英语原文共 14 页，剩余内容已隐藏，支付完成后下载完整资料

一种新的基于RSA门限密码体制建设

摘要：

有许多方法来构造门限密码体制。他们通常是通过结合原有的公共加密方案与一些方法，如夏米尔的秘密共享。本文提出了一种新的基于RSA门限密码体制，由几个实例选择弹性模量和RSA密钥。事实上，通过计算实例和一些个人的RSA修改模常见的私人密钥，我们从这些实例中，得到一个新的RSA门限密码体制（以下简称简化组合RSA）。首先，证明该系统具有与基于CRT（中国剩余定理）门限RSA相似的安全性，同时实现方便，即它仅需要一次加密或解密的模乘。虽然新系统在理论上与基于CRT的RSA具有相同的安全性，但它在实际应用中将为对手提供更少的机会，因为加密或解密只有一个步骤。第二，复杂性，如RSA是有效的，结合RSA计算也是可行的。因此，如果一个用户想开发RSA门限解密或签名更方便、更安全，结合RSA更是合适的。最后，结合RSA的应用给出了实现抗共谋攻击的分布式数据访问控制。

1.介绍：

门限密码体制的核心思想就是将信息或计算以一种容错的方式分散到一组相互合作的用户当中,通过这种方法来保护这些信息或计算。它分离了使用系统的特权，从而大大提高了安全性。门限密码体制构成的门限解密签名。让N成为用户数量。解密的系统称为（k，n）-门限，多于K个用户可以进行高效、准确的解密密文，而少于K个用户不能。它类似于（k，n）门限签名方案，其中具有k个或更多个用户的子集可以生成消息的签名。一般来说，门限密码是建立公共加密方案门限基础。这些方案包括RSA公钥加密，Paillier加密、ElGamal等。

Shamir开辟了阈值加密领域[20]，然后Desmedt在[4]中正式提出了这个问题。此后，本文对此进行了大量的工作，其中阈值RSA密码系统是最重要的一个部分。Frankel [8]提出了一种简单而优雅的解决方案来实现基于RSA的（N，N）阈值方案。私人密钥d由N方共享，这意味着，然而，该方案需要经销商来产生模数n，这使经销商能够伪造签名。Boneh [3]增强了解决方案，无需值得信赖的经销商。问题在于，它只提供了N-out-of-N阈值解密系统，但更常见的是需要k-out-of-N阈值方案。为了解决这个问题，Rabin [18]和Shoup [21]提出了基于RSA和Shamir秘密共享来实现（k，N）-阈值解密系统的方案[20]。到目前为止，阈值RSA密码系统已经在许多方面得到增强[7,11]，并应用于诸如网络的许多模型[12]。

在本文中，通过组合几个不同的RSA实例来构建新的阈值密码系统，我们称之为用于简化的组合RSA。它在[17]中与基于CRT的阈值RSA具有相似的安全属性，但在许多情况下更为方便实现阈值。事实上，组合的RSA没有可信任的方式工作，并且仅需要一个用于加密或解密的模幂运算。它不仅适用于解密系统，还适用于具有多个用户的签名系统，其中验证了哪些用户已经签署了这些消息。第2节介绍了基于两个RSA实例的组合RSA的简单模型，这大致表明了我们的想法。通过使用定理1，第3部分在一般情况下构建阈值密码系统，包括解密系统和签名系统。作为应用，此处还介绍了基于属性的访问控制系统。第4节和第5节分析了阈值密码系统的安全性和计算复杂度及其在分布式数据访问控制系统上的应用。此外，我们提出了一种通过增加冗余来加强访问控制方案的串通电阻的新方法。

对于组合的RSA和基于CRT的阈值RSA之间的总结比较，我们首先描述组合的RSA。 组合RSA的结构大致描述在以下两个步骤中：为不同的RSA实例定义公共密钥，并修改明文m的可变范围。例如，令n1和n2分别表示具有相同指数e的两个不同RSA实例的模数。 两个RSA实例的组合如下所示。详情请参阅第2节。

首先，请注意，存在一些常见的解密密钥的两个方案。事实上，

当e·dequiv;1 modphi;（n1·n2）其中phi;（）表示欧拉的phi函数，d是两个RSA方案的常见解密密钥。

其次，m的可变范围被修改以确定阈值。 在RSA密码系统中，m从有限的范围中选择，范围是解密的重要信息。 更大的可变范围在解密时提供比较小的值更小的值。 因此可以用来修改解密的难度。 证明如果从范围（0，n1·n2）选择的整数m通过计算cequiv;me mod n1·n2进行加密，只有公用的解密密钥可以解密密文c。 同时如果已知从（0，min（n1，n2））中选择m，则可以通过两个RSA方案的任何解密密钥对c进行解密。

然后我们考虑RSA实例的数量大于2的一般情况。类似于两实例模型，当e·dequiv;1 modphi;（n1·n2···nk）时，d是一个常见的解密密钥 k RSA方案。 并且m的可变范围决定哪些密钥可以解密对应的密文。 通过组合模态，它产生了实现上一段描述的特征的阈值密码系统。 在实践中，简单的RSA总是通过其他一些方法来改进，如散列函数和混合加密，以确保效率和安全性。 为了更清楚地表明我们的想法，本文忽略了这些方法，只考虑了简单的RSA。

与基于CRT的阈值RSA相比，组合的RSA的最大优点是方便，即组合的RSA更容易实现。事实上，基于CRT的阈值RSA由CRT和几个并行RSA实例构成。要加密整数，它将被RSA实例并行加密，然后使用CRT将密文组合成一个整数。得到的整数将由RSA实例并行解密，然后结果可以由CRT组合以获得明文。但是在组合RSA中，整个加密过程只有一个模幂，与纯RSA相同。解密过程也和简单的RSA一样简单。因此，组合RSA的实现比基于CRT的RSA更方便，这将在3.3.1节中详细讨论。没有任何其他操作或硬件，普通RSA用户可以通过修改模数来获得具有他的模数乘法器的阈值系统。因此，当用户寻求快速的软件开发时，组合的RSA将更加合适。同时，RSA组合中信息泄露的风险也降低。基于CRT的阈值RSA由两部分组成，即CRT和RSA。这两个部分可能由两个不同的硬件执行，信息需要从一个传递到另一个，这可能导致信息泄露。

两个RSA实例的组合

新的阈值密码系统是基于几个单独的RSA实例构建的。 为了更好地展示构建背后的想法，本节将介绍基于两个RSA实例的简单模型。 从这一部分可以直观地了解普通RSA实例的组合。 第3节将展示一般情况的细节，包括建设过程和安全证明。

如图1所示。 1，模型的结构可以描述如下。 在这个模型中有三个用户u1，u2，u0和四个数据文件，其中u1和u2是普通用户，u0是超级用户。 他们具有访问数据文件的不同用户权限，如表1所示，其中“ ”表示“可访问”，“ - ”表示“无法访问”。 如表中所示，D1 | 2是一个共享文件，每个用户都可以访问它。 D1是u1的私有文件，对于u2是不可访问的，D2是u2的私有文件，u1不可访问。 超级用户u0可以访问模型中的每个文件，D1＆2是他的私有文件，这对于u1和u2是不可访问的。

2.1数学基础

本节介绍了图1中简单模型的基础数学。 它主要基于精确除数和模运算的属性。 首先，我们简要回顾一下简单的RSA。 然后，基于简单RSA中的符号，数学地描述了两个简单RSA实例的组合。在RSA中，模数n是两个大素数p和q的乘积。 （e，n）是公钥，d是私钥。 他们满足

e·d equiv;1 modlambda;

其中lambda;= Icm（p-1，q-1），lcm表示最小公倍数。 首先，数据文件需要在间隔（0，n）中编码为整数。 有很多方法将实际信息映射到整数。 PKCS标准建议OS2IP将字节序列转换为整数，可用于编码大多数数据文件。 在编码之后，如果m是生成的整数之一，则通过计算将其加密成密文c

c equiv; me mod n.

c对应于

m equiv; cd mod n.

在本文中，类似的符号将用于组合的RSA来表示模数，键等。

如下计算两个RSA实例的公用解密密钥。 假设p1，q1，p2，q2是四个大素数，e是具有lcm（p1-1，q1-1，p2-1，q2-1）的互质。 令lambda;0表示lcm（p1-1，q1-1，p2-1，q2-1）。 作为惯例，令di，lambda;i，ni分别表示第i个RSA实例的私钥，lcm（pi-1，qi-1）和pi·qi。 注意，如果e·d0-1可以被lambda;0整除，那么也可以被lambda;1和lambda;2整除。 因此，d0是具有公共密钥（e，n1）和（e，n2）的两个RSA实例的公共解密密钥。 它可以使用扩展的欧几里德算法来计算。

这可以从另一个角度来解释。 对于i = 0,1,2，令Si表示整数d的所有可能值的集合，使得e·dequiv;1 modlambda;i。 很容易证明S0 = S1cap;S2。 S0的元素是两个RSA实例的公共解密密钥，而S1-S0和S2-S0的元素只能用作一个RSA实例的解密密钥。2.3节证明了扩展欧几里德算法计算出的d1满足d1 isin;S1 - S0，与d2相同。从范围（0，min（n1，n2））选择的整数m被加密成对应于

对于i=1,2,

,

因此，c可以通过d1解密，如下面的等式所示:

d2可以以相同的方式解密c。 很明显，d0可以用来解密c为d0isin;S1cap;S2。

如果m的可变范围是（0，n0），只有u0可以解密c。 对于i = 0,1,2，

当i=1，2时，

u1和u2不能解密c，因为它们只知道m在（0，n0）中变化。 其实呢，因为n0》n1和n0》n2，从m mod ni猜测m是不可能的。 第2.3节证明u1和u2不能以任何方式解密c。但是，u0可以这样解密c。 证明如下。 由于e·d0-1可被lambda;0整除，所以存在整数k

其满足e·d0 = 1 k·lambda;0。 那我们有

由于lambda;0= 1cm（p1-1，q1-1，p2-1，q2-1），根据费马的小定理，我们有

从而

2.2模型建设

假设有一个系统控制器T在图1的模型中产生和传递密钥。 该模型由三种算法组成：

统初始化：T执行以下步骤。

（1）随机生成四个不同的素数p1，q1，p2，q2。

（2）计算n1，n2，n0，lambda;1，lambda;2，lambda;0。

（3）选择一个正整数e，使得e lt;lambda;0/ max（lambda;1，lambda;2）和gcd（e，lambda;0）= 1。

（4）对于i = 0,1,2，使用扩展欧几里德算法来计算di，使得diequiv;e-1 modlambda;i。

（5）对于i = 0,1,2，将di递送到ui并重新发布整数e，ni。

数据加密：不同种类的数据以不同的方式加密，以实现表1中描述的用户权限。数据上传者首先确定谁可以访问数据，然后选择以下过程之一加密数据。

D1 | 2：将D1 | 2编码成整数m1 | 2isin;（0，min（n1，n2））。

将m1 | 2加密成对应于 c1 | 2equiv;me 1 | 2 mod n0的密文c。 （12）

D1： 将D1编码为整数m1isin;（0，n1）。

将m1加密成对应于c1equiv;me 1 mod n1的密文c。 （13）

D2： 将D2编码为整数m2isin;（0，n2）。

将m2加密到与c2equiv;me 2 mod n2对应的密文c中。 （14）

D1＆2：将D1＆2编码为整数m1＆2isin;（0，n0）。

将m1＆2加密到对应于c1＆2equiv;me 1＆2 mod n0的密文c中。 （15）

数据解密：如果ui被授权解密密文c，那么他可以通过计算解密c

（16）

如果你不应该解密c，他不能解密c。

在这种访问控制模型中有一个（1,2）阈值密码系统，如图 2所示。

2.3 安全证明

用户只能具有访问他们想要的特定数据的能力。 本部分显示，该模型中的用户权限符合表1. 2.1节已经证明，表格和本节中的 部分将证明表中的 - 部分。 为了证明“ - ”部分，只需要显示u1不能访问D2和D1＆2，我们将以两种不同的方式呈现。

一种方法（见第2.3.1节证明I）直接表示，由扩展欧几里德算法计算的d1在S1-S0中，其中Si表示满足e·dequiv;1 modlambda;i的整数d的所有可能值的集合。 它不是严格的，但它显示了欧几里德算法在RSA上的一些属性。 例如，它用于估计d的位长度，这将用于复杂度分析。 另一个证明（见第2.3.2节证明II）是基于纯RSA的安全性。严格证明如果表1中的“ - ”部分被破坏，则可以破坏普通的RSA。 由于u2与u1对称，u1的安全性证明就足够了。

2.3.1 证明I

首先，这个证明给出了d1的上限，它是由扩展的欧几里德算法计算出来的。 其次，它计算S0元素的下限。 由于下限大于上限，所以证明了d1isin;S1-S0。

引理1（一个B. ezout的引理）假设正整数a和b是相关素数，a，bne;1。扩展欧几里德算法确保整数s和t的存在，使得s·a t· b = 1其中| s | lt;b和| t | lt;a。为了计算i = 0,1,2的 modlambda;i，通常的方法是使用扩展的欧几里德算法来计算整数s和t，使得s·e t·lambda;i= 1。如果s gt; 0，则di = s，else di = s lambda;i。 引理1表示d1isin;（0，lambda;1）。

对于等式d0·e k·lambda;0= 1，作为d0gt; 0，我们有k lt;0，

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[137718]，资料为PDF文档或Word文档，PDF文档可免费转换为Word