基于SM2与RSA签密的秘密共享方案

０引言对于某些秘密信息诸如国家机密档案、公司机密文件等重要信息，都需要将秘密拆分由多人掌管，并且需要多人同时在场才能恢复秘密信息，而秘密分享技术已经为此类问题提供了解决方案。秘密分享是现代密码学的一个重要研究方向，1979年提出，主旨是将秘密信息分割成若干分享份，将其发送给相应参与者，仅当有足够的参与者在场时，才能重构出秘密数据。此后，很多学者在秘密分享方案的拓展中做了大量工作。于1983年提出了一种新的基于中国剩余定理的秘密分享方案，相较于Shamir的分享方案更加高效，运算也更加简洁。随后出现了多秘密分享方案，可以直接分割多个秘密，增加了秘密共享的容量与效率。秘密分享技术在不断创新，拓展研究新的发展方向。2004年，文献[7]有将秘密分享与博弈论相结合，提出了理性的秘密分享方案，进而提供了一个新的研究热点。提出了可以动态改变参与秘密重构人数的秘密共享方案，可以根据秘密的重要性更改恢复门限。但是，传统的秘密分享方案存在着不可忽略的安全缺陷。例如，秘密分享份属于机密信息，为了保证安全，需要选取安全信道进行传输，如此增加了信息传输的成本。再如，存在恶意用户使用假的分享份参与秘密重构，致使合法用户获得错误的重构信息。对于上述问题，已有学者在秘密分享与验证技术的结合上进行研究，并取得了相关成果。RabinT提出了一个可验证秘密分享方案，但该方案需要所有参与成员之间都具有秘密通信的能力，提高了通信成本。提出强力可验证分享方案，保证了所有的分享份始终不变，防止参与者收集分享份重新定义秘密。本文方案结合中国剩余定理（ChineseRemainderTheorem，CRT）与椭圆曲线问题构造可验证的秘密共享方案，其中中国剩余定理提供了拆分秘密的基础工具，而SM2与RSA签密体制用来构建签名与加密，为分发者与用户创建公私钥对，提供安全的信息传输方案，防止攻击者窃取分享文件。该方案允许用户在安全环境差的情况下进行传输，节省了信息传输的成本，而且也保证只有合法用户能够获得分享份，且可以验证分享份的正确性与来源。１基础知识1.1（ｋ，ｎ）门限方案的引入1.1.1定义设是一个由ｎ个参与人组成的集合，Ｐ的子集构成集合。如果恰好可以重构出参与者集合组成的秘密ｃ，则可称为接入结构，Ｐ的授权子集就是中的元素。接入结构是单调性质的，即若（ｋ，ｎ）门限方案是接入结构上的秘密共享方案，通用访问结构的秘密共享或广义秘密共享也是一般接入结构的秘密共享，具有很大的实用性。1.1.2秘密共享方案的数学模型设秘密发放者为A，个参与人记为集合是授权子集，共享秘密记为ｃ，秘密可分为集合。秘密分发算法：A通过某种算法计算出，后由安全信道把秘密份额分发给不同的参与人。秘密重构算法：授权子集中的参与人将自己有的秘密份组合，可经某种算法重构原始秘密。在这种情况下，一个秘密共享方案称作一个（ｋ，ｎ）门限秘密共享方案。1.2中国剩余定理中国剩余定理是数论中最有用的工具之一。如果已知某个数是关于一些两两互素的数的同类，就可以重构这个数。它的这个特性为秘密分享方案提供了基础理论支持。设是两两互素的正整数，有，则方程组：对模Ｍ有唯一解。其中满足条件。本文采用Asmuth-Bloom提出的基于CRT的秘密分享方案作为秘密分发步骤的解决办法，计算上会比基于拉格朗日插值法的shamir分享方案速度更快，且也具备门限功能。1.3RSA加密算法（1）随机选择两个不相等的质数ｐ和ｑ；（2）计算ｐ和ｑ的乘积ｎ（将ｎ转换为二进制形式，也就是密钥的长度，实际应用中一般选择1024位、2048位）；（3）计算出ｎ的欧拉函数；（4）随机选择一个整数ｅ，其中，且互质（实际应用中ｅ一般选为65537）；（5）计算ｅ对于的模反元素ｄ；（6）将ｎ和ｅ封装成公钥，ｎ和ｄ封装成私钥。假设发送方向接收方发送信息Ｃ，Ｃ未加密，称之为明文。发送方从接收方获得的公钥为，加密公式为：其中Ｃ，Ｃ必须是整数，必须比ｎ小。Ｃ、ｅ、ｎ已知，利用公式Ｃ计算出即加密后的信息，称之为密文。1.4SM2数字签名方案SM2算法是公钥密码，属于非对称算法体系，是椭圆曲线加密（EllipticCurveEncryption，ECC）算法的一种。数字签名及流程如下：设待签名的文件为Ｃ，为用户A的可辩别标识、部分椭圆曲线的系统参数以及用户A公钥的杂凑值，ｈ是余因子。要获得秘密文件Ｃ的数字签名（ｒ，ｓ），分发者A要实现以下运算：（1）；（2）计算，将e的数据类型转换为整型；（3）随机数发生器要产生随机数；（4）需计算椭圆曲线上的点，将的数据类型转换为整数；（5）计算，若ｒ＝０或ｒ＋ｋ＝０，则返回（3）；（6）计算，若ｓ＝０，则返回（3）；（7）将ｒ、ｓ的数据类型转换为字节串，Ｃ消息的签名为（ｒ，ｓ）。1.5SM2与RSA签密方案在密码体制中，加密用来保证信息数据的机密性，数字签名是接收者用来确保消息的认证、完整性和不可否认性。如果分享者想同时获得这些性质，传统的方法是先对消息进行加密再进行签名运算，两者独立存在并分别被研究。这种方法在通信成本和计算量上是两者的代价之和，效率不高。1997年，提出了一种新的密码原语，能够同时实现以上的安全性质，这就是数字签密（DigitalSigncryption）。与传统的“先签名后加密”相比，它的优点包括：（1）简化了需要同时达到保密和认证要求的密码协议的设计；（2）签密算法降低了通信成本和计算量，效率高；（3）签密可以并行计算一些复杂的操作；（4）签密方案的水平设计可以更安全。所以，本方案采用SM2与RSA结合对分享份进行签密，提高了先签名后加密的效率。２可验证分享方案2.1方案描述为了将原始秘密拆分并提供门限重构功能，选用基于中国剩余定理的门限分享方案，再使用SM2与RSA签密技术，保证分享份的安全性与正确性。接收者可以通过收集验证过的分享份进行秘密重构，获取重构信息。假设发送方是A，接收方是集合，原始秘密文件为Ｃ，任意个接收者拥有份分享，通过个接收者中任意一位解密和验证后，才能还原出秘密信息Ｃ。本方案流程见图1和图2。图1秘密分享流程图2重构秘密流程原始秘密Ｃ经拆分生成ｎ份分享文件，分享者A再依次将文件进行签密生成签密文件，然后发送给接收者。实际应用中，为了保护数据可以将数据加密。可以利用秘密重构的方案，即将原始文件Ｃ分成ｎ份，满足ｋ任意或多于ｋ份可以恢复出Ｃ，任意ｋ－１或少于ｋ－１份信息不能准确计算出Ｃ。这种方式不但对分享份进行了加密，而且大大增加了原始文件的安全性。接收者们收集任意ｋ份或多于ｋ份的分享份，使用中国剩余定理可还原出初始文件。签密文件可以利用自己的私钥进行解签密，即可获得分享份的实际值。任意少于ｋ份分享，将无法还原出正确的重构文件。方案具体涉及6个阶段，分别为系统初始化阶段、分享份生成阶段、密钥生成阶段、秘密分发阶段、分享份的解密与验证以及分享份重构阶段。2.2方案步骤2.2.1签密算法初始化设分发者A选取SM2签名所需的一条满足安全要求的椭圆曲线以及RSA加密所需的两个不同的大素数ｐ和ｑ。2.2.2分享份生成阶段分发者A选取和，Ｃ为秘密。为增加秘密Ｃ的复杂性，要求，严格递增，且满足：分享份的生成：随机选取整数ｔ，满足，计算，对Ｚ与做模运算，即：得到，将作为分享份。2.2.3密钥生成及签密方案（1）SM2数字签名方案及密钥生成。设是安全参数，椭圆曲线的的方程的两个元素；上的基点，其中和是中的两个元素；Ｇ点的阶是。发送者的公钥，私钥。此外，公开参数。（2）SA加密及密钥生成算法。安全参数，定义大素数ｐ、ｑ，且，。随机选取ｅ，其中，且，计算，公钥，私钥是由密码杂凑函数的密码函数；表示参数的长度，单位是位；公开参数。2.2.4签密算法发送者A获得接收者的公钥证书后，对分享份进行ｎ以下计算（这里是份分享中的任意一个分享的签密过程）。（1）生成随机数；（2）计算；（3）计算和；（4）计算椭圆曲线上的点；（5）计算和，，则返回（1），输出密文。2.3分享份的解密与重构2.3.1解签密算法接收者C获得发送者A的公钥以及签密的文件后需进行计算。（1）根据接收者的私钥ｄ计算：（2）计算得出分享份；（3）计算，并解出：（4）计算。（5）验证是否等于，若相等则可得到分享份，若不相等则解签密失败。2.3.2秘密重构阶段位用户可以利用自己的分享份额，合作完成秘密重构。在进行重构计算前，要求各用户使用分发者的公钥进行验证，验证通过才可参与重构计算，否则拒绝参与重构。由解签密算法计算出来的分享份，可通过收集到的任意k份分享，进行以下的重构操作。可根据中国剩余定理由k份分享进行计算：得到重组秘密C。其中，满足条件：３方案性能分析3.1方案的正确性验证椭圆曲线上的点是否与公私钥对应，需计算：又因为：则：故得证。3.2方案的机密性在随机预言模型下，如果存在一个IND-HC-CCA2敌方Ｆ能够在有限的时间ｔ内以不可忽略的优势赢得游戏，则说明有区分者Ｓ，可以在的时间内，可以有的优势攻破大整数分解问题，其中是幂指数时间。证明：假如挑战者为Ｓ，攻击者是Ｆ。（1）初始阶段。挑战者生成分发者A的公私钥对，生成参与者的公私钥对，ｓ，将发送给攻击者，并将保密。（2）阶段1。Ｆ执行以下多项式有界次适应性询问和最先进hash查询，应答交付Ｓ。询问：如果是第次查询，随机选取，把保存在列表中，返回。询问：随机选取，把保存在列表中，返回。签密查询：遍历列表查询，使得、和等式满足，且满足和则C为签密的结果输出，否则输出错误。挑战阶段：何时结束阶段1的询问进入挑战阶段取决于Ｆ。先由Ｆ给挑战者Ｓ发送个一样长的明文，随后Ｓ任意选择一个数据，计算在分发者的私钥和接收者的公钥，进而计算签密密文，并将传给Ｆ。阶段2：Ｆ可运行阶段1中的所有步骤，但不能执行接收者的私钥查询和解签密查询。猜测阶段：Ｆ产生一个比特，若，则Ｆ取得了胜利。Ｓ需在的列表中找到它满足的这些计算：且满足：假如这些式子都满足，则证明Ｆ可以得到一个关于椭圆曲线的离散对数问题的实际解。Ｆ的优势为：其中表示的概率。在询问中有唯一一个与之相对，所以拒绝正确密文的概率为，因此。假如是不能略去，则也是不能略去的。但是，这和大整数的难解问题是矛盾的。因此，在大整数问题的难解性下，以不可忽略的优势攻击此签密方案的IND-SC-CCA2敌手是不存在的。由此证明此签密方案是IND-SC-CCA2安全的。3.3方案的防伪造性证明：假如有伪造者Ｆ有不能略去的概率去攻击SM2与RSA签密方案的EUF-SC-CMA安全，会有挑战者Ｆ通过来攻击SM2的EUF-CMA安全性，伪造者与挑战者Ｓ有以下这些互动。初始阶段。挑战者输出分发者的公私钥对和接收者的公私钥对，将传给，并把保密。攻击阶段。能够运行签密查询，合理的应答则Ｓ由完成。查询中，生成一个接收者的公钥及消息，Ｓ查询消息得到。随机选取，计算：返回。伪造阶段。Ｆ提供接收的一个合法密文，Ｓ进行如下操作得到一个合法的签名：其中就是对签名的合法伪造，且满足：可见，Ｆ造出密文的优势不能略去，Ｓ伪造合法的签名也不能略去。但是，因为椭圆曲线的离散对数问题的难解条件，SM2签名是EUF-CMA安全的，所以伪造者Ｆ是不存在的。此方案是EUF-SC-CMA安全的。在秘密的恢复阶段，攻击者想要使用伪造的分享份参与信息重构，以破坏重构信息的正确性，需要先通过重构信息前的验证，否则拒绝参与秘密重构。3.4方案的性能分析从计算代价来看。对比先加密而后签名的方案，如采用SM2签名算法对消息摘要进行签名，用SM2公钥密码体制对加密明文的对称密钥进行加密，这里共用到了6个椭圆曲线上的离散点的运算：1个用来产生签名；3个用来加密；2个用来解密，。使用RSA加密签名，加密需要1次指数运算，解密需要1次指数运算，签名需要1次指数运算，验证需要1次指数运算。设计的SM2与RSA签密方案，签密只需要使用1次椭圆曲线上的离散点运算和1次指数运算，解签密使用1次椭圆曲线上的离散点运算和1次指数运算，减少了通信量，提高了通信效率。此外，该方案的安全性能安全分析已经证明，即具有较好的安全性。４结语由于网络的飞速发展，网络安全问题倍受关注，越来越多的人选择将机密信息进行加密，随之而来的是密钥管理问题。一般将密钥简单存储在计算机中，若密钥文档失窃，则会直接威胁机密文档安全。对于机密等级更高的文档，查看与修改的权限也要加以限制，以保证其安全。所提方案基于中国剩余定理，结合SM2与RSA签密算法，构造了一种分享份可验证的秘密分享方案，为密钥的安全存储与使用权限问题提供了解决方案，保证了分