Честная схема Diffie-Hellman

Честные криптосистемы представляют собой программный способ условного вручения документов (см. раздел 4.14). Этот пример взят из работ Сильвии Микали (Silvia Micali) [1084, 1085]. Он запатентован [1086, 1087].

В базовой схеме Diffie-Hellman группа пользователей использует общее простое число p и генератор g. Закрытым ключом Алисы является s, а ее открытым ключом t= g^smod p. Вот как сделать схему Diffie-Hellman честной (в этом примере используется пять доверенных лиц).

(1) Алиса выбирает пять целых чисел, s₁, s₂, s₃, s₄, s₅, меньших p-1. Закрытым ключом Алисы является

s= (s₁+ s₂+ s₃+ s₄+ s₅) mod p-1

а ее открытым ключом

t= g^smod p

Алиса также вычисляет

t_i = modp, для i= 1, . . . 5.

Открытыми частями Алисы являются t_i, а закрытыми - s_i.

(2) Алиса посылает закрытую и соответствующую открытую части каждому доверенному лицу. Например, она посылает s₁и t₂доверенному лицу 1. Она посылает tв KDC.

(3) Каждое доверенное лицо проверяет, что

t_i= mod p

Если это так, доверенное лицо подписывает t_iи посылает его в KDC.Доверенное лицосохраняет s_iв безопасном месте.

(4) Получив все пять открытых частей, KDC проверяет, что

t=(t₁* t₂* t₃* t₄* t₅) mod p

Если это так, KDC признает открытый ключ.

В этот момент KDC знает, что у каждого доверенного лица есть правильная часть, и что они при необходимости смогут восстановить закрытый ключ. Однако ни KDC, ни любые четыре доверенных лица не могут восстановить закрытый ключ Алисы.

Работы Микали [1084, 1085] также содержат последовательность действия для создания честного RSA и для объединения пороговой схемы с честной криптосистемой, позволяющей mдоверенным лицам из n восстановить закрытый ключ.