摘  要： 在利用門限秘密共享方案構(gòu)造的單方加密-多方解密的公鑰加密方案中，發(fā)送者有唯一的加密密鑰，不同解密者有不同解密密鑰。密文可以被任一解密密鑰得到同一明文，即多個(gè)接收者均可解密該密文，因此此類方案適用于廣播/組播和會(huì)議密鑰的安全分發(fā)等場(chǎng)景。龐遼軍等人提出了一個(gè)單方加密-多方解密的公鑰加密方案，并稱其具備前向保密性。通過對(duì)其方案進(jìn)行具體分析，表明其并不能滿足前向保密性。
關(guān)鍵詞： 秘密共享；門限方案；雙線性對(duì)；前向保密性

    隨著數(shù)字電視等數(shù)字信息服務(wù)的普及，人們對(duì)用戶的身份認(rèn)證與通信保密性也提出了更高要求。發(fā)送者希望密文只能被經(jīng)過授權(quán)的接收者所解密，而未授權(quán)的接收者將不能解密。無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)中的廣播/組播業(yè)務(wù)對(duì)于發(fā)送方和接收方也有類似要求。因此，如何保證上述情景下的通信安全亟待解決。
    1976年，DEFFIE W和HELLMAN M E首次提出了公鑰密碼體制這一概念[1]，意味著同一消息的加密與解密密鑰不同且成對(duì)出現(xiàn)。加密密鑰即公鑰是公開的，而解密密鑰即私鑰唯有解密方知道， 因此通信前無需進(jìn)行密鑰協(xié)商。公鑰加密方案常用于傳遞秘密信息和協(xié)商會(huì)話密鑰。盡管公鑰加密方案能夠解決單播加密問題，但由于只有一個(gè)解密私鑰，因此在廣播/組播和會(huì)議密鑰的安全分發(fā)等應(yīng)用場(chǎng)景中仍存在效率低的局限性。由此單方加密-多方解密的公鑰加密方案應(yīng)運(yùn)而生。
    1979年，SHAMIR A提出了秘密共享方案[2]，使得單方加密-多方解密成為可能。單方加密-多方解密即具有一個(gè)發(fā)送者、多個(gè)接收者。發(fā)送者持有唯一的加密密鑰，只需加密一次，而多個(gè)解密方則持有各自不同的解密密鑰，加密方加密過的密文可以被任一解密方持有的解密密鑰所解密，得到同一則明文消息，即多個(gè)解密方均可解密該密文。這一概念最初是由BAUDRON O等人[3]與BELLARE M等人[4]在將單接收者推廣到多接收者的基礎(chǔ)上提出的。此后，BAEK J等人利用雙線性配對(duì)構(gòu)造了基于身份的具有多接收者的公鑰加密方案[5]。
    最近，龐遼軍等人提出了一個(gè)單方加密-多方解密的公鑰加密方案[6]，并稱其方案滿足前向保密性。然而遺憾的是，本文通過具體分析，表明其方案并不能滿足前向保密性。
1 預(yù)備知識(shí)
1.1 雙線性配對(duì)
    (G1，+)、(G2，·)為兩個(gè)階數(shù)均為素?cái)?shù)p的循環(huán)群，其中前者為加法群，后者為乘法群；令P為G1的生成元。稱變換e：G1×G1→G2為雙線性變換，如果滿足下面的性質(zhì)：
    (1)雙線性：對(duì)任意P1、P2和Q∈G1，有e(P1+P2，Q)=e(P1，Q)e(P2，Q)成立。
    (2)非退化性：存在P∈G1即e(P，P)≠1，也就是說e(P，P)是G2的生成元。
    (3)可計(jì)算性：對(duì)任意P1，P2∈G1，存在有效算法計(jì)算e(P1，P2)。
1.2 SHAMIR A的秘密共享方案
    SHAMIR A提出的基于Lagrange插值公式構(gòu)造的(t，n)門限秘密共享方案[2]如下：

    因此發(fā)送者的主密鑰SS泄漏將會(huì)導(dǎo)致以前建立的會(huì)話密鑰k的泄漏，從而威脅到之前發(fā)送消息的保密性，即龐遼軍等人[6]的方案不具備前向保密性。
    本文針對(duì)龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]進(jìn)行了具體分析，指出其方案并不能滿足其所聲稱的前向保密性，即加密者的主密鑰泄漏，將會(huì)影響到之前加密過的信息的安全性。
參考文獻(xiàn)
[1] DIFFIE W，HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory，1976(22)：474-492.
[2] SHAMIR A.How to share a secret communications of the ACM[J].1979，22(11)：612-613.
[3] BAUDRON O，POINTCHEVAL D，STERN J.Extended notions of security for multicast public key cryptosystems[C]. Proceedings of the Automata，Languages and Programming 27th International Colloquium，Geneva，Switzerland，2000.
[4] BELLARE M，BOLDYREVA A，MICALI S.Public-key encryption in a multi-user setting: Security proofs and improvements[C].Proceedings of the International Conference  on the Theory and Application of Cryptographic Techniques，Bruges，Belgium，2000.
[5] BAEK J，SAFAVI N R，SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386：Proceedings of the 8th Int  Workshop on Theory and Practice in Public Key Cryptography，Berlin：Springer，2005.
[6] 龐遼軍，李慧賢，裴慶祺，等.一個(gè)單方加密-多方解密的公鑰加密方案[J].計(jì)算機(jī)學(xué)報(bào)，2012，35(5)：1059-1066.
[7] 龐遼軍，裴慶祺，焦李成，等.基于ID的門限多重秘密共享方案[J].軟件學(xué)報(bào)，2008，19(10)：2739-2745.