Проактивный обмен секретами

Эта статья может быть слишком технической для понимания большинства читателей . Пожалуйста, помогите улучшить его , чтобы он был понятен неспециалистам , не удаляя технических подробностей. ( сентябрь 2013 г. ) ( Узнайте, как и когда удалить это сообщение )

Проактивный обмен секретами является основным методом протоколов проактивной безопасности. Это метод периодического обновления распределенных ключей ( общих ресурсов ) в схеме совместного использования секретов , благодаря чему у злоумышленника остается меньше времени для компрометации общих ресурсов, и пока злоумышленник посещает меньше порога или группы кворума, система остается в безопасности. Это контрастирует с неактивной схемой, где, если пороговое количество общих ресурсов будет скомпрометировано в течение срока действия секрета, секрет будет скомпрометирован. Модель, учитывающая временные ограничения, первоначально была предложена как расширение понятия византийской отказоустойчивости , где избыточность совместного использования обеспечивает устойчивость во временной области (периодах), и была предложена Рафаилом Островским и Моти Юнгом в 1991 году. ^[1] Этот метод использовался в области криптографических протоколов, безопасных многосторонних вычислений и пороговых криптосистем .

Если игроки (обладатели общего секрета) хранят свои акции на незащищенных компьютерных серверах, злоумышленник может взломать их и украсть/изучить эти акции. Поскольку изменить секрет не всегда практично, нескомпрометированные (честные) ( в стиле Шамира ) общие ресурсы следует обновлять таким образом, чтобы они создавали один и тот же секрет, но старые общие ресурсы признавались недействительными. Также существует необходимость восстановления общих ресурсов ранее поврежденных серверов, и для выполнения восстановления необходимо сообщество честных серверов. Это гарантирует долговечность безопасного и восстанавливаемого совместного использования или безопасных и правильных безопасных протоколов вычислений. Если необходимо поддерживать совместное использование при изменении количества серверов или порогового значения, то это позволяет сделать упреждающий метод с восстановлением общего ресурса, как первоначально было показано Франкелем и другими. ^{[2] [3]} Возможность распространения секрета (кодового слова), а затем восстановления распределенных общих ресурсов, как это делает метод упреждающего обмена секретами, была признана крайне необходимой в системах хранения примерно в 2010 году, и в ответ теоретики кодирования переименовали этот метод, доработали его и формализовали. это «регенерирующие коды» и «локально восстанавливаемые коды».

Это отчасти следует за работой. ^[4] Чтобы обновить акции, дилеры (т. е. лица, раздающие акции; а в распределенной системе это все участники по одному) генерируют новый случайный полином с нулевым постоянным членом и вычисляют для каждого оставшегося игрока новая упорядоченная пара, где координаты x старой и новой пар одинаковы. Затем каждый игрок складывает старую и новую координаты Y друг с другом и сохраняет результат как новую координату Y секрета.

• Дилер строит случайный многочлен над полем степени ${\displaystyle k-1}$ где ${\displaystyle k}$ это порог
• Каждый игрок получает свою долю ${\displaystyle x_{i}^{0}=f^{0}(i)}$ где ${\displaystyle i\in \{1,...,n\}}$, ${\displaystyle n}$ количество игроков, и ${\displaystyle x_{i}^{0}}$ это доля игрока ${\displaystyle i}$ на временном интервале ${\displaystyle 0}$
• Секрет можно восстановить путем интерполяции ${\displaystyle k}$ акции
• Чтобы обновить доли, всем сторонам необходимо построить случайный полином вида ${\displaystyle \delta _{i}(z)=\delta _{i,1}z^{1}+\delta _{i,2}z^{2}+...+\delta _{i,k}z^{k-1}}$
• Каждый игрок ${\displaystyle i}$ отправляет всех остальных игроков ${\displaystyle u_{i,j}=\delta _{i}(j)}$
• Каждый игрок обновляет свою долю на ${\displaystyle x_{i}^{t+1}=x_{i}^{t}+u_{1,i}^{t}+...+u_{n,i}^{t}}$ где ${\displaystyle t}$ это временной интервал, в течение которого акции действительны

Все необновленные шары, накопленные злоумышленником, становятся бесполезными. Злоумышленник сможет восстановить секрет только в том случае, если он сможет найти достаточно других необновленных общих ресурсов, чтобы достичь порога. Такой ситуации не должно произойти, потому что игроки удалили свои старые акции. Кроме того, злоумышленник не может восстановить какую-либо информацию об исходном секрете в процессе обновления, поскольку он содержит только случайную информацию.

Дилер может изменить пороговое значение во время распространения обновлений, но всегда должен сохранять бдительность в отношении игроков, хранящих акции с истекшим сроком действия, как в. ^[5] Однако это несколько ограниченный взгляд, поскольку оригинальные методы дают сообществу сервера возможность быть дилером повторного обмена и регенератором потерянных акций.

В следующем примере есть 2 акции и порог 2 с 2 игроками и 1 дилером. Поскольку акции и полиномы действительны только в течение определенного периода времени, период их действия обозначается верхним индексом.

• Все стороны согласны с конечным полем: ${\displaystyle Z_{11}}$
• Дилер устанавливает тайну: ${\displaystyle s=6\in Z_{11}}$
• Дилер строит случайный многочлен по ${\displaystyle Z_{11}}$ степени 2 - 1 (порог 2)
  • ${\displaystyle f^{0}(x)=6+2\times x}$
  • примечание ${\displaystyle f^{0}(0)=s=6}$
• Игрок 1 получает долю ${\displaystyle x_{1}^{0}=f^{0}(1)=6+2\times 1=8}$ и игрок 2 получает долю ${\displaystyle x_{2}^{0}=f^{0}(2)=6+2\times 2=10}$
• Чтобы восстановить секрет, используйте ${\displaystyle x_{1}^{0}}$ и ${\displaystyle x_{2}^{0}}$
  • С ${\displaystyle f^{0}(x)}$ это линия, мы можем использовать форму наклона точки для интерполяции
  • ${\displaystyle m=(f^{0}(2)-f^{0}(1))/(2-1)=(x_{2}^{0}-x_{1}^{0})/(2-1)=(10-8)/(2-1)=2/1=2}$
  • ${\displaystyle b=f^{0}(1)-m=x_{1}^{0}-2=8-2=6}$
  • ${\displaystyle f^{0}(x)=b+m\times x=6+2\times x}$
  • ${\displaystyle f^{0}(0)=6+2\times 0=6=s}$
• Чтобы обновить доли, всем сторонам необходимо построить случайные полиномы степени 1 такие, чтобы свободный коэффициент был равен нулю.
  • Игрок 1 конструирует ${\displaystyle \delta _{1}^{0}(z)=\delta _{1,1}^{0}\times z^{1}=2\times z^{1}}$
  • Игрок 2 конструирует ${\displaystyle \delta _{2}^{0}(z)=\delta _{2,1}^{0}\times z^{1}=3\times z^{1}}$
• Каждый игрок оценивает свой полином и делится некоторой информацией с другими игроками.
  • Игрок 1 вычисляет ${\displaystyle u_{1,1}^{0}=\delta _{1}^{0}(1)=2}$ и ${\displaystyle u_{1,2}^{0}=\delta _{1}^{0}(2)=4}$ в ${\displaystyle Z_{11}}$
  • Игрок 1 отправляет Игрока 2 ${\displaystyle u_{1,2}^{0}}$
  • Игрок 2 вычисляет ${\displaystyle u_{2,1}^{0}=\delta _{2}^{0}(1)=3}$ и ${\displaystyle u_{2,2}^{0}=\delta _{2}^{0}(2)=6}$ в ${\displaystyle Z_{11}}$
  • Игрок 2 отправляет Игрока 1 ${\displaystyle u_{2,1}^{0}}$
• Каждый игрок обновляет свою долю на ${\displaystyle x_{i}^{1}=x_{i}^{0}+u_{1,i}^{0}+u_{2,i}^{0}}$
  • Игрок 1 вычисляет ${\displaystyle x_{1}^{1}=x_{1}^{0}+u_{1,1}^{0}+u_{2,1}^{0}=8+2+3=2\in Z_{11}}$
  • Игрок 2 вычисляет ${\displaystyle x_{2}^{1}=x_{2}^{0}+u_{1,2}^{0}+u_{2,2}^{0}=10+4+6=9\in Z_{11}}$
• Подтвердите, что обновленные общие ресурсы генерируют тот же исходный секрет.
  • Использовать ${\displaystyle x_{1}^{1}}$ и ${\displaystyle x_{2}^{1}}$ восстановить полином ${\displaystyle f^{1}(x)}$
  • С ${\displaystyle f^{1}(x)}$ это линия, мы можем использовать наклон точки
  • ${\displaystyle m=(f^{1}(2)-f^{1}(1))/(2-1)=(x_{2}^{1}-x_{1}{1})/(2-1)=(9-2)/(2-1)=7/1=7}$
  • ${\displaystyle b=f^{1}(1)-m=x_{1}^{1}-7=2-7=-5=6}$
  • ${\displaystyle f^{1}(x)=b+m\times x=6+7\times x}$
  • ${\displaystyle f^{1}(0)=6+7\times 0=6=s}$

• Ключ (криптография)
• Генерация ключей
• Распределение ключей
• Управление ключами
• Секрет Шамира делится