Честная схема Diffie-Hellman

Честные криптосистемы представляют собой программный способ условного вручения документов (см. раз­дел 4.14). Этот пример взят из работ Сильвии Микали (Silvia Micali) [1084, 1085]. Он запатентован [1086, 1087].

В базовой схеме Diffie-Hellman группа пользователей использует общее простое число р и генератор g. За­крытым ключом Алисы является s, а ее открытым ключом t = g^s mod/;. Вот как сделать схему Diffie-Hellman честной (в этом примере используется пять доверенных лиц).

(1) Алиса выбирает пять целых чисел, s_u s₂, s₃, s₄, s₅, меньших p-l. Закрытым ключом Алисы является
s = (_Sl+ s₂+ s₃+ s₄+ s₅) mod p-l

а ее открытым ключом

t = g mod p

Алиса также вычисляет

t,=g^s- mod p, для i = 1,... 5.

Открытыми частями Алисы являются t„ а закрытыми - s,.

(2) Алиса посылает закрытую и соответствующую открытую части каждому доверенному лицу. Например, она посылает ^ и t₂ доверенному лицу 1. Она посылает t в KDC.

(3) Каждое доверенное лицо проверяет, что U = g^s- mod p

Если это так, доверенное лицо подписывает t, и посылает его в KDC. Доверенное лицо сохраняет s, в безо­пасном месте.

(4) Получив все пять открытых частей, KDC проверяет, что

t=(ti* t2*h*U* t_s) mod p

Если это так, KDC признает открытый ключ.

В этот момент KDC знает, что у каждого доверенного лица есть правильная часть, и что они при необход и-мости смогут восстановить закрытый ключ. Однако ни KDC, ни любые четыре доверенных лица не могут вос­становить закрытый ключ Алисы.

Работы Микали [1084, 1085] также содержат последовательность действия для создания честного RSA и для объединения пороговой схемы с честной криптосистемой, позволяющей т доверенным лицам из п восстановить закрытый ключ.