Shamir门限方案的秘钥分享(不要求支持大数)

已于 2023-07-15 16:35:38 修改
阅读量196 收藏 1
点赞数
文章标签: 网络安全 iot
于 2023-07-15 16:34:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64462731/article/details/131741057
版权

Shamir门限方案的秘钥分享(不要求支持大数)

题目描述

【实验目的】

1) 通过基于Shamir门限方案的密钥分割及恢复的演示,理解密钥分割的重要性,理解密钥分割的基本原理和作用,掌握基于Shamir门限方案的密钥分割软件的使用

【实验原理】

秘密共享体制为将秘密分给多人掌管提供了可能。例如重要场所的通行、遗嘱的生效等都必须由两人或多人同时参与才能生效,这时都需要将秘密分给多人掌管并同时参与才能恢复。在实际应用中,秘密共享的要求多种多样、形形色色,每一种解决问题的方案都可成为一种体制。1979年,Shamir在提出秘密分享思想的同时,利用拉格朗日插值多项式理论设计出了一个具体的(t,n)秘密分享方案。1979年以后,人们通过对秘密共享问题的分析研究,构建出了许多类型的秘密共享体制。具有代表性和一般性的除了有Shamir提出的(t,n)门限体制,还有Blakley提出的矢量体制,Asmuth和Bloom提出的同余类体制,Karnin提出的矩阵法体制等。

一般地,一个由秘密分发者D和参与者P1,P2,…,Pn构成的(t,n)秘密分享体制包含下面两个协议:

(1) 秘密分发协议:在这个协议中,秘密分发者D在n个参与者中分享秘密s,每个参与者Pi获得一个碎片si,i=1,2,…,n。

(2) 秘密重构协议:在这个协议中,任意不少于t个参与者一起合作,以自己的碎片为输入,重构原秘密s。

一个安全的(t,n)秘密分享体制必须同时提供两个性质:一方面,任意t个参与者通过提供自己的碎片能够协作地恢复出原秘密s;另一方面,任意少于t个参与者即便拥有自己的碎片也无法计算关于原秘密s的任何信息。一般称这里的t为门限值。

Shamir提出的基于LaGrange插值公式的密钥分存思想是,利用有限域GF(p)上的t-1次多项式

h(x)= at- 1xt- 1+ … + a1x+ a0 mod p (1)

构造秘密共享的(t,n)门限体制。其中,所选的随机素数p要大于最大可能的秘密数S和参与者总数n,并且公开;S=h(0)=a0,而at-1,at-2,… ,a1为选用的随机系数,这些都需要保密,在生成n个秘密份额之后即可销毁。通过计算多项式h(x)对n个不同xi的取值就给出每个人的秘密份额:

Si= h(xi)mod p,i= 1,2,3,… ,n (2)

每一(xi,Si)对就是曲线h上的一个点,可看作是用户的标识符。由于任意t个点都可唯一地确定相应的t- 1次多项式,所以,秘密S可以从t个秘密份额重构。给定任意t个秘密份额Si1,Si2,… ,Sit,由LaGrange插值公式重构的多项式为

具体步骤如下。如图所示

其中    需要使用到逆元计算;

关于逆元,可以参看逆元(数论中的倒数)_淼润淽涵的博客-CSDN博客其中有些例子不够完善,请谨慎选取,小心验证。

具体例子:

n=5, t=3, p=17; 随机选取K=13,a1=10,a2=2;

于是有

解密的时候选取  (1 8)(2 7) (5 11)来解密

上面的例子每个倒数都计算了一次逆元,大家可以想想有没有什么简化的方法。

输入

大素数p

子秘钥总数n

门限值t

输出

设置的密钥与恢复的密钥的差值

 代码

import random
import math


# 输入p, w, t, s 程序入口
def runCode(predefineData):
    p = 0
    w = 0
    t = 0
    s = 0
    if not predefineData:
        tempstr = input()
        p = int(tempstr)
        p = testPrimality(p)

        w = input()
        t = input()

        if (int(w) >= int(t)):
           
            s = 13
            
        else:
            
            runCode([])
        predefineData = [w, t, p, s]
    else:
        w = predefineData[0]
        t = predefineData[1]
        p = predefineData[2]
        s = predefineData[3]

    a = generatesubKey(t, w, s, p)  # 生成子密钥
    generateMainKey(s, p, t, a)  # 求解主密钥


# 生成子密钥
def generatesubKey(t_str, w_str, s, p):
    a_j = [0]  # 存放多项式系数列表
    x_i = [0]  # 多项式x取值列表

    t = int(t_str)
    w = int(w_str)

    x_i = randomList(1, w, w, True)  # 获取x 不相同
    a_j = randomList(1, 5, t - 1, False)  # 多项式参数

    x_i.sort()  # 升序排列x
   

    subKey = {}  # 子密钥字典

    for i in range(0, w):
        polynomialSum = s;  # 多项式求和
        x = x_i[i]
        for j in range(0, t - 1):
            a = a_j[j]
            polynomialSum += (a * math.pow(x, j + 1))

        regsubK = polynomialSum % p  # 得到其中一个子密钥
        subKey[x] = int(regsubK)  # 添加到密钥字典
        
    return subKey




# 生成主密钥
def generateMainKey(s, p, t,a):
    x_list = []
    y_list = []
    subSet = a  # 输入密钥
    recoveredS = 0
    # 遍历输入密钥字典 生成x y
    for key, value in subSet.items():
        x_list.append(key)
        y_list.append(value)
        #print("(" + str(key) + "," + str(value) + ")")

    # 生成解密表达式
    for i in range(0, len(x_list)):
        x_i = x_list[i]
        temp_j = 1
        for j in range(0, len(x_list)):
            if (j != i):
                x_j = x_list[j]
                temp_one = float(x_j) / (x_j - x_i)
                temp_j = temp_j * temp_one

        
        recoveredS += y_list[i] * temp_j
        

    recoveredS = int(round(recoveredS))  # 四舍五入 int
    recoveredS = recoveredS % p

    
    if recoveredS == s:
        print("0\n")
    else:
        print("解密失败\n")



# 检测素数
def testPrimality(p):
    temp = p;
    p = math.sqrt(p)
    p = int(p)
    for i in range(2, (p + 1)):
        f = temp / i
        if (f.is_integer()):
            newP = input("Enter prime number")
            newP = int(newP)
            newP = testPrimality(newP)
            temp = newP
            break
    return temp


# 得到一个随机数 state: true 不重复 false 可以重复
def getRandomNum(xlist, start, stop, state):
    # x_subi = []
    x = random.randint(start, stop)
    if state is True:
        if not x in xlist:
            return x
        else:
            x = getRandomNum(xlist, start, stop, state)
            return x
    else:
        return x


# 得到随机列表 state: true 不重复 false 可以重复
def randomList(start, stop, length, state):
    if length >= 0:
        length = int(length)
    start, stop = (int(start), int(stop)) if start <= stop else (int(stop), int(start))
    random_list = []
    for i in range(length):
        num = getRandomNum(random_list, start, stop, state)
        random_list.append(num)

    return random_list


# runCode(["5","3",11,5])
runCode([])

代码化石
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
共享技术原理
区块链之美
03-12 2371
共享技术(Threshold Key SharingScheme)解决的是密安全管理问题。 现代密码学体制的设计是使得密码体制的安全性取决于密安全,密的泄露就意味着体制失去了安全性,因此密管理在密码体制的安全性研究和设计中占有重要的地位。特别是多方利益体共同管理一个账户时,账户的密如何可信安全的分配给多方参与者就变得非常棘手。 针对这一问题,以色列密码学家Shamir提出了Sha...
基于Shamir可验证共享体制的安全多方计算协议
区块链之美
06-18 2551
7.2.基于可验证密共享体制的安全多方计算 7.2.1.可验证密体制 Shamir的(t,n)共享体制暗含了一个假设前提,即所有参与者,包括密管理中心都必须是诚实的。因此,在防欺骗方面就很脆弱,因为一个欺骗者或参与者可以以相当大的概率成功地欺骗t-1个诚实的参与者,即他出示一个设计好的虚假的子密,如果其他t-1个参与者出示真正的子密,则欺骗者由于已知其他t-1个正确的子密,然后...
论文研究-一个无可信中心的动态(t,n)共享方案.pdf
07-22
在很多实际情况下,一个被所有人都信任的可信中心并不存在,因此提出一种无可信中心的共享方案。该方案基于Shamir密共享体制,利用拉格朗日插值法恢复密。在本方案中,如果有若干个托管代理不愿合作或无法合作时,监听机构仍能较容易地重构会话密;不但解决了“一次监听,永久监听”的问题,而且避免了监听机构权力过大的现象。除此之外,本方案中每个托管代理可以验证其所托管的子密的正确性。结论表明,本方案功能更加完善,安全性更高。
C语言实现的shamir密共享
m0_63847230的博客
07-03 525
需要注意这里的result和上面不同,这里的result是服务器列表。生成的secretshare会存在result里。(ps:需提前安装pbc库 )0、生成公共参数(椭圆曲线)2、随机选择服务器做。3、抽象拉格朗日差值法。
Shamir密共享算法
weixin_66955118的博客
02-24 959
shamir密共享算法,shamir方案
shamir方案
11-26
shamir方案就是一个机遇拉格朗日插值多项式的方案.此程序由VC的dialog实现 shamir方案就是一个机遇拉格朗日插值多项式的方案.此程序由VC的dialog实现
方案 Shamir.
05-23
shamir方案就是一个机遇拉格朗日插值多项式的方案.此程序由VC的dialog实现
shamir(m,n)共享方案
03-17
完整,可用版!可运行,头文件,dll库全,头文件
shamir(k,n)程序C#语言代码
05-24
该程序是C#编写的程序,vs2010下运行没问题,希望对你有用。
实验一:Shamir 密共享
dxxmsl的博客
04-17 2578
如果密大于大素数,就按照之前定义好的位数依次调高,直到大于密值为止,下面简单简述一下判断素数的过程。首先是类的初定义,我们需要提供密即info,值k,密共享人数p给类,然后定义了大素数,我们调用创建大素数函数,最开始创建一个16位的大素数,然后进行一些类对象的初始化,最后执行检查,检查主要是检查大素数是否大于密的值,如果没有进行这一步,那么就无法恢复密,因为拉格朗日插值计算要在大素数域内计算,如果你的消息值大于这个数,那么肯定无法还原,接下来我们看一下创建以及检查函数的实现。
基于Shamir方案密共享
qq_40843499的博客
06-20 2166
密共享的基本概念 将密分割后由不同的参与者进行管理,单个参与者无法恢复密信息,只有若干个参与者共同协作才能恢复。 Shamir方案 (t,N)方案:设密S被分成N个部分信息,每个部分由一个参与者持有,使得: 通过t个或多于t个参与者所持有的信息可重构S。 少于t个参与者所持有的信息无法重构S。 其中t成为值,t=N时所有用户全部到场才能恢复密。 ...
Shamir方案分享(包括逆元解)
xzx18822942899的博客
10-29 2146
通过基于Shamir方案的密分割及恢复的演示,理解密分割的重要性,理解密分割的基本原理和作用
基于中国剩余定理的(t, n)密共享方案
qq_51641311的博客
11-15 1945
基于中国剩余定理的(t,n)密共享方案
密码学--shamir方案
最新发布
qq_31804097的博客
11-01 593
只有N个人凑在一起才能知道密码的方案。密码学期末考试第12项。
shamir密共享算法_密码学算法:shamir共享算法
weixin_33842969的博客
01-15 9067
算法原理(t,w)共享方案,该方案Shamir在1979年提出。Shamir(t,w)方案是通过构造一个t-1次多项式,将需要共享的主密S作为常数项,碎片密分成w部分给w个参与者,当碎片密数量大于或者等于t的话,就可以解出这个主密S。子密生成构造多项式其中s为密,p为素数(s取w个不相等的x带入F(x)中,得到w组子密,分发给w个人保管将p公开,销毁子密生...
Java实现Shamir密共享带注释
weixin_45071560的博客
04-28 2870
Shamir分享的Java实现,可以是任意用户和任意阈值
密码学学习笔记(四)——(t, n)的属性加密CP-ABE
梓城的博客
06-14 1595
传统的公密码只能实现一对一的通信的方式,即加密者用目标用户的公来进行加密,也只有目标用户能够实现正确解密。而这种加密方式却不能满足将云存储平台上数据方便而又安全的共享给多个用户的需。2005年,Sahai等人在欧洲密码学会议上提出了FIBE,并由此提出了基于属性加密(Attribute- Based Encryption, ABE)的概念。这里的模糊身份不再是如原来身份信息的一一对应,而是一个一对多的对应过程。同时ABE密码体制中还引入了访问结构来完成对多个属性的细粒度控制。......
(t,n)密共享方案--基于中国剩余定理的密共享方案
yibaobao2019的博客
11-12 3711
(t,n)密共享方案–基于中国剩余定理的密共享方案 题目描述: import random # 调用random模块 def gcd(a, b): # 定义一个gcd函数,用来两个数的最大公约数 采用欧几里得算法 if b == 0: return a else: return gcd(b, a % b) def compare(list, x): # 定义一个compare()函数 传入参数为一个列表list和一个数据x
多方安全计算之Shamir的 (t,n)密共享方案
yangdaixian的博客
12-01 5912
Shamir问题广泛的应用于多方安全计算中,这里简单的介绍一下Shamir的原理 Shamir是基于拉格朗日插值法的一种需要多个用户共同参与才能获取到密的一种方法 1. 简介 假设需要保护的数据为a0,并且要: (1)任意t个(或者更多的)分块可以很容易的重构出D; (2)任意t-1个(或者更少的)分块都不可能重构出D。 该项技术可以被称为(t, n)。 2. 一个简单的(t, n)基于这样的事实:在一个二维坐标系中给定k个点(x1, y1), ..., (xk, y
shamir方案python实现
05-29
Shamir方案是一种分享方案,它可以将一个密S分成n个部分,其中只有k个部分可以重组得到原始密,k的值小于n。下面是Shamir方案的Python实现: ```python import random def generate_shares(s, k, n, p): """ 生成Shamir方案分享 :param s: 原始密 :param k: 重组密所需的部分数量 :param n: 总的分享数量 :param p: 素数 :return: 一个包含n个元素的列表,其中每个元素都是一个二元组(x, y),表示(x, f(x))的点 """ if k > n: raise ValueError("k must be less than or equal to n") # 生成多项式f(x) = a0 + a1*x + ... + ak-1*x^(k-1),其中a0 = s coefficients = [s] + [random.randint(1, p - 1) for _ in range(k - 1)] def f(x): """ 计算f(x) """ result = 0 for i, coeff in enumerate(coefficients): result += coeff * pow(x, i, p) return result % p # 生成n个分享 points = [(i, f(i)) for i in range(1, n + 1)] return points def recover_secret(shares): """ 恢复密 :param shares: 一个包含k个或更多元素的列表,其中每个元素都是一个二元组(x, y),表示(x, f(x))的点 :return: 原始密 """ k = len(shares) if k == 0: raise ValueError("shares list must not be empty") # 计算所有可能的多项式的值 p = shares[0][1].bit_length() - 1 x_values, y_values = zip(*shares) secrets = [] for i in range(k): xi, yi = shares[i] numerator = denominator = 1 for j in range(k): if i == j: continue xj, yj = shares[j] numerator *= -xj denominator *= xi - xj coefficient = numerator * pow(denominator, -1, p) % p secrets.append((coefficient, yi)) # 出f(0),即原始密 result = 0 for coeff, yi in secrets: result += coeff * yi return result % p ``` 在这个实现中,`generate_shares`函数接受一个原始密`s`,需要重组密的部分数量`k`,总分享数量`n`和一个素数`p`,然后返回一个包含n个二元组的列表,其中每个二元组表示一个分享点(x, f(x))。`recover_secret`函数接受一个包含k个或更多元素的分享点列表,然后返回原始密。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值