共享机密元素
本发明涉及密码术,更确切地涉及在密码术系统中共享机密元素。
本发明特别是在其中有多个密码术模块共享诸如举例而言加密密钥之类的机密元素的安全通信领域中获得应用。
密码术系统可包括共有机密元素的数个密码术模块。在此类状况下,产生了在诸密码术模块之间共享该共同机密元素的问题。
某些密码术系统通过在不同的密码术模块之间实现协议来使得它们能够共享同一机密元素。
这适用Diffie-Hellman和Menezes-Qu-Vanstone类型的动态密钥协定协议。
例如,专利文献WO 98/18234“Key agreement and transport protocol withimplicit signatures(使用隐式签名的密钥协定和传输协议)”(Vanstone、Menezes和Qu)提出对第一和第二密码术模块共同的机密元素——其在此实例中为会话密钥——的动态和共同构造的方法。为生成这样的会话密钥,第一和第二密码术模块根据特定协议交换信息。在此类状况下,该机密元素由此被至少两个密码术模块动态地和共同地获得。
在这种类型的系统中,在至少两个密码术模块之间共享机密元素要求在那些模块之间的多向的消息交换,其在这些密码术模块之间实现起来仍然相对简单,但可能涉及大量组合且因此在基于在大量密码术模块之间共享机密元素的系统中是高度复杂的。
基于共享机密元素的其它某些密码术系统是建立在所涉机密元素的单向分发上的。在此类状况下,该机密元素事先存在并被发送给该系统的多个密码术模块。
例如,这样的系统使用OTAR(空中密钥更换)类型的协议,举例而言如由来自美国美国国家标准学会的公共安全通信官员联合会的APCO-25标准所定义的协议(ANSI/TIA-102.AACA-1“APCO Project 25 Over The Air Rekeying(APCO项目25:空中密钥更换)”)、以及由欧洲电信标准学会所定义的‘Terrestrial Trunked Radio(地面集群无线电)’标准的等效协议(ETSI EN 300392-7“TETRA Voice+Data Part 7 Security(TETRA语音+数据,第7部分:安全性)”及其补充“TETRA MoU FPG Recommendation02End-to-End Encryption(TETRA MoU SFPG推荐02:端到端加密)”,MoU代表谅解备忘录而SFPG代表安全性和防欺诈团体)。此类协议使得能将同一机密元素单向分发给多个密码术模块。
相应地,如果密码术系统包括大量密码术模块,则使用基于单向分发的机密共享比使用如上所述及的基于动态协定协议的机密共享要容易。
然而,在使用单向分发协议的密码术系统中,产生对抗旨在违犯分发的信息的机密性的攻击的保护的问题。实际上,在某些单向分发协议中,机密元素是在单个分发协议序列中被发送的,这在面临某些攻击的情况下就可能代表有弱点。
后一类的这些系统的另一个问题在于为该机密元素提供的协议序列的格式。实际上,该格式可能由某个标准来确定。其因此对该机密元素强加可能并不适合要在该密码术系统中共享的机密元素的最大尺寸。这在要分发比该标准所涵盖的机密元素大的机密元素的情况下尤其适用。
某些标准提供不同的消息用于分发不同尺寸的机密元素。例如,提供用于分发各自尺寸最多达128位、256位、160位或2048位的机密元素的消息。
然而,即使这种类型的标准提供关于要被分发的机密元素的尺寸的某些灵活性,所选取的尺寸却仍继续受到由该标准所定义的消息中的一个能够管理的最大尺寸的限制。因此,基于这样一个标准的系统不能单向地传送尺寸大于该最大尺寸的机密元素。
因此,基于共享机密元素的单向分发的密码术系统具有不允许关于要被共享的机密元素的格式有很大灵活性的缺点。
还存在用于共享共同机密元素的以基于部分信息的分发的‘广播加密’过程著称的方法。例如,专利文献EP 0641103“Method and apparatus for keydistribution in a selective broadcasting system(用于在选择性广播系统中进行密钥分发的方法和装置)”(Fiat)描述了使用这样一种方法的系统。该文献提出以部分信息的形式来广播共同机密元素以使得该机密元素能通过应用异或运算来重构。给定的一组密码术模块中的每个模块都接收获得该机密元素所必需的所有部分信息。然而,给定模块只能有效地访问到接收到的信息的一部分。因此,为了重构该机密元素,该模块通过其它手段来恢复其不能访问到的收到信息。
在这样一种系统中,重构该共同机密元素所必需的任何部分信息都在同一信道上一般向所有密码术模块进行广播。该特征具有提供了用于攻击要被共享的元素的机密性的信道的缺点。
此外,机密元素的熵值——即如在香农意义下定义的机密元素的可能值的范围的量度——基本上与每一个信息广播项的熵值相同。其结果是,这样的一个系统不提供对与以上所述元素的格式相关的灵活性问题的任何解决方案。此外,在该系统中,给定了机密元素的熵值,就必须生成相对大量的消息用于向这些模块中的每一个传送该机密元素。
本发明的一个目标是提出分发由密码术系统的多个密码术模块所共享的机密元素的能保护该共享元素的机密特性的方式。此外,在本发明的实现中,本发明的分发提供关于该机密元素的尺寸的灵活性。
根据本发明的实施例,分发是建立在要被共享的机密元素是以至少两个以划分的、独立的、或有区别的方式分开传送的部分机密信息项的形式来传送——其中这些项能可互换地使用以表征在本发明中的部分机密信息项的传输的这一事实上的。从所有这些部分机密信息项开始,就能够获得所涉的机密元素。
应注意,对于相对于要被共享的机密元素、或共同元素传送的部分机密信息项的数目并没有限制。这样的分发因此提供关于机密元素的格式尤其是尺寸的很大灵活性。
通过分开传送与该共同机密元素相关的各种部分机密信息项,就可有效地保护该共同元素的机密性。实际上,由于不同的部分机密信息项不在同一传输信道上传送,因此对其机密性发动攻击更复杂,这是因为该机密元素被分隔在至少两个分开的传输之间。
此外,在此类状况下,如果机密元素的尺寸大于每个部分信息项的尺寸,则通过传输其它部分机密信息项就能够重构大于该最大尺寸的机密元素,即使使用了OTAR类型的传输协议来传输部分机密信息项且该部分机密信息项的尺寸因此受该协议所允许的最大尺寸所限制亦是如此。
这样的区别可以是物理的;例如,其可对应于物理上分开的传输信道。该区别也可以是逻辑上的,例如,第一和第二传输可根据不同的密码术参数、以不同的保密性、认证、或完好性密钥来实行。还可设想通过组合以上区别来区分所传送的相应各部分机密信息项。
在本发明的一个优选实施例中,提供分开的传输信道用于分开传输各种部分机密信息项。本发明并不以任意方式限定于这种类型的实施例。实际上,其涵盖能够在不同的部分机密信息项的传输之间加以区别以有效地保护机密性的任何实施例。以下本发明在其使用两个信道来传送部分机密信息项的应用中来描述。
为增强传输的分开本质,这两个传输的划分可以进一步具有时间本质,即第一和第二部分机密信息项可在不同时间被传输。例如,第一部分机密信息项可在制造密码术模块的阶段、该模块的初始化阶段、该模块的首次使用阶段、一组模块的初始定义阶段、或一组模块的动态重定义阶段期间被注入到该密码术模块中,而第二部分机密信息项可在该密码术模块的正常操作期间接收到。
应注意,仅从在单个传输中所传输的部分机密信息项不能获得该机密元素。实际上,每个传输对应于所述元素严格意义上的部分传输。这意味着为针对除第一和第二部分信息传输中的一者之外的所有传输的攻击在任何境况下都不能获得该共同机密元素。
此外,作为例示说明性和非限定性示例,为了更加清楚,以下考虑该机密元素以第一和第二部分机密信息项的形式来传送。然而应注意,对相对于该机密元素传送的部分机密信息项的数目并没有限制,且因此对要实行的分开的部分传输的数目也没有限制。
第一和第二部分机密信息项自身可以用多个相应各部分机密信息项的形式进行传送。以下,仅作为例示说明,第一部分机密信息项以单个信息项K0的形式进行传送,而第二部分机密信息以多个信息项K1-Kn的形式进行传送。
本发明的第一方面提出一种与至少一个密码术模块共享机密元素的方法。对于可从至少第一和第二部分机密信息项获得的机密元素,该方法包括:
·/a/用于将第一部分机密信息项传送给该密码术模块但不传送第二部分信息项的第一传输;
·/b/用于将第二部分机密信息项传送给该密码术模块但不传送第一部分信息项的第二传输,所述第二传输是与第一传输分开的;
·/c/在该密码术模块中从所传送的第一和第二部分机密信息项获得该机密元素。
借助于这些特征,通过以这种方式来划分要被共享的机密元素,就能够:第一,共享大机密元素,以及第二,保护以对抗对该共享元素的机密性的攻击。实际上,给定了由某些标准强加的格式限制,通过以这种划分的形式传送该机密元素,就能如上所指出地传送尺寸相对较大的机密元素。此外,藉由将传输划分成多个独立的分开传输,就能通过使得由第三方对该机密元素的任意重构变得更加复杂来增加对抗攻击的保护。
在本发明的一个优选实现中,机密元素的熵值基本上等于第一和第二部分机密信息项的累积熵值,即,第一和第二部分机密信息项的熵值的总和。因此,能够最小化关于给定机密元素所传送的信息的总量——特别是与以上所提及的其中对所传送的部分信息项实行异或运算作的现有技术系统相比。
在本发明的一个实现中,目标是相对于各个部分信息项的相应熵来最大化该机密元素的熵。
应注意,在本发明的一个实现中,密码术模块能够独立于且自主于同一密码术系统的其它密码术模块地来从部分信息项获得该机密元素,这与如上所述的使用动态密钥协定协议来获得机密元素的密码术模块尤成对比。
为了区别、划分第一和第二传输,第一传输可在第一物理传输信道中实行而第二传输可在与第一物理信道分开的第二物理传输信道中实行。以此方式,机密元素得到相对较好的保护以免受攻击。
第一和第二物理信道也可以是使用相应各不同无线电技术的无线电信道。例如,可提供使用诸如蓝牙等的短程无线电技术的一个信道以及使用诸如GSM(全球移动通信系统)等蜂窝无线电技术的另一个信道。
还可设想第一和第二物理信道是使用不同技术的物理信道。例如,可将使用符合IPSEC(网际协议安全性)传输协议的因特网技术的直接注入信道与使用其它某种技术的另一信道一起在电缆介质上提供。
第一物理信道还可以是直接注入到密码术模块的电缆信道,而第二物理信道可以是无线电信道。
第一物理信道可对应于密码术模块到外围存储的连接,而第二物理信道可以是无线电信道。
也可通过在第一逻辑传输信道中实行第一传输而在与所述第一逻辑信道分开的但建立在与第一逻辑信道相同的物理信道上的第二逻辑传输信道中实行第二传输来区别第一和第二传输。
在步骤/c/中,可通过对第一部分机密信息项和第二部分机密信息项应用单向函数来获得机密元素。
本发明的第二方面提出一种在使用机密元素的密码术模块中实现的密码术方法,其中该机密元素是藉由本发明的第一方面的共享方法从至少第一和第二部分机密信息项获得的。
此外可规定还使用个人化密钥来实现这样的密码术方法。
随后可在该密码术模块中经由同一物理信道接收该个人化密钥和第一部分机密信息项。
本发明的第三方面提出适用于共享能从至少第一和第二部分机密信息项获得的机密元素的密码术系统的一种密码术模块,这些部分机密信息项使得能够获得该机密元素。
该密码术模块可包括:
·接收接口,适用于通过第一传输接收第一部分机密信息项而非第二部分信息项,并通过与第一传输分开的第二传输接收第二部分机密信息项而非第一部分信息项;
·用于获得机密元素的单元,该单元适用于从第一和第二部分机密信息项获得机密元素;以及
·密码术单元,适用于在该机密元素的基础上执行密码术运算。
这样的密码术运算可对应于诸如对要被传送的数据进行加密和/或证明完好性以及相应地对接收到的数据相应地进行解密和/或验证完好性的运算。
在本发明的一个实施例中,接收接口包括:
·适用于接收第一部分机密信息项的第一接口;以及
·与第一接口分开且适用于接收第二部分机密信息项的第二接口。
第一接口可适用于经由直接注入电缆信道接收第一部分机密信息项,而第二接口可适用于经由无线电信道接收第二部分机密信息项。
该直接注入信道可对应于到外围存储的连接。
该密码术单元可适用于借助由个人化密钥参数化的密码术算法来实行密码术运算;密码术运算对应于例如数据加密或解密运算。第一接口还可适用于将个人化密钥路由到密码术单元并将第一部分机密信息项路由到用于获得机密元素的单元。
这样的密码术模块还可适用于与另一密码术模块共享与该密码术模块的个体身份相关的机密信息项。
当该密码术模块属于一组密码术模块时,其还可适用于共享与该组密码术模块的身份相关的机密信息项。
本发明的第四方面提出一种包括根据本发明第三方面的密码术模块的终端。
本发明的第五方面提出一种用于在包括多个密码术模块的密码术系统中分发机密元素的中心。
该分发中心包括:
·划分单元,适用于将机密元素划分成至少第一和第二部分机密信息项,所述机密元素可从所述这些部分机密信息项获得;以及
·接口,适用于向这多个密码术模块分别通过第一传输分发所述第一部分信息项而不分发第二部分机密信息项,以及通过与第一传输分开的第二传输分发第二部分信息项而不分发第一部分机密信息项。
本发明的第六方面提出一种包括多个根据本发明的第三方面的密码术模块以及根据本发明第五方面的机密元素分发中心的密码术系统,其中机密元素是借助于根据第一方面的共享方法来分发的。
本发明的其它方面、目标、以及优势在阅读了对其实现之一的描述后将变得显而易见。
在附图的帮助下也可更好地理解本发明,附图中:
·图1示出现有技术的密码术模块;
·图2示出根据本发明的密码术系统的一个实施例;
·图3示出根据本发明的密码术模块的一个实施例的架构;
·图4示出根据本发明的密码术模块的一个实施例的另一架构;
·图5示出根据本发明的用于获得共享机密元素的单元的一个实施例的架构;
·图6示出其中第一传输经由第一信道实行而第二传输经由第二信道实行的本发明的一个实施例;
·图7示出根据本发明的密码术模块的一个实施例的架构;
·图8示出根据本发明的机密元素分发中心的一个实施例。
以下将在本发明对具有直接数据注入信道——即,对应于经由机械或电气接口直接连接到密码术模块的物理连接的信道——的密码术模块的应用中来描述本发明。这样的直接注入信道可对应于通过光纤的传输、串行链路类型的传输、或来自智能卡、或USB(通用串行总线)钥匙盘、或其它某种存储器介质的传输。可有利地将某些现有技术密码术模块中已经存在的直接注入信道用于该目的。
图1示出这样的现有技术密码术模块。这样的一个密码术模块包括根据密码术算法操作的密码术单元11。该密码术单元在第一输入14处接收密码术个人化密钥PK并在第二输入15处接收机密元素或会话密钥SK。个人化密钥PK可对应于密码术算法参数(算子变量算法配置字段(OP,OPc)),例如,如在第三代合作伙伴计划(3GPP)文献TS 35.206v6.0.0.“3G Security:specification ofthe MILENAGE algorithm set;An example algorighm set for the 3GPPauthentication and key generation function f1,f1*,f2,f3,f4,f5 and f5*;Document2:algorithm specification;Release 6(3G安全性:MILENAGE算法集规范;用于3GPP认证和密钥生成函数f1、f1*、f2、f3、f4、f5和f5*的示例算法集;文献2:算法规范,发行版6)”中所定义的。
以下作为例示说明和非限定性示例,根据本发明的一种实现来分发的要被共享的机密元素SK是会话密钥。
使用密钥PK和SK,密码术单元11能够将在信道12上接收到的明文PT以及要在信道13上发送的密文CT加密,以及反之将接收到的经加密文本解密。
在一个不同的实施例中,也是使用密钥PK和SK,密码术单元11能够以要在信道13上发送的密文CT的形式证明在信道12上接收到的明文PT的完好性,以及反之验证接收到的密文的完好性。
在本发明的一个实施例中,对应于第一输入14的注入信道可有利地被用作第一传输信道,用于传送第一部分机密信息项K0。
图2示出本发明的密码术系统23的一个实施例。在本发明的一个实施例中,这样的系统包括多个密码术模块20和适用于分发机密元素的密钥分发中心(KDC)21。作为说明性示例,第一部分机密信息项K0通过第一信道c1传送,而第二部分机密信息项K1-Kn通过第二信道c2——例如OTAR类型的无线电信道传送。
图3示出本发明的密码术模块20的一个实施例的架构。这样的密码术模块包括适用于在相应各个分开的传输中接收部分机密信息项的接口30。该接口30包括适用于经由第一传输信道c1接收第一部分机密信息项K0的第一接口单元31、以及适用于经由第二信道c2接收第二部分机密信息项的第二接口单元32。该密码术模块还包括适用于从第一和第二部分机密信息项获得所分发的机密元素SK的单元33、以及适用于执行对称密码术算法的密码术单元11。该密码术单元适用于在由单元33所提供的机密元素SK的基础上加密在信道12上接收到的文本PT和/或以要在信道13上发送的文本CT的形式证明文本PT的完好性。该密码术单元还适用于在由单元33所提供的机密元素SK的基础上解密经由信道13接收到的文本CT和/或验证文本CT的完好性并在信道12上提供文本PT。
本发明可方便地实现在基于使用其它输入参数来执行密码术运算——例如将文本PT加密或证明其完好性的密码术算法——的密码术模块中。实际上,本发明并不以任何方式受要在密码术单元11中执行的对称密码术算法的类型所限定。
相应地,图4示出根据本发明一个实施例的另一密码术模块架构,在其中密码术算法接收个人化密钥PK作为进一步输入。接口单元31适用于将该密钥PK路由到密码术单元11并将第一部分机密信息项K0路由到单元33。个人化密钥PK和第一部分机密信息项可有利地经由同一接口31注入到密码术模块中。它们可在不同的时间被注入。例如,个人化密钥可在工厂里被注入到密码术模块20中,而第一部分机密信息项稍后在任用该密码术模块时,或甚至更晚在该模块的初始化阶段、在一组模块的初始定义阶段、或在一组模块的动态重定义阶段被注入。第一部分机密信息项甚至可在该密码术模块正在操作时定期地更新。个人化密钥和第一部分机密信息项也可在基本相同的时间注入。
在本发明的特定实现条件下,能够规定密钥PK的值与第一部分机密信息项K0的值相类似或相同。然则相同信息项可有利地被用作密码术单元11的输入以及用作单元33的输入。
图5示出构成本发明的一个实施例的用于获得共享机密元素的单元33的架构。此类单元有利地采用计及第一和第二部分机密信息项的单向函数。
在图5中,用于获得机密元素的单元33接收第一和第二部分机密信息项。接收到的部分机密信息项随后被提供给组合函数51。
用于组合第一和第二部分机密信息项的组合函数51可以是任何类型的函数。它可以是级联函数或有利地是任何其它非线性函数。
在本发明的一个优选实施例中,该函数确定组合信息项,其随后被提供给密码术函数52。该函数可创建从组合函数51接收到的组合信息项的数字指纹。此密码术函数52适用于从组合函数51所提供的组合信息项获得共享机密元素SK。
密码术函数52可以是例如本领域的技术人员所熟知的类型的散列函数、或者对应于如由ISO/ICE标准18033-2‘Information technology;Encryptionalgorithms;Part 2Asymmetric cipher(信息技术;加密算法;第2部分:非对称密码’所定义的KEM(密钥封装机制)类型的封装函数的解封装函数。
组合函数和密码术函数优选地获得熵值基本上等于第一和第二部分机密信息项的熵值的总和的元素SK。
当单元33获得机密元素SK时,其随后作为输入被提供给密码术单元11。密码术单元11适用于将经由信道12接收到的文本PT加密以保护其以经加密形式CT经由信道13进行的传输。密码术单元11还适用于经由信道13接收以经加密形式从另一模块传送来的文本CT并将其解密以经由信道12提供经解密的文本PT。
应注意,组合函数51和密码术函数52有利地对应于机密元素分发中心21所应用的将机密元素划分成多个部分机密信息项的方法,从而使得密码术模块20能够从所传送的这多个部分机密信息项获得该机密元素。
图6示出本发明的一个实施例,其中第一传输经由直接注入第一信道c1实行,而第二传输经由使用OTAR类型协议的无线电信道c2实行。这两个密码术模块20相互独立地获得该共同的共享机密元素。它们随后能够以尤其基于该共同机密元素SK加密的形式来交换信息。
图7示出本发明另一实施例中的密码术模块的架构。这样的密码术模块20包括根据对称密码术算法进行操作的密码术单元11,其接收在本发明的一个实施例中此处由单元33所提供的会话密钥SK作为输入用于获得该机密元素。单元33可有利地采用概率加密,例如使用双线性形状以及椭圆曲线上的一组点。其原理可类似于在文献WO 03/017559“System and method ofidentity-based encryption and related cryptographic techniques(基于身份的加密及相关密码术技术的系统和方法)”(Boneh,Franklin)中所解释的原理。
根据这样的原理,在传送端,此处记为Kx的补充信息项也由单元33获得并经由信道13与经加密的流CT相关联地传送。
根据该同一原理,为了解密接收到的文本CT,在接收端需要与所涉目的密码术模块的个体身份相关的机密信息项(相应地还有包括所述密码术模块的一组目的密码术模块的身份)。这样的身份信息项随后可有利地根据基于本发明的一种实现的机密元素共享方法——即,在至少两个分开的严格意义上的部分传输中——传送给密码术模块。
相应地,该机密元素共享方法使得密码术模块能够获得与所述密码术模块的个体身份(具体地是包括所述密码术模块的一组密码术模块的身份)相关的机密信息项。
图8示出本发明一实施例中的机密元素分发中心21。这样的分发中心适用于以至少两个分开的传输的形式来分发要被共享的机密元素。为此目的,分发中心21包括适用于使用特定划分法将要被共享的机密元素SK分别划分成至少第一和第二部分机密信息项K0和K1-Kn的划分单元81。本发明涵盖能够划分该机密元素的所有方法。优选使用尽可能多地避免第一和第二部分机密信息项之间的信息冗余的划分法。这使得其能在提供最大熵的同时获得基于机密元素的部分分发的系统。该划分法因此优选地验证该机密元素的熵值基本上等于将对应于相应各部分机密信息项的熵值求和所得到的熵值。
这样的分发中心包括适用于分别通过第一传输和通过与第一传输分开的第二传输向各个密码术模块分发第一部分机密信息项K0和第二部分机密信息项K1-Kn的接口82,其中每个传输关于该机密元素皆为严格意义上部分的。
该接口适用于验证上述第一和第二传输的使得这些传输能够被区别的特性。
如果这两个传输是分开的并且在两个分开的物理传输信道上实行,则接口82可有利地包括适用于实行第一传输的第一接口83以及适用于与第一传输分开地实行第二传输的第二接口84。
如上所述,第一接口83可适用于向可能直接连接到密码术模块20的外围存储传送第一部分机密信息项K0以将该第一部分机密信息项注入到其中。
第二接口84可适用于经由例如使用OTAR类型的传输协议的无线电信道来传送第二部分机密信息项K0。
本发明还可方便地在使用多组i个密钥——例如多组的密钥三元组——的情况中应用。在这种情况下,如果密码术单元11需要一组会话密钥三元组SKA、SKB和SKC,则可以按如上关于单个机密元素SK所解释的相同方式以部分机密信息项的形式传送相应各第一部分机密信息项K0A、K0B和K0C并以部分机密信息项三元组的形式传送诸第二部分机密信息项。本发明一个实施例中的单元33随后适用于获得相应的会话密钥SKA、SKB和SKC。
本发明不以任何方式限定于两个分开的传输。实际上,一旦要被共享的机密元素被“拆分”成两个以上的部分机密信息项,使用更多数目个分开传输就可有利地增加对抗攻击的保护。
一般来说,借助于这样的规定,就能够在有利地不会全部被第三方监视的诸物理信道上并行且独立地传送严格意义上的部分机密信息项。
本发明还在非对称加密的背景中传送机密元素方面获得应用。实际上,在本发明的一种实现中,该机密元素可对应于私钥、机密密钥、或椭圆曲线上的一点。不管本发明的应用领域为何,其均有利地提供很大的灵活性,特别是提供了关于要被分发的机密元素的长度的灵活性,其不拘于所使用的传输协议,即使该协议涉及关于所传送的机密元素的尺寸限制亦是如此。
本发明不以任何方式在要被分发的机密元素的类型方面受限定,且这类元素尤其可对应于同步信息项、身份信息项或密钥管理项。
本发明具有如下优点,其可通过以机密的严格意义上的部分信息的至少两个独立的分别传输的形式来传送要被分发的共同机密元素来容易地实现在密码术系统中以提供关于该共同机密元素的尺寸的更大灵活性。在这样的背景中,除关于该机密元素的尺寸的灵活性之外,还可增强对要被分发的元素的机密特性的保护,这是因为若要攻击必须监视至少两个分开且独立的传输。
此外,为限制传输消息的数目,本发明提出以多个部分机密信息项的形式来传送具有某特定熵值的机密元素,其中这多个部分机密信息项的相应各熵值的总和基本上等于该机密元素的熵值,这与上面描述的其中机密元素的熵基本上与每个部分信息项的熵相同的‘广播加密’类型的系统形成对比。