Encryption

當攻擊者擁有 t-1 個共享時,Shamir 的密碼共享的秘密共享有多安全?

  • December 9, 2015

我正在設計協議以使用 Shamir 的秘密共享在k方之間共享隨機生成的**n長密碼。我知道除了密碼的大小之外,僅共享不會向攻擊者透露有關原始密碼的太多資訊。我現在的解決方案是使用常量模式將每個密碼擴展到 512 位。

當攻擊者擁有 t-1 份額並且知道拉伸模式時,這對暴力攻擊有多安全?有沒有更好的方法來混淆原始密碼大小?用對稱密碼加密密碼會更好嗎,比如說 AES256-CTR 和隨機密鑰K,然後用 SSS 算法拆分該密鑰?

Shamir 秘密共享是理論上安全的資訊。只要攻擊者知道的少於 $ t $ 分享。所以,即使有 $ t-1 $ 共享,攻擊者仍然對這個秘密一無所知。所以給出了蠻力攻擊 $ t-1 $ 共享是不可能的,即使是擁有無限計算資源的攻擊者也無法破解這個秘密。

對秘密使用確定性(但攻擊者知道)變換以使其為 512 位,然後秘密共享該值對於保護秘密的長度是很好的。

是的,您可以使用像 AES-256 這樣的對稱密碼來加密秘密,儘管您仍然需要填充秘密以隱藏長度。然後您可以與 SSS 共享加密密鑰。然而,這確實失去了資訊理論的安全性,因為 AES 在理論上不是資訊安全的。然而,在實踐中,我不認為這是一個主要問題。

引用自:https://crypto.stackexchange.com/questions/31150