Схемы разделения секрета для произвольных структур доступа

Схемы разделения секрета для произвольных структур доступа (англ. Secret sharing with generalized access structure) — схемы разделения секрета, которые позволяют задать произвольный набор групп участников (квалифицированных подмножеств), имеющих возможность восстановить секрет (структуру доступа).

История

В 1979 году израильский криптоаналитик Ади Шамир предложил пороговую схему разделения секрета между ${\displaystyle n}$  сторонами, обладающую следующими свойствами:

• Для восстановления секрета достаточно ${\displaystyle k}$  и больше сторон.
• Никакие ${\displaystyle k-1}$  и меньше сторон не смогут получить никакой информации о секрете.^[1]

Такой подход нашел много применений. Например, для многопользовательской авторизации в инфраструктуре открытых ключей, в цифровой стеганографии для скрытой передачи информации в цифровых изображениях, для противодействия атакам по сторонним каналам при реализации алгоритма AES.

Однако более сложные приложение, где определённые группы участников могут иметь доступ, а другие нет, не вписываются в модель пороговых схем. Для решения этой проблемы были разработаны схемы разделения секрета для произвольных структур доступа.

Японские ученые Мицуро Ито, Акиро Саито и Такао Нишизеки первые начали изучать разделение секрета для произвольных структур доступа и в 1987 году предложили свою схему.^[2] Их мысль развили Джош Бенало и Джерри Лейхтер, предложив в 1988 году схему разделения для монотонных структур.^[3] В 1989 Эрнест Бриккелл предложил схему, в которой участникам раздаются не доли секрета, а их линейные комбинации.^[4]

Определение используемых терминов

Дилер — участник процедуры (протокола), который, зная секрет, вычисляет доли секрета и раздаёт эти доли остальным участникам.

Квалифицированное подмножество — множество участников группы, для которого разрешено восстановление секрета.

Примером, иллюстрирующим появление квалифицированных подмножеств, может служить разделение секрета между управленцами. В случае, если секрет может быть восстановлен либо всеми тремя управленцами, либо любым управленцем и любым вице-президентом, либо президентом в одиночку,^[1] квалифицированными подмножествами будут президент, вице-президент и управленец, или любые три управленца.

Структура доступа — перечисление квалифицированного и неквалифицированных подмножеств.

Пусть ${\displaystyle A}$  — множество участников группы, ${\displaystyle n}$  — количество участников группы, ${\displaystyle 2^{[n]}}$  — множество, состоящее из всех возможных подмножеств участников группы. Пусть ${\displaystyle \Gamma }$  — множество, состоящее из подмножеств участников, которым разрешено восстановление секрета (квалифицированные множества участников), ${\displaystyle \Delta }$  — множество, состоящее из подмножеств участников, которые не могут восстановить секрет. Структура доступа обозначается как (${\displaystyle \Gamma }$ ,${\displaystyle \Delta }$ ).

Структура доступа называется монотонной, если все надмножества квалифицированных подмножеств также входят в ${\displaystyle \Gamma }$ , то есть ${\displaystyle A\in \Gamma ,A\subseteq B\subseteq P\Rightarrow B\in \Gamma }$ 

Предположим (${\displaystyle \Gamma }$ ,${\displaystyle \Delta }$ ) — структура доступа на ${\displaystyle A}$  . ${\displaystyle B\in \Gamma }$ называют минимальным квалифицированным подмножеством, если ${\displaystyle C\not \in \Gamma }$  всегда, когда ${\displaystyle C\subset B}$ . Множество минимальных квалифицированных подмножеств ${\displaystyle \Gamma }$  обозначается как ${\displaystyle \Gamma _{min}}$  и называется базисом ${\displaystyle \Gamma }$ . Минимальное квалифицированное подмножество однозначно задает структуру доступа.

Схема Бенало-Лейхтера

Пусть задана монотонная структура доступа ${\displaystyle A}$  и ${\displaystyle \Gamma _{min}}$ — множество минимальных квалифицированных подмножеств, соответствующее ${\displaystyle A}$ . Пусть ${\displaystyle \Gamma _{min}=\{A_{1},A_{2},...,A_{m}\}}$  . Для каждого ${\displaystyle A_{i}}$  вычисляются доли секрета для участников этого подмножества ${\displaystyle s_{i1},s_{i2},...,s_{i|A|}}$  с помощью любой ${\displaystyle (|A_{i}|,|A_{i}|)}$  — пороговой схемы разделения секрета.

Доля секрета ${\displaystyle s_{i,j}}$  передается соответствующему участнику. В результате каждый участник получает набор долей секрета. Восстановление секрета происходит по выбранной (n, n)-пороговой схеме.^[3]

Пример:

${\displaystyle \Gamma _{min}=\{\{1,2,3\},\{1,4\},\{2,4\},\{3,4\}\}}$ 

${\displaystyle A_{1}=\{1,2,3\}\ \ \ \ \ A_{2}=\{1,4\}\ \ \ \ \ A_{3}=\{2,4\}\ \ \ \ \ A_{4}=\{3,4\}}$ 

Здесь, например, ${\displaystyle P_{4}}$  является вторым в ${\displaystyle A_{2},A_{3},A_{4}}$ , поэтому он получает доли секрета ${\displaystyle s_{2,2},s_{3,2},s_{4,2}}$ 

Аналогично для остальных участников

${\displaystyle P_{1}\leftarrow s_{1,1},s_{2,1}\ \ P_{2}\leftarrow s_{1,2},s_{3,1}\ \ P_{3}\leftarrow s_{1,3},s_{4,1}\ \ }$ 

Недостаток данной схемы — возрастающий объём долей секрета для каждого участника при увеличении ${\displaystyle \Gamma _{min}}$ ^[5][6].

Схема Ито-Саито-Нишизеки

Ито, Саито, Нишизеки представили так называемую технику кумулятивного массива для монотонной структуры доступа.^[2]

Пусть ${\displaystyle A}$  — монотонная структура доступа размером ${\displaystyle n}$  и пусть ${\displaystyle A_{1},...,A_{m}}$  — соответствующие ей максимальные неквалифицированные подмножества участников.

Кумулятивный массив структуры доступа ${\displaystyle A}$  есть матрица размеров ${\displaystyle n\times m}$  ${\displaystyle (C_{i,j}^{A})_{1\leq i\leq n,1\leq j\leq m}}$ , где ${\displaystyle C_{i,j}^{A}={\begin{cases}0,&{\text{если }}i\in A_{j}\\1,&{\text{если }}i\not \in A_{j}\end{cases}}}$  и обозначается как ${\displaystyle C^{A}}$ . То есть столбцы матрицы отвечают неквалифицированным подмножествам, а значение по строкам внутри столбца будет единицей, если элемент не входит в данное подмножество.

В данной схеме можно использовать любую ${\displaystyle (m,m)}$  — пороговую схему разделения секрета с секретом ${\displaystyle S}$  и соответствующими долями ${\displaystyle s_{1},...,s_{m}}$ 

Доли ${\displaystyle I_{1},...,I_{n}}$  соответствующие секрету ${\displaystyle S}$  будут определятся как множество ${\displaystyle s_{j}}$ : ${\displaystyle I_{i}=\{s_{j}|C_{i,j}^{A}=1\}}$ 

Восстановление секрета происходит по выбранной ${\displaystyle (m,m)}$  — пороговой схеме.

Сложность реализации данной схемы, достигнутая в 2016 году составляет ${\displaystyle O(n)}$ .^[7]

Пример:

Пусть ${\displaystyle n=4}$ , ${\displaystyle \Gamma =\{\{1,2\},\{3,4\},\{1,2,3\},\{1,2,4\},\{1,3,4\},\{2,3,4\}\}}$ .

Соответствующее ${\displaystyle A}$  множество минимальных квалифицированных подмножеств ${\displaystyle \Gamma _{min}=\{\{1,2\},\{3,4\}\}}$ 

В этом случае ${\displaystyle \Delta _{max}=\{\{1,3\},\{1,4\},\{2,3\},\{2,4\}\}}$  и ${\displaystyle m=4}$ .

Кумулятивный массив структуры доступа ${\displaystyle A}$  имеет вид ${\displaystyle C^{A}={\begin{pmatrix}0&0&1&1\\1&1&0&0\\0&1&0&1\\1&0&1&0\end{pmatrix}}}$ 

Доли секрета участников равны ${\displaystyle I_{1}=\{s_{3},s_{4}\};\ \ I_{2}=\{s_{1},s_{2}\};\ \ I_{3}=\{s_{2},s_{4}\};\ \ I_{4}=\{s_{1},s_{3}\}}$ 

Восстановление секрета аналогично восстановлению секрета в ${\displaystyle (4,4)}$  — пороговой схеме Шамира.

Линейная схема разделения секрета Брикелла

Для структуры доступа ${\displaystyle A}$  и набора участников ${\displaystyle P=\{P_{1},...,P_{n}\}}$  составляется матрица ${\displaystyle M}$  размера ${\displaystyle n\times m}$  , в которой строка ${\displaystyle M[i]}$  длины ${\displaystyle m}$  ассоциируется с участником ${\displaystyle i}$ . Для подмножества участников ${\displaystyle x\subset \Gamma }$ , которому соответствует набор строк матрицы ${\displaystyle M}$  — ${\displaystyle M_{x}}$ , должно выполняться условие, что вектор ${\displaystyle (1,0,...,0)}$  принадлежит линейной оболочке, натянутой на ${\displaystyle M_{x}}$ .

Дилер выбирает вектор ${\displaystyle r=(r_{0},...,r_{m})}$ , где разделяемый секрет ${\displaystyle s=r_{0}}$ . Доля секрета участника ${\displaystyle i}$ : ${\displaystyle s_{i}=M[i]r}$ 

Восстановление секрета.

Выбирается вектор ${\displaystyle \alpha }$ , длины ${\displaystyle m}$ , ${\displaystyle \alpha _{x}}$  — вектор, составленный из координат ${\displaystyle \alpha }$ , соответствующих набору участников ${\displaystyle x\subset \Gamma }$ .

Для каждого ${\displaystyle x\subset \Gamma }$  должно выполняться условие: ${\displaystyle \alpha _{x}M_{x}=(1,0,....,0)}$ . Тогда секрет можно восстановить по формуле:

${\displaystyle \sum _{i\in x}s_{i}\alpha _{i}=\sum _{i\in x}(M[i]r)\alpha _{i}=(\sum _{i\in x}\alpha _{i}M[i])r=(1,0,...,0)r=s}$ ^[4]

Пример:

Множество минимальных квалифицированных подмножество ${\displaystyle \Gamma =\{\{1,2,3\},\{1,4\}\}}$ .

Подходящая матрица:

${\displaystyle {\begin{pmatrix}0&1&0\\1&0&1\\0&1&-1\\1&1&0\end{pmatrix}}}$ 

${\displaystyle M}$  удовлетворяет требованию схемы:

Для ${\displaystyle \{1,2,3\}}$ : ${\displaystyle (1,0,0)=-(0,1,0)+(1,0,1)+(0,1,-1)}$ 

Для ${\displaystyle \{1,4\}}$ : ${\displaystyle (1,0,0)=-(0,1,0)+(1,1,0)}$ 

Доли секрета каждого участника:

${\displaystyle P_{1}\leftarrow r_{1};\qquad P_{2}\leftarrow s+r_{2};\qquad P_{3}\leftarrow r_{1}-r_{2};\qquad P_{4}\leftarrow s+r_{1}\qquad }$ 

Восстановление секрета:

Для восстановления секрета выбирается ${\displaystyle \alpha =(-1,1,1,1)}$ 

Тогда для ${\displaystyle x=\{1,2,3\}}$ : ${\displaystyle \alpha _{x}=(-1,1,1)}$ 

${\displaystyle (-1,1,1){\begin{pmatrix}0&1&0\\1&0&1\\0&1&-1\end{pmatrix}}=(1,0,0)}$ 

А для ${\displaystyle x=\{1,4\}}$ : ${\displaystyle \alpha _{x}=(-1,1)}$ 

${\displaystyle (-1,1){\begin{pmatrix}0&1&0\\1&1&0\end{pmatrix}}=(1,0,0)}$ 

Применение

Данные схемы применяются в протоколах условного раскрытия секрета (англ. conditional disclosure of secrets, CDS)^[8], безопасных распределенных вычислениях^[9][10][11], задачах распределения ключей^[12] и схемах аутентификации нескольких приемников^[13].

Примечания

1. Shamir A. How to share a secret // Commun. ACM — NYC, USA. — 1979. — Т. 22. — С. 612—613.
2. Ito M., Saito A., Nishizeki T. Secret sharing scheme realizing general access structure // Electronics and Communications in Japan (Part III: Fundamental Electronic Science). — 1987. Архивировано 23 апреля 2021 года.
3. Benaloh J., Leichter J. Generalized Secret Sharing and Monotone Functions // Advances in Cryptology - CRYPTO' 88. — 1988. — С. 27—35.
4. Brickell E. F. Some ideal secret sharing schemes // Journal of Combin. Math. and Commbin. Comput. no. 9. — 1989. — С. 105—113.
5. Sreekumar A., Babusundar S. Secret Sharing Schemes using Visual Cryptography // Cochin University of Science and Technology. — 2009.
6. Kouya TOCHIKUBO. A Construction Method of Secret Sharing Schemes Based on Authorized Subsets // International Symposium on Information Theory and its Applications. — 2008.
7. Lein Harna, Hsu Chingfang, Zhang Mingwua, He Tingtingc, Zhang Maoyuanc. Realizing secret sharing with general access structure // Information Sciences. — 2016. — № 367–368. — С. 209—220.
8. Gertner, Y., Ishai, Y., Kushilevitz, E., Malkin, T. Protecting data privacy in private information retrieval schemes // Journal of Computer and System Sciences. — 2000. — № 60(3). — С. 592–629.
9. Ben-Or, M., Goldwasser, S., Wigderson, A. Completeness theorems for noncryptographic fault-tolerant distributed computation. In: Proceedings of the 20th annual ACM symposium on Theory of computing // ACM Press. — 1998. — С. 1–10.
10. Cramer, R., Damg˚ard, I., Maurer, U. General secure multi-party computation from any linear secret-sharing scheme. // Preneel, B. (ed.) EUROCRYPT 2000. — Т. 1807. — С. 316–334.
11. Cramer, R., Damg˚ard, I., Nielsen, J.B. Secure Multiparty Computation and Secret Sharing: An Information Theoretic Approach.. (недоступная ссылка)
12. Lee, C.-Y., Wang, Z.-H., Harn, L., Chang, C.-C. Secure key transfer protocol based on secret sharing for group communications // IEICE Trans. Inf. and Syst.. — 2011. — С. 2069–2076.
13. Zhang, J., Li, X., Fu, F.-W. Multi-receiver authentication scheme for multiple messages based on linear codes // Huang, X., Zhou, J. (eds.) ISPEC 2014. LNCS. — 2014. — Т. 8434. — С. 287–301.