СХЕМА РАЗДЕЛЕНИЯ СЕКРЕТА МЕЖДУ ИЕРАРХИЧЕСКИ СВЯЗАННЫМИ УЧАСТНИКАМИ Текст научной статьи по специальности «Компьютерные и информационные науки»

Математические структуры и моделирование 2022. №4 (64). С. 117-121

УДК 004.056 DOI 10.24147/2222-8772.2022.4.117-121

СХЕМА РАЗДЕЛЕНИЯ СЕКРЕТА МЕЖДУ ИЕРАРХИЧЕСКИ СВЯЗАННЫМИ УЧАСТНИКАМИ

Н.Ф. Богаченко

к.ф.-м.н., доцент, e-mail: nfbogachenko@mail.ru

Омский государственный университет им. Ф.М. Достоевского, Омск, Россия

Аннотация. В статье рассматривается расширение протокола разделения секрета, учитывающее заданное на множестве участников отношение порядка. Порог схемы определяется узлами иерархии, потомки которых образуют полный набор листовых узлов. Алгоритм разделения секрета основан на вычисляемых ключевых материалах.

Ключевые слова: разделение секрета, иерархическая схема, вычисляемые ключи доступа.

Введение

Идея распределения секрета среди некоторой группы участников заложена в схему разделения секрета. При этом вводится понятие (к, п)-пороговой схемы: секрет делится между п участниками так, чтобы любые к и более участников могли восстановить секрет, но никакое меньшее число участников не могло бы получить никаких сведений о секрете. Наиболее известные протоколы разделения секрета — это схема Блэкли, основанная на свойствах пересечения к — 1-мерных гиперплоскостей в fc-мерном пространстве [1,2], и схема Шамира, в основе которой лежит тот факт, что для интерполяции многочлена степени к — 1 требуется к точек [1,3].

В классических схемах разделения секрета считается, что все субъекты, между которыми делится секрет, равноправны. Предположим теперь, что множество участников протокола (множество субъектов) V является частично упорядоченным. Заданное отношение порядка порождает орграф G = (V,E), описывающий иерархию субъектов. Множество узлов этого орграфа определяется множеством субъектов V, а на множество дуг Е накладывается требование отсутствия ориентированных циклов (в силу антисимметричности отношения порядка).

Примером такой иерархии может являться иерархия ролей в ролевой политике разграничения доступа [4,5]. В этом случае каждый участник протокола — элемент множества V — будет представлять группу пользователей или роль. Другие источники, порождающие иерархию субъектов, — это служба каталогов Active Directory или структура распределённой компьютерной информационной системы [6].

118 Н.Ф. Богаченко. Схема разделения секрета между иерархически...

Основная идея использования отношения порядка в схеме разделения секрета заключается в следующем: чем выше в иерархии участники протокола, тем меньшее их число необходимо для восстановления секрета. Впервые этот подход был описан в работе [3], при этом предполагалось, что чем выше субъект в иерархии, тем больше долей секрета (теней) он получает. Подобное решение поставленной задачи было расширено до многоуровневой схемы разделения секрета [7], предлагалось делить секрет на несколько теней по числу ярусов в иерархии, а затем каждую тень разбивать на подтени и раздавать на своём уровне. Так называемые совершенные схемы разделения секрета рассмотрены в обзорной работе [8]: задаётся структура доступа в виде графа, который определяет участников, имеющих возможность узнать секрет, если соберутся вместе. При этом ребром соединяются вершины, которые могут восстановить секрет, а любое независимое множество вершин не получает о секрете никаких знаний. В статье [9] представлен протокол разделения секрета, использующий схему Шамира и учитывающий иерархию участников за счёт вычислимых ключевых материалов. В данной работе также используются вычисляемые ключи доступа, подобно алгоритму распределения криптографических ключей, представленному в работе [10].

1. Протокол разделения секрета для древовидной структуры

Пусть требуется разделить секрет 5 между участниками множества V, на котором задано отношение порядка, определяемое ориентированным деревом Т = (V, Е). Пусть Ь — это множество листовых вершин ориентированного дерева Т: Ь = {у11 ,... ,У1т} и |£| = т. Схема разделения секрета для древовидной иерархии участников протокола состоит из следующих шагов.

1. Ориентированному дереву Т сопоставляется помеченное ориентированное дерево То по правилу: каждому узлу Ьг ориентированного дерева Т приписывается метка — уникальный идентификатор И^. Далее ориентированное дерево Тп называется деревом доступа.

2. Выбирается классическая схема разделения секрета. На её основе реализуется (т, т)-пороговый протокол: секрет 5 разделяется на т теней вх,..., вт. При этом для восстановления секрета 5 требуется собрать все т построенных теней.

3. Выбирается симметричный криптографический алгоритм: E — функция шифрования, D — функция расшифрования. В дальнейшем каждая тень секрета будет зашифрована этим алгоритмом.

4. Для корня дерева доступа Тр выбирается секретный ключ К\ — ключ доступа.

5. Для каждого узла Vi (г > 1) дерева доступа Тп ключ доступа К^ вычисляется. Правило вычисления Ki следующее: если дуга (ь^,Ьг) принадлежит множеству дуг Е дерева доступа Тр, то Ki = h(Kj о И^. Здесь h — криптографическая хеш-функция, о — конкатенация ключа доступа К^

Математические структуры и моделирование. 2022. №4 (64)

119

и идентификатора В силу свойств ориентированного дерева, в каждый узел, отличный от корня, входит ровно одна дуга, а значит алгоритм вычисления ключей доступа однозначно рассчитает ключи для всех узлов.

6. Тени 8х,...,8т шифруются на ключах доступа Кг1 ,...,Кгт. Эти ключи доступа вычислены для листовых узлов дерева доступа Т0. Итогом этого шага протокола является набор зашифрованных теней: E(Kll ,3-1),..., E(Klm ,Бт).

7. Каждому участнику протокола разделения секрета ^ выдаются следующие материалы: дерево доступа Т0, ключ доступа К^ и зашифрованные доли секрета E(Kh ,в1),..., E(K^m ,вт).

Пусть теперь Ук = {ь^,...,Ьгк} — участники протокола, собравшиеся для восстановления секрета. Процедура восстановления секрета 5 описывается следующей схемой:

1. Для каждого узла Ьг Е Ук, зная ключ Ki и дерево доступа Тр, вычисляются ключи доступа для листовых узлов, достижимых из узла Ьг. Обозначим это множество листовых узлов Ь(ьг), а получившиеся ключи доступа К, з Е {¿К Е 1(уг)}.

2. Для каждого узла Уг е Ук расшифровывается набор теней Sij = D(KlJ, E(Ki.)), з Е{Цы Е Ь(ьг)}.

3. Тени всех узлов Ьг Е Ук объединяются для восстановления секрета 5.

Заметим, что если Ук = {ьг1}, то в силу определения ориентированного дерева о достижимости всех листовых узлов из корня, Ь(ь\) = Ь. Это означает, что участник протокола, находящийся в вершине иерархии, сможет расшифровать все тени и восстановить секрет. Если Ук = Ь, то известны все ключи доступа Кг1 ,...,К1т и участники протокола также смогут расшифровать все тени и восстановить секрет. В общем случае очевидна справедливость следующего утверждения.

Предложение 1. Восстановить секрет в возможно тогда и только тогда, когда

Ь = и ).

Доказательство. Восстановить секрет 5 возможно тогда и только тогда, когда известны все доли секрета 3\,...,3т. Это, в свою очередь, возможно тогда и только тогда, когда известны ключи доступа листовых узлов дерева Тр К^,...,К1т. Последнее имеет место тогда и только тогда, когда выполнено условие предложения. ■

2. Произвольная иерархическая структура

Пусть теперь иерархия, порождаемая отношением порядка на множестве V, описывается произвольным орграфом С = (У,Е) без ориентированных циклов.

Для реализации представленного протокола разделения секрета необходимо перейти от произвольной иерархии к древовидной. Идея алгоритма перехода от произвольного орграфа к ориентированному дереву следующая. Каждый

120 Н.Ф. Богаченко. Схема разделения секрета между иерархически.

узел V исходного графа, полустепень захода которого ё+(ь) > 1, расщепляется на ¿+(у) узлов. К каждому узлу присоединяется дубликат поддерева, порождённого узлами, достижимыми из узла V в исходном орграфе. Запускать процесс расщепления узлов необходимо от узлов наиболее удалённых от вершины иерархии. Алгоритм подробно описан в работе [11]. При этом ограничением на исходный орграф, помимо отсутствия ориентированных циклов, является наличие в орграфе единственного источника. Очевидно для случая нескольких источников ограничение легко достигается добавлением к иерархии фиктивного узла, который дугами соединяется со всеми источниками.

Пусть согласно описанному алгоритму исходному орграфу С сопоставлено ориентированное дерево Тс. Каждому узлу V в орграфе С соответствует множество узлов Т(ь) в ориентированном дереве Тс. Очевидно, что мощность множества Т(ь) больше или равна 1.

Тогда схема разделения секрета для иерархии, представленной орграфом С, будет состоять из следующих шагов.

1. Орграфу С сопоставляется помеченный орграф С в аналогично шагу 1 протокола разделения секрета, описанного в разделе 1.

2. За счёт расщепления узлов с числом входящих дуг большим единицы, орграфу Со сопоставляется ориентированное дерево ТСо.

3. Для ориентированного дерева ТСо выполняются шаги 2-7 описанного в разделе 1 протокола разделения секрета. На шаге 7 отличие заключается в том, что каждый участник протокола Ьг получает несколько ключей доступа, соответствующих узлам множества Т(ьг) в ориентированном дереве Т0в.

Заключение

Описанный в работе криптографический протокол можно отнести к классу пороговых схем разделения секрета. Но в классических (к, п)-пороговых схемах параметр к является постоянным. В представленном протоколе, напротив, число участников, необходимое для восстановления секрета, является переменной величиной. Параметр к варьируется на отрезке [1,т], где т - число листовых узлов иерархии участников протокола. Таким образом, восстановить секрет может либо один участник, находящийся в вершине иерархии, либо т участников, являющихся листовыми узлами, либо некоторое промежуточное число участников, потомки которых образуют покрытие множества листовых узлов.

Возвращаясь к интерпретации иерархии участников протокола как иерархии ролей или меток безопасности некоторой политики разграничения доступа, представленный подход можно применить для реализации коллективного разграничения доступа: доступ к ресурсам может получить группа пользователей, занимающих определённый уровень в иерархии.

Математические структуры и моделирование. 2022. №4 (64)

121

Литература

1. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М. : Триумф, 2002. 816 с.

2. Blakley G.R. Safeguarding cryptographic keys (англ.) // Proceedings of the 1979 AFIPS National Computer Conference. Montvale: AFIPS Press, 1979. P. 313-317.

3. Shamir A. How to share a secret // Communications of the ACM. 1979. V. 22, Iss. 11. P. 612-613.

4. Ferraiolo D.F., Kuhn D.R. Role-Based Access Controls // 15th National Computer Security Conference. Baltimore MD, 1992. P. 554-563.

5. Sandhu R.S., Coynek E.J., Feinsteink H.L., Youmank C.E. Role-Based Access Control Models // IEEE Computer. February 1996. V. 29, No. 2. P. 38-47.

6. Богаченко Н.Ф. Разграничение доступа на основе вычислимых криптографических ключей // Омские Научные чтения [Электронный ресурс] : материалы Всероссийской научно-практической конференции (Омск, 11-16 декабря 2017 г.). Омск : Изд-во Ом. гос. ун-та, 2017. С. 312-315.

7. Nojoumian, M., Stinson, D.R. Sequential Secret Sharing as a New Hierarchical Access Structure // J. Internet Serv. Inf. Secur. 2015. V. 5. P. 24-32.

8. Парватов Н.Г. Совершенные схемы разделения секрета // Прикладная дискретная математика. 2008. № 2(2). С. 50-57.

9. Belim S.V., Bogachenko N.F. Hierarchical Scheme for Secret Separation Based on Computable Access Labels // Automatic Control and Computer Sciences. 2020. V. 54, No. 8. P. 773-778.

10. Belim S.V., Bogachenko N.F. Distribution of Cryptographic Keys in Systems with a Hierarchy of Objects // Automatic Control and Computer Sciences. 2016. V. 50(8). P. 777-786.

11. Bogachenko N.F. Local Optimization of the Role-Based Access Control Policy // CEUR Workshop Proceedings. 2017. V. 1965.

SSCHEME FOR SHARING A SECRET BETWEEN HIERARCHICALLY

RELATED PARTICIPANTS

N.F. Bogachenko

Ph.D.(Phys.-Math.), Associate Professor, e-mail: nfbogachenko@mail.ru

Dostoevsky Omsk State University, Omsk, Russia

Abstract. The article considers an extension of the secret sharing protocol that takes into account the order relation specified on the set of participants. The schema threshold is determined by the hierarchy nodes whose descendants form a complete set of leaf nodes. Secret sharing algorithm based on calculated key materials.

Keywords: secret sharing, hierarchical scheme, computed access keys.

Дата поступления в редакцию: 05.12.2022