Упреждающий обмен секретами - Proactive secret sharing

Упреждающее совместное использование секретов - это основной метод протоколов проактивной безопасности. Это метод периодического обновления распределенных ключей ( общих ресурсов ) в схеме совместного использования секретов , чтобы у злоумышленника было меньше времени для компрометации общих ресурсов, и пока злоумышленник посещает менее порогового значения или группу кворума, система остается защищенной. Это контрастирует с не проактивной схемой, где, если пороговое количество общих ресурсов будет скомпрометировано в течение срока действия секрета, секрет будет скомпрометирован. Модель, которая учитывает временные ограничения, была первоначально предложена как расширение понятия византийской отказоустойчивости, где избыточность совместного использования обеспечивает устойчивость во временной области (периодах), и была предложена Рафаилом Островским и Моти Юнгом в 1991 году. использовался в областях криптографических протоколов в безопасных многосторонних вычислениях и в пороговых криптосистемах .

Мотивация

Если игроки (держатели общего секрета) хранят свои доли на небезопасных компьютерных серверах, злоумышленник может взломать и украсть / узнать акции. Поскольку изменение секрета не всегда практично, нескомпрометированные (честные) (в стиле Шамира ) общие ресурсы следует обновлять таким образом, чтобы они генерировали один и тот же секрет, но старые общие ресурсы аннулируются. Также необходимо восстановить общие ресурсы ранее поврежденных серверов, и для выполнения восстановления необходимо сообщество честных серверов. Это гарантирует долговечность безопасного и восстанавливаемого совместного использования или безопасных и правильных безопасных протоколов вычислений. Если необходимо поддерживать совместное использование при изменении количества серверов или порогового значения, то упреждающий метод с восстановлением общих ресурсов позволяет это сделать, как было первоначально показано Франкелем и другими. Возможность распространять секрет (кодовое слово) и затем восстанавливать распределенные общие ресурсы, как это делает упреждающий метод совместного использования секретов, была признана крайне необходимой в системах хранения примерно в 2010 году, и в ответ теоретики кодирования переименовали метод, доработали и формализовали это как «восстанавливающие коды» и «локально восстанавливаемые коды».

Математика

Это отчасти следует за работой внутри. Чтобы обновить акции, дилеры (то есть лица, которые выдают акции; а в распределенной системе все участники по одному) генерируют новый случайный многочлен с постоянным членом, равным нулю. и вычисляет для каждого оставшегося игрока новую упорядоченную пару, где x-координаты старой и новой пар совпадают. Затем каждый игрок добавляет друг к другу старые и новые координаты y и сохраняет результат как новую координату y секрета.

• Дилер строит случайный многочлен над полем степени, где - порог${\ displaystyle k-1}$${\ displaystyle k}$
• Каждый игрок получает долю, где , - количество игроков, а - доля для игрока в интервале времени.${\ Displaystyle х_ {я} ^ {0} = е ^ {0} (я)}$${\ Displaystyle я \ в \ {1, ..., п \}}$${\ displaystyle n}$${\ displaystyle x_ {i} ^ {0}}$${\ displaystyle i}$${\ displaystyle 0}$
• Секрет можно восстановить путем интерполяции долей.${\ displaystyle k}$
• Чтобы обновить акции, все стороны должны построить случайный многочлен вида ${\ Displaystyle \ дельта _ {я} (г) = \ дельта _ {я, 1} г ^ {1} + \ дельта _ {я, 2} г ^ {2} + ... + \ дельта _ {я , k} z ^ {k-1}}$
• Каждый игрок отправляет всех остальных игроков${\ displaystyle i}$${\ Displaystyle и_ {я, j} = \ дельта _ {я} (j)}$
• Каждый игрок обновляет свою долю, указав где - временной интервал, в течение которого акции действительны.${\ displaystyle x_ {i} ^ {t + 1} = x_ {i} ^ {t} + u_ {1, i} ^ {t} + ... + u_ {n, i} ^ {t}}$${\ displaystyle t}$

Все необновленные общие ресурсы, накопленные злоумышленником, становятся бесполезными. Злоумышленник может восстановить секрет только в том случае, если он сможет найти достаточно других необновленных общих ресурсов для достижения порогового значения. Этой ситуации не должно быть, потому что игроки удалили свои старые акции. Кроме того, злоумышленник не может восстановить какую-либо информацию об исходном секрете из процесса обновления, поскольку он содержит только случайную информацию.

Дилер может изменить пороговое число при распространении обновлений, но всегда должен внимательно следить за тем, чтобы игроки сохраняли просроченные акции, как показано. Однако это несколько ограниченное представление, поскольку оригинальные методы дают сообществу серверов возможность быть дилером по повторному обмену и регенератор потерянных акций.

Пример

В следующем примере 2 доли и порог 2 с 2 игроками и 1 дилером. Поскольку доли и полиномы действительны только в течение определенного периода времени, период их действия обозначается надстрочным индексом.

• Все стороны договариваются о конечном поле: ${\ displaystyle Z_ {11}}$
• Дилер устанавливает секрет: ${\ displaystyle s = 6 \ in Z_ {11}}$
• Дилер строит случайный многочлен степени 2-1 (порог 2). ${\ displaystyle Z_ {11}}$
  • ${\ Displaystyle е ^ {0} (х) = 6 + 2 \ раз х}$
  • Примечание ${\ displaystyle f ^ {0} (0) = s = 6}$
• Игрок 1 получает долю, а игрок 2 - долю${\ displaystyle x_ {1} ^ {0} = f ^ {0} (1) = 6 + 2 \ times 1 = 8}$${\ displaystyle x_ {2} ^ {0} = f ^ {0} (2) = 6 + 2 \ times 2 = 10}$
• Чтобы восстановить секрет, используйте и${\ displaystyle x_ {1} ^ {0}}$${\ displaystyle x_ {2} ^ {0}}$
  • Поскольку это линия, мы можем использовать форму наклона точки для интерполяции${\ displaystyle f ^ {0} (х)}$
  • ${\ displaystyle m = (е ^ {0} (2) -f ^ {0} (1)) / (2-1) = (x_ {2} ^ {0} -x_ {1} ^ {0}) / (2-1) = (10-8) / (2-1) = 2/1 = 2}$
  • ${\ displaystyle b = f ^ {0} (1) -m = x_ {1} ^ {0} -2 = 8-2 = 6}$
  • ${\ Displaystyle е ^ {0} (х) = б + м \ раз х = 6 + 2 \ раз х}$
  • ${\ displaystyle f ^ {0} (0) = 6 + 2 \ times 0 = 6 = s}$
• Чтобы обновить доли, все стороны должны построить случайные многочлены степени 1, чтобы свободный коэффициент был равен нулю.
  • Игрок 1 строит ${\ displaystyle \ delta _ {1} ^ {0} (z) = \ delta _ {1,1} ^ {0} \ times z ^ {1} = 2 \ times z ^ {1}}$
  • Игрок 2 строит ${\ displaystyle \ delta _ {2} ^ {0} (z) = \ delta _ {2,1} ^ {0} \ times z ^ {1} = 3 \ times z ^ {1}}$
• Каждый игрок оценивает свой многочлен и делится некоторой информацией с другими игроками.
  • Игрок 1 вычисляет и в${\ displaystyle u_ {1,1} ^ {0} = \ delta _ {1} ^ {0} (1) = 2}$${\ displaystyle u_ {1,2} ^ {0} = \ delta _ {1} ^ {0} (2) = 4}$${\ displaystyle Z_ {11}}$
  • Игрок 1 отправляет Игрока 2 ${\ displaystyle u_ {1,2} ^ {0}}$
  • Игрок 2 вычисляет и в${\ displaystyle u_ {2,1} ^ {0} = \ delta _ {2} ^ {0} (1) = 3}$${\ displaystyle u_ {2,2} ^ {0} = \ delta _ {2} ^ {0} (2) = 6}$${\ displaystyle Z_ {11}}$
  • Игрок 2 отправляет Игрока 1 ${\ displaystyle u_ {2,1} ^ {0}}$
• Каждый игрок обновляет свою долю на ${\ displaystyle x_ {i} ^ {1} = x_ {i} ^ {0} + u_ {1, i} ^ {0} + u_ {2, i} ^ {0}}$
  • Игрок 1 вычисляет ${\ displaystyle x_ {1} ^ {1} = x_ {1} ^ {0} + u_ {1,1} ^ {0} + u_ {2,1} ^ {0} = 8 + 2 + 3 = 2 \ in Z_ {11}}$
  • Игрок 2 вычисляет ${\ displaystyle x_ {2} ^ {1} = x_ {2} ^ {0} + u_ {1,2} ^ {0} + u_ {2,2} ^ {0} = 10 + 4 + 6 = 9 \ in Z_ {11}}$
• Убедитесь, что обновленные общие ресурсы генерируют тот же исходный секрет
  • Используйте и, чтобы восстановить многочлен${\ displaystyle x_ {1} ^ {1}}$${\ displaystyle x_ {2} ^ {1}}$${\ displaystyle f ^ {1} (х)}$
  • Поскольку это линия, мы можем использовать наклон точки${\ displaystyle f ^ {1} (х)}$
  • ${\ displaystyle m = (f ^ {1} (2) -f ^ {1} (1)) / (2-1) = (x_ {2} ^ {1} -x_ {1} {1}) / (2-1) = (9-2) / (2-1) = 7/1 = 7}$
  • ${\ displaystyle b = f ^ {1} (1) -m = x_ {1} ^ {1} -7 = 2-7 ​​= -5 = 6}$
  • ${\ Displaystyle е ^ {1} (х) = б + м \ раз х = 6 + 7 \ раз х}$
  • ${\ displaystyle f ^ {1} (0) = 6 + 7 \ times 0 = 6 = s}$

Смотрите также

• Ключ (криптография)
• Генерация ключей
• Распределение ключей
• Ключевой менеджмент
• Обмен секретами Шамира

Рекомендации