполнено посредством выбора модулей пороговой схемы определенной разрядности d. Поскольку разрядность [log2 kt]+l = d и [log2 Bt]+\ = \l\d, где оператор [я] означает «целая часть х», то для наихудшего случая (\l\ = п,г = 0): i°g2 !=1 + \-d{n + \)+n-\, откуда d< [log2 N]+2-n п +1 На рис. 1 представлена зависимость d = f{n) для параметров эллиптической криптосистемы, рекомендуемых различными криптографическими стандартами. О 10 20 30 40 Число п пользователей системы Рис. 1. Зависимость разрядности модулей от числа пользователей системы защиты данных Рассмотрим численный пример. Пусть сервер для построения криптографической системы выбрал эллиптическую кривую E(Zz199^) \ у2 = х3 — Ъх = 119. Выбираем точку G = (22112,9542) , которая является генератором подгруппы и имеет порядок N = 32117 (разрядность N равна 15 бит). Для построения пороговой схемы «2-из-3» потребуются модули разрядностью , 14 + 2-3 d <-- 3,25 ; 3 + 1 то есть d = 3. Выбираем модули р, = 5 , р2=6, ръ=1, при этом рг = 7 < к < 30 = р^р2 ■ Предположим, что для размещения данных подошла точка Q = 17G = (13614,14202). Тогда сервер вычисляет ку—2', к2-5; къ=Ъ и отправляет пользователям в зашифрованном виде следующие сообщения: (2G = (12285,23540): р1=5), (5G = (l 0931,12316): р2 =б), (3G = (19662,23546): ръ = l). Затем сервер для выбранного к и наборов модулей {рх,р2}, {Рх,Ръ}’ {РиРъ)’ {Р\’Рг>Ръ} производит вычисления рангов гх—А, г2—2, Г3—Ъ, гА—1, на основании которых вычисляет R, =4-30- G = 120G = (4395,21450), R2 = 2-35-G = 70G = (2568,23364), R3 = 3-42-G = 126G = (20688,6550), R4 = 1 ■ 210 • G = 1470G = (27107,30386). Предположим, что второй и третий пользователи решили объединить свои частные секреты. Сервер получит от пользователей следующие данные: от второго получает результат скалярного произведения 6 • (10931,12316) = (12376,14398), а от третьего 7 • (19662,23546) = (29055,10742). Тогда сервер вычисляет 1 Pi Р22 32117 РгРъ РхР2 = 6245 ■ 1 • 42 = 262290, pi что по модулю N равно 262290mod32117 = 5354, и р2ръ =13109-6-42 = 1 Рг РІ 32117 РгРъ Ръ = 3303468, что по модулю N равно 3303468mod32117 = 27534. Затем сервер производит скалярное умножение S2 = 5354 • (12376,14398) = (3302,17760), =27534-(29055,10742) = (9529,18553). Для проверки правильности расчетов и полученных «Инфокоммуникационные технологии» Том 11, № 1, 2013 8 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. от пользователя данных на этапе восстановления сервер не обязан, но может произвести следующие вычисления. 1. Вычислить ортогональные базисы Вх=1, В2 = 36. 2. Получить результаты скалярных произведений 7 • (10931,12316) = (3302,17760), 36 • (19662,23546) = (9529.18553). Сравнить полученные результаты и сделать вывод о целостности данных и правильности вычислений. Сервер отправляет пользователям в зашифрованном виде: второму пользователю {(3302,17760), (20688,6550)1 , третьему пользователю {(9529,18552), (20688,6550)}. Теперь пользователи могут обменяться точками эллиптической кривой и произвести самостоятельно восстановление секрета, вычислив (3302.17760) + (9529,18553) - (20688,6550) = = (13614,14202), и получить секретные данные из координаты x полученной точки эллиптической кривой. Как было сказано ранее, сервер может не передавать координаты точки rhPhG каждому пользователю, а «спрятать» ее посредством вычитания (S. -rtPtG) для случайного if є/. Предположим, что сервер случайно выбрал для вычитания точку второго пользователя. Тогда после вычисления S2 и S3 сервер производит вычитание (3302.17760)-(20688,6550) = (13626,20747) и в зашифрованном виде передает второму пользователю точку (13626,20747) , а третьему - точку (9529,18553) . Пользователи, в свою очередь, обмениваются точками и восстанавливают секрет: (13626,20747)+(9529,18553) = (13614,14202). Пример практического применения разработанной пороговой схемы Использование порогового разделения изображений, равно как и видеоданных, сопряженно с необходимостью зашумления картинки, целью которого является сокрытие структуры оригинального изображения в частных секретах [13]. Данный эффект наблюдали авторы при использовании классической схемы Миньотта. Для экспериментального подтверждения отсутствия данного недостатка в предлагаемой схеме было произведено разделение и восстановление изображения. Пороговое разделение секрета большого размера требует предварительного деления секрета на блоки приемлемого размера. Размер блока должен быть меньше разрядности модуля, поскольку блок секрета встраивается в координату x. Также блок секрета должен быть меньше порядка N для обеспечения высокой вероятности наличия в группе подходящей точки для встраивания секрета. Для решения задачи разделения секрета была выбрана эллиптическая кривая E(Zp):y2 =x3+ax + b с параметрами [14]: р = 01FF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF = 2521 -1, a = 01FF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFC, b = 0051 953EB961 8E1C9A1F 929A21A0 B68540EE A2DA725B 99B315F3 B8B48991 8EF109E1 56193951 EC7E937B 1652C0BD 3BB1BF07 3573DF88 3D2C34F1 EF451FD4 6B503F00, G = 04 00C6858E 06B70404 E9CD9E3E CB662395 B4429C64 8139053F B521F828 AF606B4D 3DBAA14B 5E77EFE7 5928FE1D C127A2FF A8DE3348 B3C1856A 429BF97E 7E31C2E5 BD660118 39296A78 9A3BC004 5C8A5FB4 2C7D1BD9 98F54449 579B4468 17AFBD17 273E662C 97EE7299 5EF42640 C550B901 3FAD0761 353C7086 A272C240 88BE9476 9FD16650, N = 01FF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFA 51868783 BF2F966B 7FCC0148 F709A5D0 3BB5C9B8 899C47AE BB6FB71E 91386409. Разрядность выбранного модуля эллиптической кривой и порядка группы равна 521 бит. Один разделяемый блок был выбран разрядностью 512 бит. Для схемы Миньотта «3-из-5» разрядность одного модуля равна 85 бит. Тогда разрядность в битах скаляра к лежит в диапазоне 170 < [log2 &]+1 < 255. Выбранные модули пороговой схемы рх =19342813113834066795298819, р2 =19342813113834066795298861, ръ =19342813113834066795298889, р4 =19342813113834066795298993, р4 =19342813113834066795299063 являются простыми числами. На рис. 2 представлены этапы разделения и восстановления тестового изображения. На этапе разделения изображения на приемлемые блоки сервер производит выбор размера одного блока и формирование массива блоков. На этапе порогового разделения блоков изображения сервер получает частные секреты в соответствии с предложен «Инфокоммуникационные технологии» Том 11, № 1, 2013 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. 9 ным численным методом: выполняется поиск к, вычисление kt, Af и Rn i = l + n и распространение частей секрета между пользователями. На рис. 2 на этапе восстановления секрета пользователи под номерами 1, 2 и 3 решили восстановить секрет. Взаимодействуя с сервером и между собой, пользователи получают всю необходимую для восстановления информацию и собирают секрет. Для реализации данного разделения была разработана компьютерная программа для платформы .NET Framework 4.5. Для обработки больших чисел использовалась структура Biglnteger пространства имен System.Numerics. Блоки изоб ражения для внедрения в точку эллиптической кривой конвертировались в строку string, а затем в его эквивалент типа Biglnteger. На этапе восстановления секрета производилось обратное преобразование из BigInteger в string, а затем в изображение. Компьютерное моделирование показало, что из частных секретов невозможно выделить структурные фреймы оригинального изображения, что объясняется не только разделением блоков по 64 байта, но и вычислениями над группой точек эллиптической кривой, элементы которой невозможно сравнивать между собой, как числа в классической схеме Миньотта. Рис. 2. Практическое применение разработанной пороговой схемы Представленная пороговая схема разделения секрета должна обладать всеми преимуществами схемы Миньотта. Рассмотрим изменение числа пользователей, верификацию и пролонгацию предложенной пороговой схемы. Изменение числа пользователей Число пользователей при выбранном порядке группы точек эллиптической кривой влияет на разрядность модулей схемы Минь-отта. В классическом варианте подобная зависимость с ограничением на диапазон изменения секрета приводит к нецелесообразности использования пороговой схемы, поскольку для модулей малой разрядности успех проведения внутренней атаки очень высок. Предложенная пороговая схема может оперировать с модулями малой разрядности, поскольку главный секрет размещен в точке эллиптической кривой. Кроме того, с ростом разрядности выбираемых модулей растет число доступных простых чисел 7t(x)= Xf ч, где л(х) - фун- 1п(х) кция распределения простых чисел от 1 до X, которое должно соответствовать допустимому числу пользователей системы п < rc(2d). Таким образом, для пороговой схемы, построенной на точках эллиптической кривой, в зависимости от порядка используемой группы точек имеется ограничение на максимальное количество пользователей: для порядка разрядности 128 бит - максимум 15 пользователей с модулями схемы Миньотта разрядностью не более 7 бит, для 256 бит - максимум 27 пользователей с модулями схемы Миньотта разрядностью не более 8 бит, для 512 бит - максимум 50 пользователей с модулями схемы Миньотта разрядностью не более 9 бит. По этой причине корректировка числа пользователей возможна в начале сеанса разделения секрета, которое сопровождается генерацией новых модулей схемы Миньотта. Другой вариант подразумевает создание пороговой схемы с фик «Инфокоммуникационные технологии» Том 11, № 1, 2013 10 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. сированным порогом t, но с числом п, которое можно увеличивать до некоторого значения ятах. Причем значение , зависимое от разрядности модулей схемы Миньотта, следует определить по статистическим данным использования системы защиты информации. Пролонгация пороговой схемы Предложенная пороговая схема имеет несколько секретных параметров, которые следует обновлять для снижения вероятности успеха внутренней атаки. Все секретные параметры системы могут быть обновлены на этапе разделения секрета. Но поскольку период между разделением и восстановлением секрета может быть недопустимо большим, то для высокой криптостойкости важно проводить пролонгацию на этапе хранения. Обновление модулей р1,р2--рп сопровождается пересчетом вычетов кл,к2...кп и скалярных произведений А1,А2...Ап для найденного скаляра к. Новые координаты произведений Л НОВ Л НОВ А нов - Ах ,А2 ...Ап могут быть вычислены пользователями системы по полученным от сервера ЛДОП _ А стар л нов дополнениям Ах — Ay —Ai , которые сервер передает в паре (ддоп, Днов)=1, i = \ + n , в зашифрованном виде. Обновление общего ключа производится после нахождения скаляра kH0B такого, что новый секрет представим в виде 0НОВ = kB0BG + 0стар. Предложенная пороговая схема позволяет произвести данное обновление параллельно и независимо на компьютерах пользователей системы. Верификация и защита от мошенничества В пороговых схемах главный сервер, распределяющий секрет, является доверенной стороной. Однако секрет может быть сформирован пользователями системы без третьей стороны. Также этап восстановления секрета начинается после обмена частями секрета пользователями системы числом равным или более t или пользователями одной из авторизуемых частными секретами групп. Поскольку частные секреты могут быть искажены как по объективным причинам (технические сбои, помехи), так и в результате умышленных действий одного или нескольких пользователей, разработанная пороговая схема нуждается в механизме обеспечения корректности стадий разделения и восстановления секрета. Выделяют два вида мошенничества в пороговых схемах, при которых: - некоторым пользователям известен секрет, и они пытаются «подсунуть» ложный секрет другим пользователям системы [10]; - пользователям, участвующим в жульничестве, неизвестен секрет [11]. Обобщением данных моделей злоумышленника будет вариант, когда группа неавторизованных пользователей объединяется с группой честных пользователей с целью восстановления секрета таким образом, чтобы честные пользователи сформировали ложный секрет, а мошенники - настоящий секрет. Применение Китайской теоремы об остатках в криптографических схемах дает возможность использования хорошо разработанного аппарата коррекции ошибок в системе остаточных классов (СОК) для верификации критических данных [2]. Избыточности помехоустойчивого кода можно поставить в соответствие пользователей, число которых превышает достаточное для восстановления числа t, то есть {n — t). Чем больше разность {n — t), тем больше ошибок или неправильных частей секрета можно обнаружить. Однако данный подход не применим для случая, когда только t пользователей восстанавливают секрет или мошенников, участвующих в восстановлении секрета, больше, чем допускают корректирующие свойства СОК. С другой стороны, в предложенной модификации пороговой схемы величины всех начальных, промежуточных и конечных результатов вычислений процесса коррекции ошибок в СОК скрыты и не могут использоваться для сравнения с эталонами. Поскольку значение вычетов по одному или произведению модулей не представляется возможным определить в процессе криптографических преобразований, следовательно, в пороговую схему необходимо внести дополнительную информацию о секрете, использование которой злоумышленниками не приведет к уменьшению энтропии ключа. Для решения данной задачи можно использовать хэш-код секрета, полученный по алгоритму ГОСТ Р 34.11-94. В данном случае каждый пользователь может сравнить хэш-код секрета, предложенный сервером, с хэш-кодом, полученным из восстановленного секрета. Хэш-код общего секрета позволяет только обнаружить факт подмены секрета. Для идентификации мошенников потребуется вычисление хэш-кода для каждой части секрета. Заключение Предложенная схема эллиптической пороговой схемы разделения секрета обладает преимуществами несовершенной схемы Миньотта в параллельной обработке частей секрета, пролонгации, «Инфокоммуникационные технологии» Том 11, № 1, 2013 Афонин М.С., Бабенко М.Г., Гладков А.В., Ляхов П.А, Червяков Н.И. 11 верификации, изменения числа пользователей, при этом энтропия части секрета не меньше энтропии ключа. Разработанная схема может быть использована в задачах передачи, хранения, обработки и презентации данных, требующих защиты от несанкционированного доступа. Работа выполнена при поддержке гранта РФФИ 12-07-00482.
×

References

  1. Mignotte M. How to share a secret // Cryptography-Proceedings of the Work-shop on Cryptography, Burg Feuerstein. 1982, Vol. 149 of Lecture Notes in Computer Science. Springer-Verlag, 1983. - P. 371-375.
  2. Акушский И.Я., Юдицкий Д.И. Машинная арифметика в остаточных классах. М.: Сов. радио, 1968. - 440 с 3-4. Червяков Н.И., Евдокимов А.А. Нейросетевой блок локализации ошибок криптографического нейропроцессора // Нейрокомпьютеры: разработка, применение. № 10, 2004. - С. 54-67.
  3. Steinfeld R., Pieprzyk J. Lattice-Based Threshold Changeability for Standard Shamir Secret-Sharing Schemes // IEEE Transactions on Information Theory. Vol. 53, Iss. 7, 2007. - P. 2542-2559.
  4. Червяков Н.И., Сахнюк П.А., Шапошников А.В., Макоха А.Н. Нейрокомпьютеры в остаточных классах. М.: Радиотехника, 2003. - 272 с.
  5. Болотов А.А., Гашков С.Б., Фролов А.Б. Элементарное введение в эллиптическую криптографию: Протоколы криптографии на эллиптических кривых. М.: КомКнига, 2006. - 280 с.
  6. Method and apparatus for maintaining the privacy of digital messages conveyed by public transmission // Massey J.L., Omura J.K. Patent US 4,567,600.
  7. Применение искусственных нейронных сетей и системы остаточных классов в криптографии. М.: ФИЗМАТЛИТ, 2012. - 280 с.
  8. Carpentieri M., Santis A.D., Vaccaro U. Size ofshares and probability of cheating in threshold schemes // In Advances in Cryptology - EUROCRYPT ’93. Ser. Lecture Notes in Computer Science. T. Helleseth, Ed. Vol. 765. Springer-Verlag, 1994. - P. 118-125.
  9. Ogata W., Kurosawa K., Stinson D. Optimum secret sharing scheme secure against cheating // SIAM Journal on Discrete Mathematics. Vol. 20, No. 1, 2006. - P. 79-95.
  10. Pasaila D., Alexa V., Iftene S. Cheating Detection and Cheater Identification in CRT-based Secret Sharing Schemes // IACR Cryptology ePrint Archive, 2009. Rep. 2009:426. - P. 1-8.
  11. Upmanyu M., Namboodiri A.M., Srinathan K., Jawahar C.V. Efficient privacy preserving video surveillance // IEEE 12th International Conference on Computer Vision, 2009. - P. 1639-1646.
  12. SEC 2: Recommended Elliptic Curve Domain Parameters. Standards For Efficient

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2013 Afonin M.S., Babenko M.G., Gladkov A.V., Lyakhov P.A., Chervyakov N.I.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies