CN110830250B - 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法 - Google Patents

利用通用系数发现算法在非欧几里得环上实现秘密共享的方法 Download PDF

Info

Publication number
CN110830250B
CN110830250B CN201911107274.XA CN201911107274A CN110830250B CN 110830250 B CN110830250 B CN 110830250B CN 201911107274 A CN201911107274 A CN 201911107274A CN 110830250 B CN110830250 B CN 110830250B
Authority
CN
China
Prior art keywords
secret
polynomial
euclidean
algorithm
ring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911107274.XA
Other languages
English (en)
Other versions
CN110830250A (zh
Inventor
苗付友
王旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology of China USTC
Original Assignee
University of Science and Technology of China USTC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology of China USTC filed Critical University of Science and Technology of China USTC
Priority to CN201911107274.XA priority Critical patent/CN110830250B/zh
Publication of CN110830250A publication Critical patent/CN110830250A/zh
Application granted granted Critical
Publication of CN110830250B publication Critical patent/CN110830250B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)

Abstract

本发明公开了一种利用通用系数发现(GCF)算法在非欧几里得环上实现秘密共享的方法,提供了增广矩阵变换和商域两种GCF算法支持非欧几里得环上的中国剩余定理算法,从而构造相应的秘密共享方案。基于非欧几里得环的秘密共享方案中,很容易生成任意两两互素的模多项式,且不存在信息泄露问题,并且非欧几里得环上的方法具有极高的效率,通过提高生成互素模数的效率,可以显著提高秘密分发阶段的效率,进而提高秘密共享方案的效果。此外,由于非欧几里得环可以是无限环,秘密多项式系数长度存在不确定性,因而非欧几里得环上的秘密共享方案可以在理论上确保非授权集恢复秘密的概率趋于0,从而确保方案的保密性。

Description

利用通用系数发现算法在非欧几里得环上实现秘密共享的 方法
技术领域
本发明涉及网络与信息安全,尤其涉及一种利用通用系数发现算法(GeneralizedCoefficient Finding--GCF)在非欧几里得环上实现秘密共享方案的方法。
背景技术
1.欧几里得算法与扩展欧几里得算法
欧几里得算法又称辗转相除法,主要用来求解两个正整数的最大公约数,正整数a和b的最大公约数可以表示为gcd(a,b)。我们可以将gcd(a,b)理解为a和b的最小正线性组合,如果想要得到方程au+bv=gcd(a,b)中整数u和v的值,我们就会用到扩展欧几里得算法(Extended Euclidean Algorithm-EEA)。其中,欧几里得算法和扩展欧几里得算法的时间复杂度都是O(logb),b<a,因而具有很高的效率。
1)整数环Z上的欧几里得算法
令a,b∈Z是正整数,且a≥b。在整数环上求解gcd(a,b)的算法如下:
(1)令r0=a且r1=b。
(2)设置i=1。
(3)ri-1除以ri,得到商qi和余数ri+1,即:
ri-1=ri·qi+ri+1,(0≤ri+1<ri)
(4)如果余数ri+1=0,算法终止。我们可以得到ri=gcd(a,b)。
(5)否则ri+1>0,则设置i=i+1,跳转到步骤3。
其中,步骤3)最多执行2log2 b+1次。
2)Z上的欧几里得算法与扩展欧几里得算法的联系
令a,b∈Z是正整数,欧几里得算法的逐步计算过程可以表示为:
Figure BDA0002271687700000011
Figure BDA0002271687700000021
由以上欧几里得算法的逐步计算过程可知gcd(a,b)=gcd(b,r2)=gcd(r2,r3)=…=gcd(rt-2,rt-1)=gcd(rt-1,rt)=gcd(rt,0)=rt
扩展欧几里得算法可以看作欧几里得算法的逆过程。如果将上述欧几里得的逐步计算过程反向写出,则:
Figure BDA0002271687700000022
由以上递推关系可知,rt,rt-1,rt-2,…,r3,r2,b,a序列中,每一项都可以由后两项表示。通过层层迭代,我们可以用a和b表示rt,即可找到整数u和v使得等式au+bv=rt(*)成立。很显然,该式中rt是a和b的最大公约数,因为(*)式中任何a和b的公约数都可以被rt整除。
3)使用Z上的扩展欧几里得算法求解au+bv=1。
如果a和b是已知的互素整数,则gcd(a,b)=1,必然存在唯一的u和唯一的v使得au+bv=1成立,u<b,v<a。
方程au+bv=1的解u和v是扩展欧几里得算法的特殊形式。当a和b互素时,常用来求解a mod b或b mod a的乘法逆元。因为au+bv=1意味着au=1mod b,即a mod b的乘法逆元为u;同理,bv=1mod a,即b mod a的乘法逆元为v。
以上扩展欧几里得算法只使用于在欧几里得环上求解乘法逆元。
2.基于中国剩余定理的秘密共享方案
(t,n)门限秘密共享的基本思想是将一个秘密分割成n份子秘密,并将每一份子秘密通过安全信道分发给n个参与者。使得只有t(t≤n)或t个以上的参与者合作才能恢复秘密,少于t个参与者无法恢复秘密,其中t是门限值。(t,n)门限秘密共享方案在信息安全和应用密码领域具有极其广泛的应用。
1)基于Z上的CRT(中国剩余定理)非迭代算法实现的秘密共享方案。
应用最为广泛的(t,n)门限秘密共享方案是Asmuth-Bloom的基于CRT的秘密共享方案和Shamir的基于Lagrange插值多项式的秘密共享方案。其中Asmuth-Bloom的方案实现如下:
在Asmuth-Bloom的(t,n)门限秘密共享方案中假定D是秘密分发者,方案中共有n个参与者,t是门限值。秘密空间的大小是p0,秘密空间是
Figure BDA0002271687700000033
每个参与者子秘密空间的大小为pi,参与者对应的子秘密空间是
Figure BDA0002271687700000034
其中,正整数(p0,p1,…,pn)的选取需要满足以下三个条件:
A、p0<p1…<pn
B、ppn-t+2·…·pn<p1·p2·…·pt
C、正整数p0,p1,…,pn是两两互素的
Asmuth-Bloom的(t,n)门限秘密共享方案主要包括秘密分发和秘密重构两个阶段。
a)秘密分发阶段。
为了共享一个秘密
Figure BDA0002271687700000035
秘密分发者D随机选取一个正整数α,使得
Figure BDA0002271687700000036
Figure BDA0002271687700000037
然后D为每一个参与者Ui计算子秘密si=(s+αp0)mod pi。其中,子秘密si应通过安全信道被传送给参与者Ui
b)秘密重构阶段。
任何m,(n≥m≥t)个参与者,比如{U1,U2,…,Um},可以通过提供他们合法的子秘密{s1,s2,…,sm}得到如下同余方程组:
Figure BDA0002271687700000031
计算
Figure BDA0002271687700000038
使用公式:
Figure BDA0002271687700000032
即可计算出最终的秘密s。
2)基于F[x]上的CRT非迭代算法实现的秘密共享方案。
为了构建理想秘密共享方案,Yu Ning等人提出多项式F[x]上的秘密共享方案。方案的具体实现如下:
在Yu Ning的(t,n)门限秘密共享方案中假定D是秘密分发者,方案中共有n个参与者,t是门限值。D会选择素数p和整数dg0,dg1,…,dgn,选取多项式mi(x)∈Fp[x],i=(1,2,…,n)和多项式
Figure BDA0002271687700000042
其中dgi=deg(mi(x))是多项式的次数。秘密的空间是S={g(x)∈Fp[x]|deg(g)<dg0}。
其中,多项式(m0(x),m1(x),…,mn(x))的选取需要满足以下三个条件:
A、1≤dg0≤dg1≤dg2≤…≤dgn
B、
Figure BDA0002271687700000043
C、多项式(m0(x),m1(x),…,mn(x))是两两互素的
Yu Ning的(t,n)门限秘密共享方案主要包括秘密分发和秘密重构两个阶段。
a)秘密分发阶段
为了共享一个秘密s(x)∈S,秘密分发者D从
Figure BDA0002271687700000044
Figure BDA0002271687700000045
随机选取一个多项式α(x),计算
Figure BDA0002271687700000046
然后为每一个参与者Ui计算子秘密si(x)=f(x)mod mi(x)。其中,子秘密si(x)应当通过安全信道被传送给参与者Ui
b)秘密重构阶段
任何m,(n≥m≥t)个参与者,比如{U1,U2,…Um},可以通过提供他们合法的子秘密{s1(x),s2(x),…,sm(x)}来得到如下同余方程组:
Figure BDA0002271687700000041
利用CRT的性质求解多项式环上的同余方程组,得到唯一的次数小于
Figure BDA0002271687700000047
的解f(x)。使用公式
Figure BDA0002271687700000048
即可计算出最终的秘密s(x)。
由上可知,在Z上基于CRT的秘密共享方案中,需要选取互素的大整数来作为模数。大数的产生较为困难,需要选取一组两两互素的模数更加困难,而且每个参与者的子秘密长度都大于秘密的长度,因而方案无法达到理想的秘密共享。而在F[x]上基于CRT的秘密共享方案中,暂时没有找到确定性的算法来产生任意一组两两互素的模多项式。
然而,目前基于CRT的秘密共享方案都针对欧几里得环(如整数环Z或者系数在域上的多项式环F[x])实现,而无法在非欧几里得环上实现。
发明内容
本发明的目的是提供一种利用通用系数发现算法在非欧几里得环上实现秘密共享的方法,可以提高秘密分发阶段的效率、确保秘密共享方案的保密性。
本发明的目的是通过以下技术方案实现的:
一种利用通用系数发现算法在非欧几里得环上实现秘密共享的方法,包括:
秘密分发阶段:秘密分发者O为每一参与者Ui在非欧几里得环上选取或构造一个公开的模多项式mi(x),不同参与者对应的模多项式两两互素;然后,结合模多项式mi(x)与秘密信息s(x)为每一参与者Ui计算相应的s(x)的子秘密si(x),并通过安全信道传送给对应参与者;
秘密重构阶段:利用任意t个参与者的子秘密,得到相应的同余方程组,利用通用系数发现算法GCF计算出每一个参与者Ui对应参数,从而求解出同余方程组的解f(x),并利用同余方程组的解f(x)恢复出秘密信息s(x);其中,在秘密分发阶段i=1,2,…,n,秘密重构阶段,i=1,2,…,t,n为参与者总数,t为门限值。
由上述本发明提供的技术方案可以看出,基于非欧几里得环的秘密共享方案中,很容易生成任意两两互素的模多项式,且不存在信息泄露问题,并且非欧几里得环上的方法具有极高的效率,通过提高生成互素模数的效率,可以显著提高秘密分发阶段的效率,进而提高秘密共享方案的效果。此外,由于非欧几里得环可以是无限环,秘密多项式系数长度存在不确定性,因而非欧几里得环上的秘密共享方案可以在理论上确保非授权参与者恢复秘密的概率趋于0,从而确保方案的保密性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的一种利用通用系数发现算法在非欧几里得环上实现秘密共享的方法的流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
非欧几里得环包含作为唯一分解环(UFD)的多项式环R[x],R表示各类可交换整环,x表示多项式的变量;比如3x2+2x+5就是一个以x为变量的系数在整数环Z上的多项式。Z[x]为多项式环R[x]中的一种形式,Z表示整数环,Z[x]表示系数在Z(整数)上的多项式构成的环。
本发明实施例中,通过构造R[x](同样适用于Z[x])上通用系数发现算法(GCF),建立R[x]上的中国剩余定理算法,进而构造R[x]上秘密共享方案。
GCF算法:定义mi(x)与Mi(x)∈R[x]是已知系数在R上的首一互素多项式(这里的互素是指除了unit没有其他公因数或公因式)。一定存在M′i(x)∈R[x]和最小值di∈R,使得Mi(x)M′i(x)=dimod m(x)且deg(M′i(x))<deg(mi(x))。该算法的作用是给定mi(x)与Mi(x)∈R[x],求解M′i(x)∈R[x]和最小值di∈R使得Mi(x)M′i(x)=dimod m(x)且deg(M′i(x))<deg(mi(x))。
如之前所述,欧几里得环上乘法逆元的求解主要使用扩展欧几里得算法,但是在非欧几里得环上,无法直接使用现有的扩展欧几里得算法求上述M′i(x)和di。因此,无法实现非欧几里得环上的秘密共享。
本发明实施例提供的秘密共享可以基于非欧几里得环上的GCF算法实现,从而降低对秘密共享方案构造的限制,提高秘密分发阶段的效率,并确保方案的保密性。如图1所示,为本发明实施例提供的一种利用通用系数发现算法在非欧几里得环上实现秘密共享的方法的流程图。
秘密共享方案中共有n个参与者(U1,U2,…,Un),只有t(t≤n)或t个以上的参与者合作才能恢复秘密,少于t个参与者无法恢复秘密,其中t是门限值。设置秘密信息s(x)的范围m(x);阶deg(m(x))=dg,且dg>0,deg(m(x))表示多项式m(x)关于x的阶(即次数)。每个参与者Ui,i=1,2,…n,所对应的公开模数为首一多项式mi(x),阶deg(mi(x))>0,可以通过Eisenstein素性判定标准直接高效地生成R[x]上的素多项式mi(x)。
本领域技术人员可以理解,此处的模数就是模多项式,用它除其他多项式(比如f(x))进而获得余多项式(比如子秘密)。
如图1所示,本发明实施例提供的秘密共享的方法主要包含如下两个阶段:
1、秘密分发阶段。
秘密分发者O为每一参与者Ui在非欧几里得环上选取或构造一个公开的模多项式mi(x),不同参与者对应的模多项式两两互素;然后,结合模多项式mi(x)与秘密信息s(x)为每一参与者Ui计算相应的子秘密si(x),并通过安全信道传送给对应参与者;其中,i=1,2,…n;。
本发明实施例中,结合模多项式mi(x)与秘密信息s(x)为每一参与者Ui计算相应的子秘密si(x)包括:
首先,计算一个中间量f(x):
f(x)=s(x)+α(x)m(x)
其中,α(x)为随机选取的一个多项式且
Figure BDA0002271687700000071
m(x)限定了秘密信息s(x)的范围,阶deg(m(x))=dg,且d>0;秘密信息s(x)的阶小于dg,即deg(s(x))<deg(m(x));deg(m(x))表示多项式m(x)关于x的阶,即次数。对于每个mi(x),i=1,2,…,n,如果dgi=deg(mi(x)),则满足dg≤dg1≤dg2≤…≤dn
然后,为每一参与者Ui计算相应的子秘密si(x):
si(x)=f(x)mod mi(x)。
本发明实施例中,子秘密与秘密的长度可以相同,从而可以达到理想的秘密共享。
如之前所述,非欧几里得环包括:多项式环R[x],R表示各类可交换整环,x表示多项式的变量;Z[x]为多项式环R[x]中的一种形式,Z表示整数环,Z[x]表示系数在Z上的多项式。由于Z[x]属于R[x]中的一种具体形式,因此,本发明实施例的方案在R[x]与Z[x]实现的原理是相同的,区别在于,相关参数的范围不同,例如:
对于多项式环R[x],定义各参与者对应的模多项式m1(x),m2(x),…,mn(x)是R[x]上两两互素的模多项式;此情况下,s(x)∈R[x],α(x)∈R[x];
对于多项式环Z[x],定义各参与者对应的模多项式m1(x),m2(x),…,mn(x)是Z[x]上两两互素的模多项式;此情况下,s(x)∈Z[x],α(x)∈Z[x]。
2、秘密重构阶段。
利用任意不少于t个参与者的子秘密(为简单起见,固定选择t个),得到相应的同余方程组,利用非欧几里得环上的上的GCF算法计算出每一个参与者Ui对应的各参数,从而求解出同余方程组的解f(x),并利用同余方程组的解f(x)恢复出秘密信息s(x);其中,n≥t,t为门限值。
本发明实施例中,利用任意t个(比如第1~第t个)参与者的子秘密,得到相应的同余方程组,表示为:
Figure BDA0002271687700000081
为求解此同余方程组:令
Figure BDA0002271687700000083
Mi(x)=M(x)/mi(x),i=1,2,...,t,通过上述GCF算法求解M′i(x)∈R[x]和di∈R使得M′i(x)Mi(x)mod mi(x)=di。令
Figure BDA0002271687700000084
Di=D/di,则可得到:
Figure BDA0002271687700000082
最终的秘密为:s(x)=f(x)mod m(x)。
本发明实施例中,同余方程组(*)的解f(x)与秘密分发阶段秘密分发者O计算的中间量f(x)是相同的概念,如果求解正确,则二者完全相同。
此外,本领域技术人员可以理解,本发明所涉及的下标i表示一个序号,在秘密分发阶段,i=1,2,…n;在秘密重构阶段,i=1,2,…,t。
GCF算法:定义每一个参与者对应的mi(x)与Mi(x)∈R[x]是已知系数在R上的首一互素多项式,则必定存在M′i(x)∈R[x]和最小di∈R使得Mi(x)M′i(x)=dimodmi(x)且在deg(M′i(x))<deg(mi(x))条件下存在唯一的M′i(x)∈R[x]。GCF算法可以在给定mi(x)与Mi(x)∈R[x]条件下,求解每一个参与者对应的M′i(x)和di,从而支持构建非欧几里得环R[x]上的CRT算法,最终建立R[x]上的秘密共享方案。
本发明实施例中,提供两个GCF算法实现方案求解R[x]上参数M′i(x)和di的方法:
(1)将R[x]上求解M′i(x)和di过程转化为R上的增广矩阵变换过程。
(2)利用商域(Quotient Field)概念,首先将R[x]扩展到QR[x],QR为R的商域,然后利用QR[x]上的扩展欧几里得算法求解Mi(x)mod mi(x)的乘法逆元,最后将其再转换为R[x]上的M′i(x)和di
上述两类R[x]上多项式GCF算法属于通用方案,可以适用于R[x]中的任意多项式环。如之前提到的Z[x]同样适用,求解过程完全相同,只是求解所涉及的某些的参数的范围略有区别,例如,第(1)类方法中,是将Z[x]上求解过程转化为求解Z上多元线性方程组过程。第(2)类方法中,将Z[x]扩展到Q[x],然后利用Q[x]上的扩展欧几里得算法求解M(x)modm(x)的乘法逆元。Z为整数环,Q为Z的商域,即有理数域。
下面针对以上两类方法做详细的介绍。
(1)将R[x]上求解M′i(x)和di的过程转化为R上的增广矩阵变换过程
已知mi(x),Mi(x)∈R[x]互素(没有除unit以外的公因子)且mi(x)=auxu+au-1xu-1+…+a1x+a0,Mi(x)=bvxv+bv-1xv-1+…+b1x+b0,deg(mi(x))=u,deg(Mi(x))=v,其中的a、b表示mi(x)、Mi(x)每一项的系数,下标表示每一项的序号;令未知多项式为m′i(x),M′i(x)∈R[x]且deg(m′i(x))<v,deg(M′i(x))<u,给定mi(x),Mi(x)本方法可以利用R上的矩阵变换求解m′i(x),M′i(x)∈R[x]和di∈R并满足mi(x)m′i(x)+Mi(x)M′i(x)=di。该方法具体包含如下两步:
第一步:依据mi(x)与Mi(x)构造如下(u+v)维的矩阵A:
Figure BDA0002271687700000091
假设C为(u+v)维的单位矩阵,则増广矩阵(A|C为:
Figure BDA0002271687700000092
如果増广矩阵(A|C中矩阵A的第j行元素自左至右代表一个多项式pj(x)从高次到低次的系数,j=1,2,…,(u+v);则(A|C中单位矩阵C的第j行前v个元素按从高次到低次构成了多项式rj(x)的系数,而后u个元素按相同的次序构成了多项式sj(x)的u个系数;其中,deg(rj(x))<deg(Mi(x)),deg(sj(x))<deg(mi(x))。相应地,増广矩阵(A|C)中第j行多项式pj(x)满足:
pj(x)=mi(x)rj(x)+Mi(x)sj(x)。
第二步:对増广矩阵(A|C)做初等行变换,即对矩阵A与单位矩阵C做同步变换,使得矩阵A上三角化。由于mi(x),Mi(x)互素,其中变换后A的第(u+v)行仅包含最右边的一个非零元素,令其为di∈R。而其中变换后C的第(u+v)行即给出了相应的m′i(x)和Mi′(x),使得mi(x)m′i(x)+Mi(x)Mi′(x)=di,即Mi(x)M′i(x)mod mi(x)=di∈R。
由于秘密共享方案中各个mi(x),i=1,2,…,两两互素,令
Figure BDA0002271687700000102
Mi(x)=M(x)/mi(x),因此在R[x]为唯一分解环情况下,Mi(x)与mi(x)互素。利用上述R上的増广矩阵变换方法,给定Mi(x)与mi(x)∈R[x],容易求得M′i(x)以及di∈R,使得M′i(x)Mi(x)mod mi(x)=di∈R;
Figure BDA0002271687700000103
Di=D/di,从而可以求解出上述同余方程组(*)的解f(x),即:
Figure BDA0002271687700000101
对于Z[x],只需要将以上求解过程涉及参数范围由R[x]改为Z[x]即可,求解过程完全相同。
以上过程等同于在R的商域上述对増广矩阵(A|C)作行变换。举例来说,如果上述R为整数环Z,上述对(A|C)进行的初等行变换本质上等同于先在Z的商域—有理数Q上对(A|C)进行初等行变换,变换结束后再将Q上的变换结果转换为Z上的结果。因此,上述过程已包含了相应R的商域上的求解过程,不再单独赘述。
(2)基于QR[x]上的扩展欧几里得算法求解R[x]上多项式乘法逆元
由于秘密共享方案中各个mi(x),i=1,2,…,n是两两互素的首一多项式,令
Figure BDA0002271687700000104
Figure BDA0002271687700000105
Mi(x)=M(x)/mi(x),因此首一多项式Mi(x)与mi(x)互素。
如果Mi(x)M″i≡1modmi(x),Mi(x),mi(x)∈R[x],称M″i(x)为Mi(x)modmi(x)在QR[x]上的乘法逆元,QR表示R的商域;在deg(M″i(x))<deg(mi(x))范围内,M″i(x)∈QR[x]有唯一解。由于mi(x)与Mi(x)是互素的,必然存在唯一的mi′(x)和唯一的M″i(x)∈QR[x]使得mi(x)mi′(x)+Mi(x)Mi″(x)=1成立;通过传统的扩展欧几里得算法得到乘法逆元M″i(x)使得Mi(x)M″i(x)=1modmi(x)成立,将M″i(x)乘以其所有系数分母的最小公倍数di∈R,最终得到Mi(x)在R[x]上的Mi′(x)=diM″i(x)∈R[x]使得Mi(x)M′i(x)=dimodmi(x);
如果采用上述方式求解M′i(x),则令
Figure BDA0002271687700000113
Di=D/di∈R,从而可以求解出同余方程组(*)的解f(x):
Figure BDA0002271687700000111
对于Z[x]上的情况,只需将上述R[x]替换为Z[x],将QR[x]替换为Q[x],然后在Q[x]上执行上述过程即可。
本发明实施例上述方案主要具有如下优点:1)允许直接在R[x]上生成两两互素的模多项式,进而显著提高秘密分发阶段的效率;在设计的R[x]上的秘密共享方案中,可以通过Eisenstein素性判定标准直接产生R[x]上的素多项式。相比于其他环上的互素模数生成算法,该算法在效率上具有明显优势。2)由于R是无限环,秘密多项式系数长度存在不确定性,因而R[x]上的秘密共享方案可以在理论上确保非授权集恢复秘密的概率趋于0,从而确保方案的保密性。
下面我们以Z[x]为例,分别给出基于增广矩阵变换以及商域的两种GCF算法:由已知的互素首一多项式Mi(x)和mi(x),求解Z[x]上M′i(x)和di;然后给出Z[x]上的秘密共享方案。
(1)利用Z上増广矩阵变换方法求解M′i(x)和di
已知Mi(x)=x4+2x3+4x2+4x+4,mi(x)=x3+2x2+3x+1,其中mi(x),Mi(x)∈Z[x]是系数在整数环上的首一互素多项式。求解最小的正整数di∈Z和M′i(x)∈Z[x],使得Mi(x)M′i(x)≡dimod m(x)。
第一步:根据Mi(x)和mi(x)构造4+3=7维的方阵A和增广矩阵(A|C),其中为7×7的单位矩阵。
Figure BDA0002271687700000112
第二步:对(A|C)进行初等行变换:
Figure BDA0002271687700000121
因此,我们可以确定M′i(x(=2x2-x+3,m′i(x)=-2x3+x2-5x-1,di=11使得
Mi(x)(2x2-x+3)+mi(x)(-2x3+x2-5x-1)=11
成立,即
Mi(x)(2x2-x+3)=11mod mi(x)。
(2)基于QR[x]上扩展欧几里得算法求解M′i(x)和di
假设Mi(x)=x4+2x3+4x2+4x+4,mi(x)=x3+2x2+3x+1,其中mi(x),Mi(x)∈Z[x]是系数在整数环上互素的首一多项式。令Mi(x)M″i(x)=1modmi(x),利用Q[x]上的扩展欧几里得算法求解Mi(x)的乘法逆元M″i(x)∈Q[x]、进而确定di∈Z,M′i(x)=diM″i(x)∈Z[x]以及使得Mi(x)M′i(x)≡dimodmi(x)。
x4+2x3+4x2+4x+4=x(x3+2x2+3x+1)+(x2+3x+4)
x3+2x2+3x+1=(x-1)(x2+3x+4)+(2x+5)
x2+3x+4=(x/2+1/4)(2x+5)+11/4
则:
q1(x)=x,r1(x)=x2+3x+4
q2(x)=x-1,r2(x)=2x+5
q3(x)=x/2+1/4,r3(x)=11/4
q1(x)=x q2(x)=x-1 q3(x)=x/2+1/4
0 1 -x x<sup>2</sup>-x+1 -x<sup>3</sup>/2+x<sup>2</sup>/4-5/4-1/4
1 0 1 1-x x<sup>2</sup>/2-x/4+3/4
Figure BDA0002271687700000122
故di=11,M′i(x)=diM″i(x)=11且使得Mi(x)M′i(x)=dimodmi(x)。
(3)Z[x]上的秘密共享方案应用举例
接下来我们将举例说明Z[x]上基于通用系数发现算法的(t,n)门限秘密共享方案。在如下例子中,我们使用Z上的増广矩阵变换方法求解所需参数。
1)准备阶段。
假设在此次秘密共享中共有n=4个用户,门限t=3,秘密的取值范围为deg(s(x))<deg(m(x))。其中,m(x)=x2
2)秘密分发阶段。
密钥分发者Dealer要分发的秘密为s(x)=3x+5,随机选取的多项式α(x)=x3。Dealer为4个参与者挑选公开信息(m1(x),m2(x),m3(x),m4(x))=(x2+2,x2+3x+1,x2+2x+2,x2+2x+7)。密钥分发者Dealer计算f(x)=s(x)+α(x)m(x)=x5+3x+5,为每一个参与者Ui计算子秘密si(x)=f(x)mod mi(x)。
然后,将子秘密(s1(x)=7x+5,s2(x)=58x+26,s3(x)=-x+5,s4(x)=-16x-135),通过安全信道分发给对应的参与者(U1,U2,U3,U4)。
3)秘密重构阶段
假设有3个参与者(U1,U2,U3)提供子秘密(s1(x)=7x+5,s2(x)=58x+26,s3(x)=-x+5)来重构秘密,他们的公开信息是(x2+2,x2+3x+1,x2+2x+2)。我们可以得到如下同余方程组:
Figure BDA0002271687700000131
令M(x)=m1(x)m2(x)m3(x)=x6+5x5+11x4+18x3+20x2+16x+4,可得
M1(x)=m2(x)m3(x)=x4+5x3+9x2+8x+2,
M2(x)=m1(x)m3(x)=x4+2x3+4x2+4x+4,
M3(x)=m1(x)m2(x)=x4+3x3+3x2+6x+2,
由以上Z[x]上GCF算法可得:
M′i(x)Mi(x)mod mi(x)=di,di∈Z是一个常数。
当i=1时,
M1(x)M′1(x)=(x4+5x3+9x2+8x+2)M′1(x)=d1 mod m1(x),
可以求得M′1(x)=(x-6),则d1=76;
当i=2时,
M2(x)M′2(x)=(x4+2x3+4x2+4x+4)M′2(x)=d2mod m2(x),
可以求得M′2(x)=(13x+37),则d2=95;
当i=3时,
M3(x)M′3(x)=(x4+3x3+3x2+6x+2)M′3(x)=d3mod m3(x),
可以求得M′3(x)=-(3x+4),则d3=20;
则D1=d2d3=1900,
D2=d1d3=1520,
D3=d1d2=7220,
根据多项式环Z[x]上基于通用系数发现算法的CRT非迭代算法,可得:
Figure BDA0002271687700000141
Figure BDA0002271687700000142
可计算出最终的秘密为:
s(x)=f(x)mod m(x)=x5+3x+5mod(x2)=3x+5。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,上述实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。

Claims (7)

1.一种利用通用系数发现GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,包括:
秘密分发阶段:秘密分发者O为每一参与者Ui在非欧几里得环上选取或构造一个公开的模多项式mi(x),不同参与者对应的模多项式两两互素;然后,结合模多项式mi(x)与秘密信息s(x)为每一参与者Ui计算相应的s(x)的子秘密si(x),并通过安全信道传送给对应参与者;其中,互素是指除了unit没有其他公因数或公因式;
秘密重构阶段:利用任意t个参与者的子秘密,得到相应的同余方程组,利用通用系数发现算法GCF计算出每一个参与者Ui对应参数,从而求解出同余方程组的解f(x),并利用同余方程组的解f(x)恢复出秘密信息s(x);其中,在秘密分发阶段i=1,2,…,n,秘密重构阶段,i=1,2,…,t,n为参与者总数,t为门限值;
其中,非欧几里得环包括:作为唯一分解环的多项式环R[x],R表示可交换整环,x表示多项式的变量;利用通用系数发现算法GCF计算出每一个参与者Ui对应参数包括:针对非欧几里得环R[x],利用R上的增广矩阵变换求解每一个参与者对应的相应参数M′i(x)和di;或者,利用商域概念首先将R[x]扩展到QR[x],QR为R的商域,然后利用QR[x]上的扩展欧几里得算法求解Mi(x)mod mi(x)的乘法逆元M″i(x),最后将M″i(x)转换为R[x]上的相应参数Mi′(x)和di;其中,参数M′i(x)∈R[x],di∈R,Mi(x)∈R[x]。
2.根据权利要求1所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,结合模多项式mi(x)与秘密信息s(x)为每一参与者Ui计算相应的子秘密si(x)包括:
首先,计算一个中间量f(x):
f(x)=s(x)+α(x)m(x)
其中,秘密分发阶段的中间量f(x)即为秘密重构阶段同余方程组的解f(x),α(x)为随机选取的一个多项式且
Figure FDA0003138318670000011
m(x)为秘密信息s(x)的范围,阶deg(m(x))=dg,且dg>0;秘密信息s(x)的阶小于dg,即deg(s(x))<deg(m(x));deg(m(x))表示多项式m(x)关于x的阶,即次数;同时对于每个mi(x),i=1,2,..,n,如果dgi=deg(mi(x)),则各多项式次数满足dg≤dg1≤dg2≤…≤dgn
然后,为每一参与者Ui计算相应的子秘密si(x):
si(x)=f(x)mod mi(x)。
3.根据权利要求2所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,Z[x]为多项式环R[x]中的一种形式,Z表示整数环,Z[x]表示系数在Z上的多项式构成的环;
对于多项式环R[x],定义各参与者对应的模多项式m1(x),m2(x),…,mn(x)是R[x]上两两互素的模多项式;此情况下,s(x)∈R[x],α(x)∈R[x];
对于多项式环Z[x],定义各参与者对应的模多项式m1(x),m2(x),…,mn(x)是Z[x]上两两互素的模多项式;此情况下,s(x)∈Z[x],α(x)∈Z[x]。
4.根据权利要求3所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,利用任意t个参与者的子秘密,得到相应的同余方程组,表示为:
Figure FDA0003138318670000021
5.根据权利要求4所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,针对非欧几里得环R[x],GCF算法利用R上的增广矩阵变换求解每一个参与者对应的相应参数M′i(x)和di,从而求解出同余方程组的解f(x),步骤包括:
已知mi(x),Mi(x)∈R[x]互素,且mi(x)=auxu+au-1xu-1+…+a1x+a0,Mi(x)=bvxv+bv-1xv-1+…+b1x+b0,deg(mi(x))=u,deg(Mi(x))=v,其中的a、b表示mi(x)、Mi(x)每一项的系数,下标与下标表示每一项的序号;令未知多项式为m′i(x),M′i(x)∈R[x]且deg(m′i(x))<v,deg(M′i(x))<u;
依据mi(x)与Mi(x)构造如下(u+v)维的矩阵A:
Figure FDA0003138318670000022
假设C为(u+v)维的单位矩阵,则增广矩阵(A|C)为:
Figure FDA0003138318670000031
如果增广矩阵(A|C)中矩阵A的第j行元素自左至右代表一个多项式pj(x)从高次到低次的系数,j=1,2,..,(u+v);则(A|C)中单位矩阵C的第j行前v个元素按从高次到低次的次序构成了多项式rj(x)的系数,而后u个元素按相同的次序构成了多项式sj(x)的u个系数;相应地,增广矩阵(A|C)中第j行多项式pj(x)满足:
pj(x)=mi(x)rj(x)+Mi(x)sj(x)
对增广矩阵(A|C)做初等行变换,即对矩阵A与单位矩阵C做同步变换,使得矩阵A上三角化;由于mi(x)与Mi(x)互素,变换后矩阵A的第(u+v)行仅包含最右边的一个非零元素,令最右边的一个非零元素为di∈R;而变换后单位矩阵C的第(u+v)行即给出了相应的m′i(x)和Mi′(x),使得mi(x)m′i(x)+Mi(x)Mi′(x)=di,即Mi(x)M′i(x)mod mi(x)=di∈R;
秘密共享方案中各个mi(x),i=1,2,..,t两两互素,令
Figure FDA0003138318670000032
Mi(x)=M(x)/mi(x),因此Mi(x)与mi(x)互素;利用上述R上的增广矩阵变换方法,给定Mi(x)与mi(x)∈R[x],求得M′i(x)以及di∈R,使得M′i(x)Mi(x)mod mi(x)=di∈R;
Figure FDA0003138318670000033
Di=D/di,从而求解出上述同余方程组的解f(x),即:
Figure FDA0003138318670000034
6.根据权利要求4所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,GCF算法利用商域概念首先将R[x]扩展到QR[x],QR为R的商域,然后利用QR[x]上的扩展欧几里得算法求解Mi(x)mod mi(x)的乘法逆元M″i(x),最后将M″′i(x)转换为R[x]上的相应参数Mi′(x)和di,从而求解出同余方程组的解f(x),步骤包括:
定义mi(x)与Mi(x)∈R[x]是已知系数在R上的首一互素多项式;如果Mi(x)M″i(x)=1modmi(x),称M″i(x)为Mi(x)modmi(x)在QR[x]上的乘法逆元,QR表示R的商域;在deg(M″i(x))<deg(mi(x))条件下,M″i(x)∈QR[x]有唯一解;由于mi(x)与Mi(x)是互素的,必然存在唯一的mi′(x)和唯一的M″i(x)∈QR[x]使得m(x)mi′(x)+M(x)M″(x)=1成立;通过传统QR[x]上的扩展欧几里得算法得到乘法逆元M″i(x)使得Mi(x)M″i(x)≡1modmi(x)成立,将M″i(x)乘以所有系数分母的最小公倍数di∈R,最终得到M′i(x)=diM″i(x)∈R[x]使得Mi(x)M′i(x)=dimodmi(x);
Figure FDA0003138318670000041
Di=D/di,从而求解出同余方程组的解f(x):
Figure FDA0003138318670000042
7.根据权利要求1~6任一项所述的一种利用GCF算法在非欧几里得环上实现秘密共享的方法,其特征在于,重构秘密信息的公式为:
s(x)=f(x)mod m(x)
其中,m(x)为秘密信息s(x)的范围。
CN201911107274.XA 2019-11-13 2019-11-13 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法 Active CN110830250B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911107274.XA CN110830250B (zh) 2019-11-13 2019-11-13 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911107274.XA CN110830250B (zh) 2019-11-13 2019-11-13 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法

Publications (2)

Publication Number Publication Date
CN110830250A CN110830250A (zh) 2020-02-21
CN110830250B true CN110830250B (zh) 2021-10-01

Family

ID=69554552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911107274.XA Active CN110830250B (zh) 2019-11-13 2019-11-13 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法

Country Status (1)

Country Link
CN (1) CN110830250B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112787816A (zh) * 2021-01-21 2021-05-11 江苏理工学院 基于中国剩余定理构造的无可信安装的多线性映射方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7200225B1 (en) * 1999-11-12 2007-04-03 Richard Schroeppel Elliptic curve point ambiguity resolution apparatus and method
CN106683053A (zh) * 2016-10-28 2017-05-17 陕西师范大学 一种gf(26)有限域多门限渐进秘密图像分存及重构方法
CN107425967A (zh) * 2017-06-15 2017-12-01 武汉理工大学 一种理论安全的灵活多秘密共享方法
CN108063754A (zh) * 2017-11-10 2018-05-22 西安电子科技大学 面向可穿戴健康监测设备匿名化数据的属性基加密方法
WO2018208546A1 (en) * 2017-05-08 2018-11-15 Amazon Technologies, Inc. Generation of shared secrets using pairwise implicit certificates

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973451B (zh) * 2014-05-05 2017-04-12 西南交通大学 一种用于分布式网络系统的跨信任域认证方法
US10581812B2 (en) * 2015-12-01 2020-03-03 Duality Technologies, Inc. Device, system and method for fast and secure proxy re-encryption
CN109936435B (zh) * 2019-01-24 2022-08-30 中国人民武装警察部队工程大学 具有快速同态运算过程ntru型多密钥全同态加密方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7200225B1 (en) * 1999-11-12 2007-04-03 Richard Schroeppel Elliptic curve point ambiguity resolution apparatus and method
CN106683053A (zh) * 2016-10-28 2017-05-17 陕西师范大学 一种gf(26)有限域多门限渐进秘密图像分存及重构方法
WO2018208546A1 (en) * 2017-05-08 2018-11-15 Amazon Technologies, Inc. Generation of shared secrets using pairwise implicit certificates
CN107425967A (zh) * 2017-06-15 2017-12-01 武汉理工大学 一种理论安全的灵活多秘密共享方法
CN108063754A (zh) * 2017-11-10 2018-05-22 西安电子科技大学 面向可穿戴健康监测设备匿名化数据的属性基加密方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Bayesian Optimization on Large Graphs via a Graph Convolutional Generative Model;Jwala Dhamala;《MICCAI 2019 Medical Image Computing and Computer Assisted Intervention》;20191010;全文 *
Constructing Ideal Secret Sharing Schemes based on Chinese Remainder Theorem;Yu Ning;《24th International Conference on the Theory and Application ofCryptology and Information Security-2018》;20181026;全文 *
Tightly Coupled Secret Sharing and Its Application to Group Authentication;Miao Fuyou;《arXiv》;20190806;全文 *
新的安全分布式n个秘密乘积共享方案;陈振华;《通信学报》;20141130;第35卷(第11期);全文 *

Also Published As

Publication number Publication date
CN110830250A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
Das et al. An efficient multi-use multi-secret sharing scheme based on hash function
Joux et al. The number field sieve in the medium prime case
Tzeng Efficient 1-out-n oblivious transfer schemes
CN104396184B (zh) 基于有错配对的新密码系统
CN101099329B (zh) 基于椭圆曲线的新陷门单向函数及其用于较短签名和非对称加密的应用
Mashhadi et al. Two verifiable multi secret sharing schemes based on nonhomogeneous linear recursion and LFSR public-key cryptosystem
Moldovyan Post-quantum public key-agreement scheme based on a new form of the hidden logarithm problem
Moldovyan et al. A new hard problem over non-commutative finite groups for cryptographic protocols
CN108718231A (zh) 一种全同态加密方法、装置和计算机可读存储介质
Singh et al. Sequential secret sharing scheme based on Chinese remainder theorem
CN111010285A (zh) 一种适用于轻量级客户端的sm2两方协同签名方法及介质
CN110830250B (zh) 利用通用系数发现算法在非欧几里得环上实现秘密共享的方法
Tentu et al. Sequential (t, n) multi secret sharing scheme for level-ordered access structure
Nikolay Digital signature scheme based on a new hard problem
Li et al. A new (t, n)-threshold multi-secret sharing scheme
CN110519051B (zh) r参数和秘密双乘积的SM9签名协同生成方法及系统
Harn et al. Threshold Signature Scheme without Using Polynomial Interpolation.
Joux et al. Oracle-assisted static Diffie-Hellman is easier than discrete logarithms
JP4288966B2 (ja) 秘密分散装置、秘密再構成装置、秘密分散再構成システム、秘密分散方法、及び秘密再構成方法
KR20040053209A (ko) 브레이드 그룹들에 기반한 공개키 암호화 방법
Mashahdi et al. A non-interactive (t, n)-publicly verifiable multi-secret sharing scheme
CN110837623A (zh) 利用非欧几里得环上的crt非迭代算法实现秘密共享的方法
Rososhek Cryptosystems in automorphism groups of group rings of Abelian groups
Hieu et al. New blind signature protocols based on a new hard problem.
RU2412548C1 (ru) Способ формирования общего секретного ключа двух удаленных абонентов телекоммуникационной системы

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant