Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Sicherheit des Verfahrens Ein Angreifer, dem es gelingt, bis zu t − 1 Teilgeheimnisse<br />
si in Erkenntnis zu bringen, kann dadurch keine Rückschlüsse auf<br />
das Geheimnis s ziehen. Wenn t − 1 Stützstellen des geheimen Polynoms bekannt<br />
sind, exisitiert für jeden denkbaren Wert s ′ genau ein Polynom, welches<br />
alle Stützstellen und diesen Wert s ′ beinhaltet. Aufgrund der Konstruktion<br />
des Polynoms ist jedes dieser möglichen Polynome gleichwahrscheinlich. Das<br />
Shamir-Verfahren ist somit informationstheoretisch sicher im Shannon’schen<br />
Sinne.<br />
2.3 Verifizierbares Secret-Sharing<br />
Eine Hauptmotivation für den Einsatz von Secret-Sharing ist die Möglichkeit,<br />
Angriffe auf die Vertraulichkeit und Verfügbarkeit des Geheimnisses abzuwehren.<br />
Durch das Shamir-Verfahren wird sichergestellt, daß das Geheimnis einem<br />
Angreifer nur in die Hände fallen kann, wenn er Kenntnis von einer Mindestmenge<br />
an Teilgeheimnissen erhält. Trotzdem kann ein Angreifer, der die Kontrolle<br />
über einige wenige Teilnehmer erhält, zumindest die Verfügbarkeit des Geheimnisses<br />
empfindlich stören, wenn er die Rekonstruktion sabotiert. Es ist nämlich<br />
bei der Kombination der Teilgeheimnisse nicht möglich zu erkennen, ob der<br />
Beitrag einzelner Teilnehmer korrekt war oder nicht. Das macht es schwierig,<br />
betrügerische Teilnehmer auszuschließen. Von einem robusten Secret-Sharing-<br />
Verfahren wird verlangt, daß es auch eine gewisse Menge an Teilnehmern verkraftet,<br />
die sich nicht an alle Einzelheiten des Protokolls halten. Eine wichtige<br />
Komponente robuster Secret-Sharing-Verfahren sind verifizierbare Teilgeheimnisse,<br />
die wir in diesem Abschnitt besprechen wollen.<br />
Das Shamir-Verfahren funktioniert, wenn sich alle Teilnehmer (inklusive des<br />
Gebers) an die vorgeschriebenen Protokollabläufe halten. Das Geheimnis ist<br />
dann gegenüber Außenstehenden (und gegenüber einer Minderheit an Teilnehmern)<br />
geschützt, kann aber bei Bedarf durch Kooperation rekonstruiert werden.<br />
Man sagt, die Teilnehmer seien neugierig, aber ehrlich (curious, but honest).<br />
Teilnehmer, die sich nicht an das Protokoll halten, können die Rekonstruktion<br />
aufhalten. Außerdem kann ein Teilnehmer sich nicht sicher sein, daß sein Anteil<br />
überhaupt korrekt gebildet wurde (Übertragungsfehler, Sabotage, betrügerischer<br />
Geber). Beide Mängel können mit einem Verfahren von Torben Pedersen<br />
[Ped92] behoben werden, das auf einem Commitment des Gebers beruht<br />
und die Verifikation der Teilgeheimnisse ermöglicht. Dieses Verfahren zeichnet<br />
sich gegenüber anderen vorgeschlagenen Verfahren dadurch aus, daß es ohne<br />
Interaktionen zwischen den Teilnehmern oder mit dem Geber auskommt und<br />
daß durch die zusätzlichen Verifikationsinformationen keinerlei Hinweise auf das<br />
Geheimnis gegeben werden.<br />
2.3.1 Das Pedersen-Verfahren<br />
Das Verfahren benötigt eine weitere Primzahl q mit q = mp + 1 für ein beliebiges<br />
(möglicherweise kleines) m. Dadurch ergibt sich der Körper (Z/qZ), der<br />
über eine Untergruppe Gp der Ordnung p verfügt. Sei g ∈ Gp ein erzeugendes<br />
Element von Gp und h ∈ Gp ein weiteres Element aus Gp, für das der diskrete<br />
11