346 Глава 18. Криптографическая защита
торов изучались в геометрии как N-множества (N = n + 1) в конечной проективной геометрии PG(k–1, q), в комбинаторике — как ортогональные таблицы силы k и индекса λ = 1, в теории кодирования — как проверочные матрицы МДР кодов. В подразделе “Линейное разделение секрета” мы приведем известную конструкцию таких множеств с N = q + 1. Существует довольно старая гипотеза о том, что это и есть максимально возможное N, за исключением двух случаев: случая q < k, когда N = k + 1,
и случая q = 2m, k = 3 или k = q – 1, когда N = q + 2.
Разделение секрета для произвольных структур доступа
Начнем с формальной математической модели. Имеется n+1 множество S0, S1, …, Sn и (совместное) распределение вероятностей P на их декартовом произведении S = S0 * …* Sn. Соответствующие случайные величины обозначаются через Si. Имеется также некоторое множество Г подмножеств множества {1, …, n}, называемое структурой доступа.
Определение 18.1
Пара (P,S) называется совершенной вероятностной СРС, реализующей структуру доступа Г, если
P(S0 = c0 | Si = ci, i A) {0, 1} для A Г, |
(18.1) |
P(S0 = c0 | Si = ci, i A) = P(S0 = c0) для A Г |
(18.2) |
Это определение можно истолковать следующим образом. Имеется множество S0 всех возможных секретов, из которого секрет s0 выбирается с вероятностью p(s0), и имеется СРС, которая “распределяет” секрет s0 между n участниками, посылая “проекции” s1, …, sn секрета с вероятностью PS0 (s1, …, sn). Отметим, что і-ый учасник получает свою “проекцию” si Si и не имеет информации о значениях других “проекций”, однако знает все множества Si, а также оба распределения вероятностей p(s0) и PS0(s1, …, sn). Эти два распределения могут быть эквивалентны заменене на одно: P(s0,
s1, …, sn) = p(S0)PS0(s1, …, sn), что и было сделано выше. Цель СРС, как указывалось во введении, состоит в том, чтобы:
•участники из разрешенного множества A (т. е. A Г) вместе могли бы однозначно восстановить значение секрета — это отражено в свойстве (18.1);
•участники, образующие неразрешенное множество А (А Г), не могли бы получить
дополнительную информацию об s0, т.е., чтобы вероятность того, что значение секрета S0 = c0, не зависела от значений “проекций” Si при і А — это свойство (18.2).
Замечание о терминологии. В англоязычной литературе для обозначения “порции” информации, посылаемой участнику СРС, были введены термины share (А. Шамир) и shadow (Г. Блейкли). Первый термин оказался наиболее популярным, но неадекватная (во всех смыслах) замена в данной работе акции на проекцию может быть несколько оправдана следующим примером.
Математика разделения секрета 347
Пример 18.1. Множество S0 всех возможных секретов состоит из 0, 1 и 2, “представленных”, соответственно: шаром; кубом, ребра которого параллельны осям координат; цилиндром, образующие которого параллельны оси Z. При этом диаметры шара и основания цилиндра, и длины ребра куба и образующей цилиндра, равны. Первый участник получает в качестве своей “доли” секрета его проекцию на плоскость XY, а второй — на плоскость XZ. Ясно, что вместе они однозначно восстановят секрет, а порознь — нет. Однако эта СРС не является совершенной, так как любой из участников получает информацию о секрете, оставляя только два значения секрета как возможные при данной проекции (например, если проекция — квадрат, то шар невозможен).
Еще одно замечание. Элемент (участник) x {1, …, n} называется несущественным (относительно Г), если для любого неразрешенного множества А множество А x также неразрешенное. Очевидно, что несущественные участники настолько несущественны для разделения секрета, что им просто не нужно посылать никакой информации. Поэтому далее, без ограничения общности, рассматриваются только такие структуры доступа Г, для которых все элементы являются существенными. Кроме того, естественно предполагать, что Гявляется монотонной структурой, т.е. из А В, А Гследует В Г.
Пример 18.2. Рассмотрим простейшую структуру доступа — (n,n)-пороговую схему, т.е. все участники вместе могут восстановить секрет, а любое подмножество участников не может получить дополнительной информации о секрете. Будем строить идеальную СРС, выбирая и секрет, и его проекции из группы Zq вычетов по модулю q, т.е. S0 = S1 = … = Sn = Zq. Дилер генерирует n–1 независимых равномерно распределенных на Zq случайных величин хi и посылает і-му учаснику (і = 1, ... , n-1) его “проекцию” si = xi, а n-му участнику — sn = s0 – (s1 + … + sn-1). Кажущееся “неравноправие” n-ого участника тут же исчезает, если мы выпишем распределение PS0(s1,…, sn), которое очевидно равно 1/qn–1, если s0 = s1 + … + sn, а в остальных случаях равно 0. Теперь легко проверяется и свойство (18.2), означающее в данном случае независимость случайной величины S0 от случайных величин {Si: і А} при любом собственном подмножестве А.
Данное выше определение СРС, оперирующее понятием распределение вероятностей, ниже переведено, почти без потери общности, на комбинаторный язык, который представляется более простым для понимания. Произвольная M * (n + 1)-матрица V, строки которой имеют вид v = (v0, v1, …, vn), где vi Si, называется матрицей комби-
наторной СРС, а ее строки — правилами распределения секрета. Для заданного значе-
ния секрета s0 дилер СРС случайно и равновероятно выбирает строку v из тех строк матрицы V, для которых значение нулевой координаты равно s0.
Определение 18.2
Матрица V задает совершенную комбинаторную СРС, реализующую структуру доступа Г, если, во-первых, для любого множества А Г нулевая координата любой строки матрицы V однозначно определяется значениями ее координат из множества А, и, вовторых, для любого множества А Г и любых заданных значений координат из множества А число строк матрицы V с данным значением α нулевой координаты не зависит от
α.