Введение в криптографию
[an error occurred while processing this directive]

Еще раз о разделении секрета - часть 2


Рассмотрим конструкцию протокола проверяемого разделения секрета из работы []. Конструкция основана на задаче дискретного логарифмирования.

В соответствии со схемой Шамира дилер выбирает случайный полином степени , где , вычисляет ( ) и публикует . После этого для всякого дилер вычисляет и посылает это значение процессору по защищенному каналу. Процессор , проверяя равенство

убеждается, что - доля секрета . В самом деле,

Конструкцию протокола для фазы восстановления секрета рассмотрим в наиболее простом случае, когда дилер честный. На этой фазе каждый процессор посылает каждому другому процессору свою долю . Всякий честный участник , получив некоторое значение от , проверяет это значение, как описано выше, и отбрасывает все доли , не прошедшие проверку. Поскольку честных участников не менее , получит по крайней мере правильных долей секрета. Используя алгоритм восстановления секрета из схемы Шамира, восстановит значение .

В отличие от схем разделения секрета, рассматриваемых в главе , стойкость данного протокола основывается на предположении о вычислительной трудности задачи дискретного логарифмирования. Поэтому, если в обычных схемах разделения секрета требуется, чтобы любое подмножество участников, не составляющее кворума, не получало никакой информации о секрете, то во многих схемах проверяемого разделения секрета такое подмножество лишь ``не может восстановить'' секрет. В том смысле, что для его восстановления требуется решить некоторую гипотетически трудную вычислительную задачу. В рассмотренном выше примере всякий участник мог бы узнать секрет , если бы он умел вычислять дискретные логарифмы.

Одно из возможных приложений схем разделения секрета - организация хранения криптографических ключей. Свойство проверяемости представляется далеко не лишним для таких приложений. Но круг приложений схем проверяемого разделения секрета существенно шире.

Предположим, что с помощью описанной выше схемы разделены два секрета и и что оба эти секреты являются числами. Теперь представим себе ситуацию, что после этого потребовалась разделить секрет . Конечно, это может сделать дилер с помощью того же протокола. А могут ли процессоры выполнить то же самое без участия дилера?




- Начало -  - Назад -  - Вперед -


[an error occurred while processing this directive]