Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• Ein Secret-Sharing-Verfahren heißt redundant, wenn nicht alle Teilgeheimnisse<br />
zur Rekonstruktion benötigt werden. Dadurch ist das Verfahren<br />
nicht anfällig gegen den Verlust einzelner Anteile.<br />
• Wir sprechen von � � t<br />
n -Secret-Sharing, wenn eine beliebige t-elementige<br />
Teilmenge der n ausgegebenen Anteile ausreicht, um das Geheimnis zu<br />
rekonstruieren. Damit sind automatisch alle Anteile gleichberechtigt. Im<br />
Gegensatz dazu gibt es Verfahren, die über unterschiedlich wertvolle Anteile<br />
verfügen oder explizite Gruppen (access structures) von Anteilen zur<br />
Rekonstruktion vorgeben.<br />
• Offensichtlich führt ein fehlerhafter Beitrag eines Teilnehmers bei der Rekonstruktion<br />
zu einem fehlerhaften Ergebnis. Das richtige Ergebnis und<br />
die Identität des Teilnehmers läßt sich im allgemeinen dann nur durch<br />
versuchsweises Durchprobieren aller möglicher Gruppen von Teilnehmern<br />
errechnen. Ein Secret-Sharing-Verfahren heißt robust, wenn es den Teilnehmern<br />
möglich ist, zu kontrollieren, ob andere Teilnehmer sich an das<br />
Protokoll halten. Hierzu muß man zusätzliche Informationen in die Teilgeheimnisse<br />
einbringen. Man spricht auch von verifizierbarem Secret-Sharing<br />
(insbesondere, wenn auch das Verhalten des Gebers geprüft werden kann).<br />
• Ein Secret-Sharing-Verfahren heißt ideal, wenn die Bitlänge des größten<br />
Anteils, der geheim gehalten werden muß, die Bitlänge des Geheimnisses<br />
nicht übersteigt. Es läßt sich zeigen, daß ideale Verfahren nicht gleichzeitig<br />
robust sein können.<br />
• Wenn das Geheimnis in Berechnungen verwendet werden soll, dann ist<br />
es unter Umständen möglich, die Berechnung in Teilberechnungen für<br />
die Inhaber der Teilgeheimnisse aufzubrechen, so daß diese die Berechnung<br />
durchgeführen können, ohne das Geheimnis dabei rekonstruieren zu<br />
müssen. Dies wird als Function-Sharing bezeichnet und eignet sich insbesondere<br />
für Funktionen mit gewissen Homomorphie-Eigenschaften. Der<br />
wichtigste Spezialfall von Function-Sharing ist das in Kapitel 3 beschriebene<br />
Key-Sharing.<br />
• Die Sicherheit eines verteilten Geheimnisses kann erhöht werden, wenn<br />
man die Teilgeheimnisse regelmäßig erneuert. Die alten Anteile werden<br />
dabei gelöscht, so daß ein potentieller Angreifer die benötigten Teilgeheimnisse<br />
innerhalb eines gewissen Zeitfensters erbeuten muß, da diese<br />
sonst ungültig und wertlos werden. Wichtig dabei ist, daß das eigentliche<br />
Geheimnis gleich bleibt. Ein Secret-Sharing-Verfahren, das es den Teilnehmern<br />
erlaubt, die Teilgeheimnisse zu erneuern, ohne daß Geheimnis<br />
dafür rekonstruieren zu müssen, heißt proaktiv.<br />
• Der Geber stellt eine große Schwachstelle von Secret-Sharing-Verfahren<br />
dar. In Situationen, wo das Geheimnis nicht a priori feststeht, sondern<br />
auch erst während des Verfahrens erzeugt werden kann (dies ist zum Beispiel<br />
bei kryptographischen Schlüsseln der Fall), ist es möglich, auf den<br />
Geber zu verzichten. Die Teilnehmer einigen sich dann auf ein Geheimnis<br />
14