[发明专利]一种高效门限可验证多秘密分享方法

说明书

本发明公开了一种高效门限可验证多秘密分享方法，包括秘密分发算法和秘密重建算法，在在所述秘密分发算法中，秘密分发者每个参与者P确定秘密份额x，当每个参与者P接收到自己的秘密份额x时，验证秘密份额合法性；在所述秘密重建算法中，重建者R基于中国余数定理通过取余运算恢复出对应的秘密。与现有技术相比，本发明1)在分享秘密数量一定的情况下，使多项式阶数减少m倍，从而大幅度降低秘密恢复的计算复杂度，可将分享密钥个数提升m倍，从而大大提高分享效率；2)计算开销较少；3)减少了份额重发的通信代价。

技术领域

本发明涉及密码学领域，特别涉及一种可验证的多秘密分享方法。

背景技术

在实际生活中，将敏感或重要信息(如银行密码或导弹发射密码)交由一个人保管是十分危险的，保管者手中的信息很容易受到攻击、篡改和丢失，因此使用分布式秘密存储方法是十分重要的。秘密分享技术可以实现将数据分散存储，这对于提高信息存储的安全性有很大意义，其在当今的加密领域有很重要的应用。

单一秘密的分享方法主要有Shamir、Blakley和Asmuth分别提出的阈值秘密分享方法。其设计思想是：秘密分发者将需要分享的秘密s分成n个份额，交给不同的n位参与者保管，需要t个或更多的参与者公开他们的份额时方可恢复秘密，而任意少于t个参与者公开其份额时不能得到关于秘密的任何信息。Shamir的方法是基于多项式及拉格朗日插值算法建立的，依靠t组点确定t-1阶多项式的性质对秘密进行分享和重构。Blakley的方法则是基于超几何多维空间点的概念建立的，将秘密s看作是t维空间的一个点，每个份额为包含该点的(t-1)维超平面的一个方程，任意t个超平面的交点刚好唯一确定这个秘密s。Asmuth等人的方法基于中国余数定理，将秘密s分解为余数向量来表示，并通过CRT来还原秘密。以上方法中均存在一些问题，比如此类方法中参与者无法验证自己获得的份额是否合法，容易导致分发者对参与者的欺骗。再比如此类方法都是一次性方法，每次方法只能分享一个秘密，一旦秘密被恢复，所有参与者的份额视为暴露，需要重新执行一次方法，为各个参与者分发新的份额。再比如，此类方法单次只能分享一个秘密，想要分享多个秘密需要重复执行方法，效率极低。

为了能在一次方法中分享多个秘密，学者提出了多秘密分享方法。每次可以分享多个秘密，但使用该方法分享的秘密必须按照一定顺序来恢复。更高效的多级分享方法是在公开参数数量不变的前提下分享更多数量的秘密。Harn基于拉格朗日插值多项式提出了可验证的多秘密分享方法，参与者可以验证自己的份额是否合法。但在该方法中，参与者的验证过程是需要交互的，且涉及到模指数运算，计算复杂度较高，故该方法的实用性较差。

目前，如何实现一种能够在兼顾可验证性、复用性的同时，保证高效性的多秘密分享方法是亟待解决的技术问题。

发明内容

针对上述问题，本发明提出了一种高效的门限可验证多秘密分享方法，实现了具有可验证性的高效的多秘密分享方法。

本发明由以下技术方案实现：

在所述秘密分发算法中，包括以下流程；

步骤1.1、秘密分发者D确定一个安全质数p，大质数q，从而确定一个p阶有限域GF(q)，生成元记为g；秘密分发者D为每个参与者P_i生成一个秘密份额x_i，x_i∈{x₁…,…,x_n}，并将秘密份额x_i发给对应的参与者P_i；最后，秘密分发者D确定一组互质的模值基向量

步骤1.2、计算t-1阶多项式H(x)的系数a_i，表达式如下：

其中，CRT为中国余数定理算法，为模值基向量，q₁,q₂,…,q_m两两互质，为第i组秘密向量；