CN113141248A - 基于同态加密的门限解密方法、系统及可读存储介质 - Google Patents

Abstract

本发明涉及信息安全技术领域，具体公开了基于同态加密的门限解密方法、系统及可读存储介质，方法包括如下步骤：B1：验证密文C₁∈G₁是否成立，若不成立则报错并退出；B2：计算群G_T中的元素w′＝e(C₁,de_B)，e是从G₁×G₂到G_T的双线性对，de_B是加密私钥；B3：计算g^M′＝C₂·w′^‑1，从g^M′中恢复M′；B4：计算u＝MAC(K′₁，C₂)，若u≠C₃，则报错并退出；B5：输出明文M′。采用本发明的技术方案能够对具备加同态性的加密信息进行解密。

Description

基于同态加密的门限解密方法、系统及可读存储介质

技术领域

本发明涉及信息安全技术领域，特别涉及基于同态加密的门限解密方法、系统及可读存储介质。

背景技术

门限密码体制(Threshold cryptosystem)中，私钥(Private key)信息被分发给n位参与者。只有当大于t(n≥t≥1)位参与者同时认可签名或解密操作时，才能恢复密钥完成签名或解密，从而提高方案安全性。门限密码一般分为需要可信中心与不需要可信中心两类。当可信中心存在时,可以方便地实现秘密分发，减少小组成员之间的通信量和计算量；但一个被小组内所有成员信任的可信中心并不是一直存在的，此时需要小组成员联合实现对秘密的分享，即无可信中心方案。

1994年，Santis，Desmedt，Frankel等人开发了第一个具有完全门限功能和拥有安全性证明的系统。在早期，只有某些数据高度敏感的组织(例如证书颁发机构，军方和政府)才使用此技术。最早的实现之一是Certco在90年代完成的，目的是按计划部署原始的安全电子交易。但是，2012年10月，在许多大型公共网站密码密文遭到破坏之后，RSA Security宣布它将发布软件，以使该技术可供公众使用。2019年3月，美国国家标准技术研究院(NIST)举办了一个关于阈值密码学的研讨会，以就应用达成共识并定义规范。NIST在11月发布了路线图草案“towards the standardization of threshold schemes forcryptographic primitives”，即NISTIR 8214A。

而同态加密是一种对密文进行运算的加密方案，计算后的密文进行解密可以得到与直接对原始数据进行计算相同的结果。如今，越来越多人喜欢使用公有云或互联网存储数据。然而，不管是任何信息系统，均需要安全性来保证它的完整性、机密性、可用性。例如使用标识密码算法将数据加密后再存入数据库中，但是如果需要对加密数据进行操作或运算，则有必要对加密数据进行解密。但是，解密后的数据就不再安全了。同态加密可以很好的解决这一问题，因为它可以直接对密文进行运算，而不需要解密为明文。为此申请人提出了一种具备加同态性的加密方法，采用群G_T中元素中g的明文M加上随机数r次幂产生主要密文C₂，其中群G_T为阶为素数N的乘法循环群。该方法能够在保证安全性的同时，使加密算法具有加同态性质。在此方法的基础上，需要实现它的门限解密。

发明内容

本发明提供了基于同态加密的门限解密方法、系统及可读存储介质，能够对具备加同态性的加密信息进行解密。

为了解决上述技术问题，本申请提供如下技术方案：

基于同态加密的门限解密方法，包括如下步骤：

B1：验证密文C₁∈G₁是否成立，若不成立则报错并退出，G₁是阶为素数N的加法循环群；

B2：计算群G_T中的元素w′＝e(C₁,de_B)，G_T是阶为素数N的乘法循环群，e是从G₁×G₂到G_T的双线性对，de_B是加密私钥；

B3：计算g^M′＝C₂·w′^-1，从g^M′中恢复M′；KDF()为密钥派生函数；

B4：计算u＝MAC(K′₁,C₂)，若u≠C₃，则报错并退出；MAC()为消息认证码函数；

B5：输出明文M′。

基础方案原理及有益效果如下：

当用户将需要加密的明文M(mlen为M的比特长度)通过具备加同态性的加密方法加密后，本方案可以对加密后的信息进行解密，得到明文M′。由于门限密码一般分为需要可信中心与不需要可信中心两类，本方案在两种情况下均能完成解密。

进一步，还包括秘钥生成步骤，如果存在可信中心，具体包括以下步骤：

D1、可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B；

D2、可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁,x₂…,x_n}，并计算：y_i＝f(x_i),i＝0,1,2…,n；其中，GF(p)是元素个数为大素数p的有限域；

D3、可信中心将第i个点(x_i，y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值；

D4、可信中心计算P_pub-e＝[ke]P₁，公开P_pub-e，其中P_pub-e为主公钥。

进一步，所述秘钥生成步骤，如果不存在可信中心，具体包括以下步骤：

E1、参与者P_i选择一个t-1次多项式:

其中i＝0,1,2…,n，且P_i选择的随机值为s_i＝f_i(0)；

E2、P_i计算y_i,j，j＝f_i(j)，随后将其发送给参与者P_j；

P_j收到所有y_i,j,i＝0,1,2…,n，后，其中y_i,j为P_j自己构造所得，计算P_j最终的共享秘密份额y_j＝y_1,j+y_2,j+…+y_n,j mod p；

秘密重构：

已知t份秘密份额(x_i,y_i)，令t＝0,1,2…,t，由拉格朗日差值公式重构出多项式f(x_i)：

由于s＝f(0)，因此有：

令

因此有

E3、通过y₁,y₂…,y_n中的任意t份秘密份额，利用Shamir方案恢复出联合生成的随机秘密值s，基于密值s，计算P_pub-e，公开P_pub-e。

在Shamir(t,n)门限秘密共享方案中，GF(p)是元素个数为大素数p的有限域，在此处等于椭圆曲线上的基点G的阶，秘密信息

此处即为解密主私钥ke。可信中心给n位参与者{P₁,P₂…,P_n}分发秘密份额，使得n个中的任意t位以上参与者才可以重构出秘密信息s，而任意小于或等于t位的参与者不能重构出s。

进一步，所述B2中，如果不存在可信中心，由t位参与者共同计算群G_T中的元素

进一步，所述E3中，当t＝2时，且id₁与id₂为参与者，

进一步，所述B2中，当t＝2时，且id₁与id₂共同解密，

本发明的基于同态加密的门限解密系统，使用上述基于同态加密的门限解密方法。

本发明的一种可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

附图说明

图1为实施例一种具备加同态性的加密方法的流程图；

图2为实施例基于同态加密的门限解密方法的流程图；

图3为有可信中心密钥分发流程图；

图4为无可信中心密钥分发流程图；

图5为密钥门限解密流程图。

具体实施方式

下面通过具体实施方式进一步详细说明：

实施例

术语与符号：

A,B：使用公钥密码系统的两个用户。

N：循环群G₁、G₂和G_T的阶，为大于2¹⁹¹的素数。

G₁：阶为素数N的加法循环群。

P₁：群G₁的生成元。

G₂：阶为素数N的加法循环群。

P₂：群G₂的生成元。

G_T：阶为素数N的乘法循环群。

H_v()：密码杂凑函数。

H₁()：由密码杂凑函数派生的密码函数。

e：从G₁×G₂到G_T的双线性对。

h：用一个字节标识的私钥生成函数识别符，由KGC选择并公开。

ke：加密主私钥。

P_pub-e：加密主公钥。

KDF()：密钥派生函数。

MAC()：消息认证码函数。

ID_B：用户B的标识，可以唯一确定用户B的公钥。

M：待加密的消息。

M′：解密得到的消息。

x||y：x与y的拼接，x和y是比特串或字节串。

[u]P：加法群G₁、G₂中元素P的u倍

如图1所示，本实施例提供一种具备加同态性的加密方法，设用户A需要发送的消息为M，mlen为M的比特长度，

为分组密码算法中密钥K₁的比特长度或与mlen相等。

用户A为了加密明文M给用户B，作为加密者的用户A使用具备加同态性的加密方法，进行如下步骤：

A1：计算群G₁中的元素Q_B＝H₁(ID_B||hid,N)P₁+P_pub-e。此处的H₁()为由密码杂凑函数H_v()派生的密码函数；ID_B是用户B的用户标识，用于唯一确定用户B的公钥；hid是用一个字节标识的私钥生成函数识别符，由可信中心(KGC)选择并公开；N是循环群G₁、G₂和G_T的阶，为大于2¹⁹¹的素数；||代表的是字符串或比特串的拼接；P₁是群G₁的生成元；P_pub-e是加密主公钥；

A2：产生随机数r∈[1,N-1]，此处的N是循环群G₁、G₂和G_T的阶，产生随机数用于计算密文C₁；

A3：计算群G₁中的元素C₁＝[r]Q_B，此处的Q_B为A1计算的结果，Q_B是加法循环群G₁上的元素，而[r]Q_B的含义是Q_B的r倍，同样是循环群G₁上的元素；

A4：计算群G_T中的元素g＝e(P_pub-e,P₂)，e是从G₁×G₂到G_T的双线性对，即g是群G_T上的元素；

A5：计算群G_T中的元素w＝g^r，r是A2生成的属于[1,N-1]的随机数；

A6：计算

然后计算K＝KDF(C₁||w||ID_B,klen)。K₁为K的前mlen比特，若K₁全为0，则返回A2，否则K₂为K的后

比特，计算C₂＝g^M·w。本实施例中，K₁后续是无用的，KDF()密钥派生函数仅用于单次解密的认证。但为了便于本方法可以与其他加密方案匹配，本实施例在此处保留对K₁是否为0的校验，在其他实施例中，也可以去掉对K₁是否为0的校验。

A7：计算C₃＝MAC(K₂,C₂)，C₃是用户单次解密的校验，MAC()是消息认证码函数，K₂是MAC()的密钥；

A8：输出密文C＝(C₁，C₂，C₃)。C₂为主要密文，主要密文指包含明文M的密文。

如图2所示，为了实现上述具备加同态性的加密方法的解密，本实施例提供的一种基于同态加密的门限解密方法，包括如下步骤：

B1：验证C₁∈G₁是否成立，若不成立则报错并退出；

B2：计算群G_T中的元素w′＝e(C₁,de_B)，e是从G₁×G₂到G_T的双线性对；

B3：计算

然后计算K＝KDF(C₁||w′||ID_B,klen)。K₁为K的前

比特，K₂为K的后

比特。本实施例中，还判断K₁是否全为0，如果全为0，保持并退出。计算g^M′＝C₂·w′^-1，从g^M′中恢复M′。

B4：计算u＝MAC(K′₁,C₂)，若u≠C₃，则报错并退出；

B5：输出明文M′。

为了解释加同态性，设密文1为

密文2为

其中C₃和C′₃仅用于完整性校验。

C1：C₁×C′₁＝[(r+r′)])Q_B。密文C₁与C′₁均为群G₁上的元素，可直接相加；

C2：

与C1类似，但密文C₂与C′₂是群G_T上的元素，当然也可直接进行运算；

C3：w·w′＝e(C₁×C′₁,de_B)；

C4：

从

恢复出M₁+M₂。

由于从

中恢复出M₁+M₂需要解决一个求一个离散对数，这里需要采用经典的“大步-小步走算法”计算出M₁+M₂。

门限密钥生成：

在Shamir(t，n)门限秘密共享方案中，GF(p)是元素个数为大素数p的有限域，在此处等于椭圆曲线上的基点G的阶，秘密信息

此处即为解密主私钥ke。可信中心给n位参与者{P₁，P₂…，P_n}分发秘密份额，使得n个中的任意t位以上参与者才可以重构出秘密信息s，而任意小于或等于t位的参与者不能重构出s。

如果存在可信中心

可信中心随机选择ke∈[1,N-1](此处的N是循环群G₁、G₂和G_T的阶，为大于2¹⁹¹的素数)作为加密主私钥，计算G₁中的元素P_pub-e＝[ke]P₁作为加密主公钥，则加密主密钥对为(ke，P_pub-e)。可信中心秘密保存ke，公开P_pub-e。

可信中心选择并公开用一个字节表示的加密私钥生成函数识别符hid。

用户B的标识为ID_B，为产生用户B的加密私钥de_B，可信中心计算t₁＝H₁(ID_B||hid,N)+ke，若t₁＝0则需重新产生加密主私钥，计算和公开加密主公钥，并更新已有用户的加密私钥；否则计算

然后计算de_B＝[t₂]P₂。

如图3所示，具体的：

D1、首先，可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B。

D2、随后，可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁,x₂…,x_n}，并计算：y_i＝f(x_i),i＝0，1,2…,n，即是说找出曲线f(x)上的n个点。一般地，可以直接令x_i＝i，或者x_i＝ID_i，其中ID_i表示参与者P_i的身份信息。

D3、可信中心将第i个点(x_i,y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值，因此需要秘密且安全地分发。

D4、最后，可信中心计算P_pub-e＝[ke]P₁，公开P_pub-e。

如果不存在可信中心

在某些应用场景中，不存在或不希望有可信中心，这个时候就需要参与者P_i联合决定并生成随机的共享秘密值s。

如图4所示，具体为：

E1、P_i选择一个t-1次多项式:

其中i＝0,1,2…,n，且P_i选择的随机值为s_i＝f_i(0)。

E2、P_i计算y_i,j，j＝f_i(j)，随后将其安全地发送给参与者P_j。P_j收到所有y_i,j,i＝0,1,2…,n，后，其中y_i,j为P_j自己构造所得，计算他最终的共享秘密份额y_j＝y_1，j+y_2，j+…+y_n，jmod p。

秘密重构：

已知t份秘密份额(x_i，y_i)，令t＝0,1,2…，t，由拉格朗日差值公式便可重构出多项式f(x_i)：

只要知道f(x)，可得出秘密值s，即加密主私钥ke。由于s＝f(0)，因此有

一般地，令

因此就有

E3、最终，通过y₁,y₂…,y_n中的任意t份秘密份额便可利用Shamir方案恢复出联合生成的随机秘密值s。当t＝2时，且id₁与id₂为参与者，由于主私钥ke不能被泄露，直接恢复的是主公钥

公开主公钥P_pub-e。

如图5所示，如果不存在可信中心，由t位参与者共同计算群G_T中的元素

然后计算g^M′＝C₂·w′^-1，从g^M′中恢复M′。

当t＝2时，且参与者id₁与id₂共同解密，由于主私钥ke与用户私钥de_B均不可泄露，直接恢复的是解密所需要的w′，

本实施例还提供基于同态加密的门限解密系统，使用上述基于同态加密的门限解密方法。

上述基于同态加密的门限解密方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一可读存储介质中，该计算机程序在被处理器执行时，可实现上述方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。

以上的仅是本发明的实施例，该发明不限于此实施案例涉及的领域，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知方法不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。

Claims (8)

1.基于同态加密的门限解密方法，其特征在于，包括如下步骤：

B1：验证密文C₁∈G₁是否成立，若不成立则报错并退出，G₁是阶为素数N的加法循环群；

B2：计算群G_T中的元素w′＝e(C₁，de_B)，G_T是阶为素数N的乘法循环群，e是从G₁×G₂到G_T的双线性对，de_B是加密私钥；

B3：计算g^M′＝C₂·w′^-1，从g^M′中恢复M′；

B4：计算u＝MAC(K′₁，C₂)，若u≠C₃，则报错并退出；MAC( )为消息认证码函数；

B5：输出明文M′。

2.根据权利要求1所述的基于同态加密的门限解密方法，其特征在于：还包括秘钥生成步骤，如果存在可信中心，具体包括以下步骤：

D1、可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B；

D2、可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁，x₂…，x_n)，并计算：y_i＝f(x_i)，i＝0，1，2…，n；其中，GF(p)是元素个数为大素数p的有限域；

D3、可信中心将第i个点(x_i，y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值；

D4、可信中心计算P_pub-e＝[ke]P₁，公开P_pub-e，其中P_pub-e为主公钥。

3.根据权利要求2所述的基于同态加密的门限解密方法，其特征在于：所述秘钥生成步骤，如果不存在可信中心，具体包括以下步骤：

E1、参与者P_i选择一个t-1次多项式：

其中i＝0，1，2…，n，且P_i选择的随机值为s_i＝f_i(0)；

E2、P_i计算y_i，j，j＝f_i(j)，随后将其发送给参与者P_j；

P_j收到所有y_i，j，i＝0，1，2…，n，后，其中y_i，j为P_j自己构造所得，计算P_j最终的共享秘密份额y_j＝y_1,j+y_2,j+…+y_n,jmodp；

秘密重构：

已知t份秘密份额(x_i,y_i)，令t＝0,1,2…,t，由拉格朗日差值公式重构出多项式f(x_i)：

由于s＝f(0)，因此有：

令

因此有

E3、通过y₁,y₂…,y_n中的任意t份秘密份额，利用Shamir方案恢复出联合生成的随机秘密值s，基于密值s，计算P_pub-e，公开P_pub-e。

4.根据权利要求3所述的基于同态加密的门限解密方法，其特征在于：所述B2中，如果不存在可信中心，由t位参与者共同计算群G_T中的元素

5.根据权利要求4所述的基于同态加密的门限解密方法，其特征在于：所述E3中，当t＝2时，且id₁与id₂为参与者，

6.根据权利要求5所述的基于同态加密的门限解密方法，其特征在于：所述B2中，当t＝2时，且id₁与id₂共同解密，

7.基于同态加密的门限解密系统，其特征在于，使用权利要求1-6任一项所述的基于同态加密的门限解密方法。

8.可读存储介质，其特征在于，所述可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-6任一项所述的步骤。

Images