Cómputo seguro de múltiples partes Parte 7: Criptosistema de umbral

1. Definición

El criptosistema de umbral consta de tres partes: algoritmo de generación de claves distribuidas, algoritmo de cifrado y algoritmo de descifrado de umbral, que se definen de la siguiente manera:

(1) Generación de clave distribuida : esta es una clave pública $y$ protocolo, después de que se ejecuta el protocolo, cada participante obtendrá una clave privada$Un\; fragmento\; de\; x$ , la clave pública yi y_icorrespondiente a ese fragmento$y_{}$, y con la clave privada xxLa clave pública yycorrespondiente a$x$$y$。

(2) Algoritmo de cifrado : la entrada de este algoritmo es la clave pública $y$ y el mensaje mma cifrar$m$ , cuya salida es la clave pública$y$ bajo texto sin formatommEl texto cifradocc$correspondiente\; a\; m$$do$ .

(3) Descifrado de umbral : Este es un $t$个参与者${PAG}_{i_1^{}},{PAG}_{i_2^{}},\dots ,{PAG}_{i_{}}$El protocolo en ejecución, para un texto cifrado de entrada dado $c$ ,$t$ claves de verificación pública$h_{i_1^{}},h_{i_2^{}},\dots ,h_{i_{}}$y $t$个碎片$X_{i_1^{}}{X}_{i_2^{}},\dots ,X_{i_{}}$, el texto cifrado cc se generará después de que se ejecute el protocolo$c$ y el texto llano correspondiente$m$ _

2. Cifrado ElGamal distribuido

Parámetros del sistema : $pyq$ son números primos grandes, y$q/p-1$ , satisfaciendo$Z_{}$El problema del logaritmo discreto es intratable, $g$ es$Z_{pag}^{}$elemento primitivo, $M$ es un mensaje de texto sin formato.

$n$ participantes${PAG}_{},{PAG}_{},\dots ,{PAG}_{}$Selecciona un número aleatorio $X_{}\in Z_{},i=1,2,\dots ,n$计算$y_{}={gramo}^{X_{}}modificaciónp$ y publicarlo.

Ejemplo : $$X=\sum _{yo=1}{X}_{}modificaciónpag$$ :y = ∏ i = 1 nyi mod p = g ∑ i = 1 nxi mod p = gx mod py=\prod_{i=1}^{n} y_{i} \bmod p=g^{ \$$y=\prod _{yo=1}{y}_{}modificaciónpag={gramo}^{{\sum }_{yo=1}^{}{X}_{}}modificaciónpag={gramo}^{X}modificaciónpag$$

Cifrado : seleccione un número aleatorio $r\in Z_{}$, La función $$mi\left(m\right)=(un,segundo)=({gramo}^{r}modificaciónpag,y^{r}Mmodificaciónp)$$ Descifrado:$n$ participantes primero calculan$a^{X_{}}modificaciónp$ y anunciado, y luego calculan conjuntamente${\prod }_{yo=1}^{}{a}^{X^i}$ , resolviendo así$METRO$ :$$METRO=\frac{}{{\prod }_{yo=1}^{}{a}^{X^i}}modificaciónpag=\frac{}{a^{{\sum }_{yo=1}^{}{X}^i}}modificaciónpag=\frac{}{a^X}modificaciónpag$$

promover

Sea el mensaje $METRO={METRO}_{}{METRO}_{}\cdots {METRO}_{}$, $n$ participantes${PAG}_{},{PAG}_{},\dots ,{PAG}_{}$Respectivamente para los mensajes ${METRO}_{},{METRO}_{},\dots ,{METRO}_{}$encriptación

Parámetros del sistema : $pyq$ son números primos grandes, y$q/p-1$ , satisfaciendo$Z_{}$El problema del logaritmo discreto es intratable, $g$ es$Z_{pag}^{}$elemento primitivo, $M$ es un mensaje de texto sin formato.

Utilice el cifrado ElGamal distribuido para generar pares de claves privadas/públicas: $n$ participantes eligen un número aleatorio$X_{}\in Z_{},i=1,2,\dots ,n$计算$y_{}={gramo}^{X_{}}modificaciónp$ y publicarlo.

Ejemplo : $$X=\sum _{yo=1}{X}_{}modificaciónpag$$ :y = ∏ i = 1 nyi mod p = g ∑ i = 1 nxi mod p = gx mod py=\prod_{i=1}^{n} y_{i} \bmod p=g^{ \$$y=\prod _{yo=1}{y}_{}modificaciónpag={gramo}^{{\sum }_{yo=1}^{}{X}_{}}modificaciónpag={gramo}^{X}modificaciónpag$$

cifrado : $n$ participantes seleccionan números aleatorios$r_{},r_{},\dots ,r_{}\in Z_{}$, para el mensaje ${METRO}_{}$加密$$mi\left(M_{}\right)=\left({un}_{},b_{}\right)=({gramo}^{r_{}}modificaciónpag,y^{r_{}}{METRO}_{}modificaciónpag)$$

Calcular $$mi\left(m\right)=mi\left(M_{}{METRO}_{}\cdots {METRO}_{}\right)=mi\left(m_{}\right)mi\left(m_{}\right)\cdots mi\left(m_{}\right)=(un,\beta )$$其中，$$a=\prod _{yo=1}{a}_{}={gramo}^{{\sum }_{yo=1}^{}{r}_{}}modificaciónpag,b=\prod _{yo=1}{b}_{}=y^{{\sum }_{yo=1}^{}{r}_{}}METROmodificaciónpag$$

Descifrado : $n$ participantes primero calculan$a^{X_{}}modificaciónp$ y anunciado, para calcular conjuntamente${\prod }_{yo=1}^{}{a}^{X_{}}$, resolviendo así $METRO$ :$$METRO=\frac{}{{\prod }_{yo=1}^{}{a}^{X_{}}}modificaciónpag\frac{}{a^{{\sum }_{yo=1}^{}{X}_{}}}modificaciónpag=\frac{}{a^X}modificaciónpag$$

3. Umbral de cifrado ElGamal con centro de confianza

(1) Generación de claves distribuidas

El centro de confianza genera una clave $x$ , la clave pública correspondiente es$y={gramo}^{X}modificaciónp$ , usando$(t,n)$ El esquema de umbral comparte la clave privada xxentre los participantes del protocolo$x$ : 选择随机多项式$$f\left(tu\right)=a_{t-}{tu}^{t-1}+\dots +a_{}{tu}^2+a_{}tu+a_{}\in GF\left(q\right)\left[u\right]$$${PAG}_{}$得到$X_{}=F\left({tu}_{}\right),i=1,2,\dots ,norte$ _

(2) cifrado

Seleccione un número aleatorio $k\in Z_{}$Solución: $$mi\left(m\right)=(un,segundo)=({gramo}^{k}modificaciónpag,y^{k}Mmodificaciónpag)$$

(3) Descifrado

${PAG}_{}$计算$a_{}=a^{X_{}}$y publicarlo, y al mismo tiempo publicar una prueba de conocimiento cero para demostrar la exactitud de su cálculo; cada participante del protocolo elige tt
de los resultados de cálculo publicados$t$个$a_{i_{}},a_{i_{}},\dots ,a_{i_{}}$, 则$$METRO=\frac{}{a^X}=\frac{}{{\prod }_{s=1}^{}{a}_{i_{}}^{{yo}_{i_{}}}}$$${yo}_{i_{}}$es el coeficiente de valor de Lagrange, que satisface $X={yo}_{i_{}}{X}_{i_{}}+\cdots +{yo}_{i_{}}{X}_{i_{}}$.

Hay un umbral de confianza El cifrado ElGamal no puede considerarse como un cifrado de umbral en sentido estricto. Existe una confiabilidad de terceros. Los usuarios que participan en el intercambio de claves deben confiar plenamente en el distribuidor y creer que no realizará operaciones de descifrado en datos cifrados. .

4. Umbral de cifrado ElGamal sin centro de confianza

(1) Generación de claves distribuidas

Cada participante ${PAG}_{}$Elija un número aleatorio $X_{}$Como clave privada, calcule $y_{}={gramo}^{X_{}}modificaciónp$ , y anunciarlo;
cada participante calcula la clave pública después de recibir el valor de transmisión:$$y=\prod _{yo=1}{y}_{}modificaciónpag={gramo}^{{\sum }_{yo=1}^{}{X}_{}}modificaciónpag={gramo}^{X}modificaciónp$$ para cada participante${PAG}_{}$Implementar el esquema VSS de Feldman como distribuidor secreto, en ${PAG}_{},{PAG}_{},\dots ,{PAG}_{}$compartir secretos entre $X_{}$: seleccionar $t-1$次随机多项式,$$F_{}\left(tu\right)=a_{yo,t-}{tu}^{t-1}+\dots +a_{yo}{tu}^2+a_{yo}tu+a_{yo}\in GF\left(q\right)\left[u\right]$$其中$X_{}=a_y=F_{}\left(0\right)$

${PAG}_{}$计算$X_{}=F_{}\left({tu}_{}\right)$ , enviado a${PAG}_{},j=1,2\dots ,norte$ ; ${PAG}_{}$Recibir valores de otros participantes $X_{}=F_{}\left({tu}_{}\right),i=1,2\dots ,n$ , 计算$s_{}={\sum }_{yo=1}^{}{X}_{}={\sum }_{yo=1}^{}{F}_{}\left({tu}_{}\right)$ como la clave privada xxque finalmente compartisteEl fragmento secreto de$x$$$y_{}={gramo}^{s_{}}modificaciónpag={gramo}^{{\sum }_{yo=1}^{}{X}_{}}modificaciónp$$ (2) encriptación

Seleccione un número aleatorio $k\in Z_{}$,Definición $$mi\left(m\right)=(un,segundo)=({gramo}^{k}modificaciónpag,y^{k}Mmodificaciónp)$$ (3) Descifrado de umbral

Cada participante ${PAG}_{}$计算$a_{}=a^{s_{}}$y publicar Al mismo tiempo, publique una prueba de conocimiento cero para demostrar la exactitud de su cálculo; cada participante del protocolo elige tt
de los resultados de cálculo publicados$t$个$a_{i_{}},a_{i_{}},\dots ,a_{i_{}}$, 则$$METRO=\frac{}{a^X}=\frac{}{{\prod }_{s=1}^{}{a}_{i_{}}^{{yo}_{i_{}}}}$$${yo}_{i_{}}$es el coeficiente de valor de Lagrange, que satisface $X={yo}_{i_{}}{s}_{i_{}}+\cdots +{yo}_{i_{}}{s}_{i_{}}$.