TELKOM NIKA Indonesia n  Journal of  Electrical En gineering   Vol.12, No.6, Jun e  201 4, pp. 4463 ~ 4 4 6 7   DOI: 10.115 9 1 /telkomni ka. v 12i6.548 3          4463     Re cei v ed  De cem ber 2 4 , 2013; Re vi sed  Febr uary 18,  2014; Accept ed March 3, 2 014   Improved Multi-secret Sharing Scheme Based  on   One-Wa y Function      Geng Y o n g -J un* 1 G uo L i -Zheng 1 Z h eng Ming-Hui 2   1 Departme n t of Computer Sci ence a nd T e chnol og y, He nan  Univers i t y   of Urban C onstructi on,   Ping din g sh an  467 03 6, Hena n, Chin a   2 Information Ac adem y H ube i Univers i t y   of Nation aliti e s,   Enshi 4 4 5 000,  Hub e i, Chi n a   *Corres p o ndi n g  author, e-ma i l : geng @hnc j.e du.cn       A b st r a ct   T he w eakn e ss  He-D aw son thresho l multi - secret sh arin g  sche m e  is  pr esente d  a n d  a naly z e d .   By usi n g  the  one-w a y fu ncti on th ou ght  in  the H e -D aw so sch e m e, a new  multi- use   an d multi-sec r e t   shari ng sc he me is  pro pose d . T he i m prove d  sche m e  is  multi-ti me-us e   of onc e se cr et s hares  distri buti o n   and ca n resist consp i rin g  atta ck. F u rthermor e , the new   scheme is multi-s e cret s hari ng, grou p secrets c a n   be r e co nstructed  in fr ee  ord e r a n d  differe nt gro u p  secre t  is corr espo n d in g to  differe nt thresh ol d v a l u e   w h ich can  mee t  w i th different practica l ap plic ation. At  last, the sec u rity an d efficie n cy of the n e w  propos e d   mu lti-secret sh arin g sche m are an aly z e d .      Ke y w ords   Lagr ang e int e r pol ating  poly n o m i a l, li near  pro j ec tive g e o m etry, secret shari ng, thresh old,  one- w a y function         Copy right  ©  2014 In stitu t e o f  Ad van ced  En g i n eerin g and  Scien ce. All  rig h t s reser ve d .       1. Introduc tion   Secret sha r i ng  schem es ba sed  on   Lagrang int e rpol ating p o lynomial an line a proje c tive ge ometry were  prop osed in depe ndently  by Blakley [1 ] and Shami r  [2]. In a (t,  n)  threshold  se cret sh arin g scheme, secret holde r deliv e r s t he dist in ct   se cret   valu es (call ed share s   or shado ws)  to n partici pa nts. At least t or more p a rticipa n ts  can  combi ne the i r sh are s  an recover the  se cret, b u t o n ly t-1 o r  le ss me mbe r s cann’t. Based  on the s e  propertie s se cret  sha r ing  ha been  used i n  many fiel d s  of m ode rn  crypto graph y and i s  a n   importa nt pa rt of  mode rn  crypt ogra phy.The  motivation for se cret shari ng is  se cu re  key man age ment. In som e   situation s , th ere i s  u s ually  a key that provides a c ce ss to many im portant file s. If such  a key  is  lost (e.g., the pe rson  wh o knows th e  key i s  lo s t, or th com puter th at st ore s  the  key is  destroyed ), then  all the  im portant  files b e com e  in a ccessible. T he  basi c  i dea  in  se cret  shari n g is  to divide the  se cret  key int o  pie c e s  a nd  distrib u te  the  pieces to  different  perso n s  so  that ce rtain   sub s et s of th e pe rson ca n get tog e th er to  re cove r the key. Th e thoug ht ca n be  re alize d  b y   mathemati cs  method s. A (t, n) thre sh old  scheme i s  a  techni que to  sha r e a  key  among  n u s e r s.   A thresh old  scheme h a s many pra c tical ap plicati ons, such a s  ope ning a  bank vault  or  authenti c atin g an ele c tro n i c  fund s tran sf er. Ho weve r,  there a r several  situation s  in which m a ny  different  se crets n eed  to  b e  sha r ed  am ong  a g r o up of  users.  In a   straightforwa r d app roa c h, we   can  solve th e pro b lem  b y  using  any  exiting thre shol d sch e m e  rep eatedly  and di strib u t ing   multiple se cret shad ows to each  user i n  the grou p.  Acco rdin g to [3], when a grou p se cret has  been re co nst r ucte d,  if  ano ther se cret n eed  to be  re con s tru c ted,it  is  requi re d that the trust ed  cente r  (T C)  redi strib u te fresh  sha r e s  to ev ery parti cipa nt, which   is called a  one-time -u se  scheme. T o   distrib u te sha r es i s  a ve ry  pun ctilio u s  and  co stly proce s s.  For t h is rea s on, t h e   prop erty of  multi-time-use of on ce  secret sh ar es distrib u tion i s  ne ce ssary  in se cret sh a r ing  scheme s . He -Da w son [4]  prop osed a  multi-sta ge  se cret  sha r in g schem e to  sha r e m u ltiple  se cret s ba se d on one -wa y  function. They use d  the public shift techni que to obtain the true  sha r e s  a nd t he  su ccessiv e  ap plicatio n s  of  one -w ay functio n  to  make  the  se crets  re co nstructed   stage -by-stag in sp eci a o r de r.  Th e sch e me allo ws   a g r o u p  o f  us er s to   s h ar e mu ltip le   s e c r e t s   and  ea ch  use r  o n ly nee ds t o  keep  on shado w.  L a ter,  Ha rn  [5] pro posed  an  alte rnative  sche me   to reali z e the   same  functio n . Cha ng [6]  also  pro p o s e d  a sch e me t hat he  claime d it wa s supe rior  to He-Da w so n and  Ha rn’ s  two sche me s. Ho weve r, Cha ng de cla r ed hi s sche m e  re con s truct e d   Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 6, June 20 14:  4463 – 4 467   4464 grou se cret s in th e fixed  ord e rath er than fr ee order. Re cently anothe r sev e ral multi-se cret  s c h e m e [7 -9 w e re  pr op os ed , th e r  a r e  les s  e ffic i en t tha n   H e -D aws o n s   sc h e m e   wh ic h us es  one - way functio n  to reali z e mult i-se cret sh ari ng.  In this pape r, we will sho w  He -Dawso n sc heme’ wea k n e ss th at it is one-time-u se  scheme  an can’t  end ure   con s pi ring  attack. At t he same  time, we  shall also use   the one -way  function  thou ghts i n  the  He-Dawso scheme  to  p r o pose  a   ne w multi-secret sharin g sche me.   The  ne w sc h e me  is mult i-t i me-u se of   o n ce se cr et sh are s  di strib u tion an d secure. Furthe rmo r e,  the ne w sch e m e is  multi-secret shari n g ,  grou secre t s ca n be  re constructe d in  free o r de r a nd  different grou p se cret is co rre sp ondi ng to different  thresh old value  whi c h can m eet with different  pra c tical  ap pl ication. At la st, the  se cu ri ty  of the ne w p r op osed  multi-secret  sha r ing  sch e m betwe en the  new a nd the  old schem e a r e analy z ed.       2. Chara ceri s tics o f  One - w a y  Hash Fu nction   A hash fun c tion  () is a transfo rmatio n that takes a  variabl e-si ze input m and return s a   fixed-si ze  stri ng, which i s   called th e h a sh value   h  (that  is h  =  h (m)). Has h  func tions   with jus t  this  prop erty h a ve a va riety of  gen eral   com putational  u s es, b u when   employed  in   cryptog r a phy  the   hash fun c tion s a r usually  cho s e n  to  ha ve som e  a ddi tional p r op erti es. T he b a si c req u irement for a  crypto g r aphi ha sh f unctio n  a r e: t he inp u t can  be of  any le ngth, the o u tput ha s a  fixed   length,  h  (x) is relatively ea sy to comput e for any given  x  ,  (x) is one-way,  h  (x ) is colli sion -fre e.   A hash fun c ti on  h   () is said  to be  one -wa y  if  it is hard t o  invert,  wher e "ha r d to i n vert" mea n s th a t   given a ha sh  value  h , it is comp utationa lly infeasible t o  find som e  input  x  such that h (x) =  h .  If  given a me ssage  x , it is co mputationally  infeasi b le to  find a me ssa ge  not equ al to  x  su ch  t hat     h  (x ) =  h  (y) t hen  h   ()   is said to be a weakly co lli sion-free hash function. A strongly collision-free   hash fun c tion   h()  is  one fo r whi c h it i s  co mputationally  infeasi b le to  find any two   messag es x and  y s u ch that  h( x)  =   h ( y ) . T h e ha sh value  rep r e s ent s conci s ely the l onge r me ssa ge or  do cum ent  from which it  wa s comp ute d ; one  can  th ink of a  me ssage di ge st as a "digital fin gerp r int" of th e   large r  do cum ent. Examples of well-kn o w n ha sh  fun c tions are MD2 and MD5  and SHA. Perh aps  the main  rol e  of a  crypto grap hic  ha sh  function  i s  i n  the p r ovisi on of digital  sign ature s . T h e   followin g  sch e mes u s e th e characte rist ics of the  ha sh fu nctio n  to re alize effi cient m u lti-se cret   sha r ing.       3. He-Da w s o n’s  Multi-se cret Sharin g Scheme   In  He -Dawso n’s schem e, the  tru s ted center (T C)  g enerat es the  gro up  se cre t s an make s g r ou membe r re construct g r ou p se crets in   speci a l order.  They claim e d  their sch e me  to   be a  multi-ti me-u se  sch e m e of o n ce  se cret  sh ar e s  di strib u tion.  Thei sche me notatio ns are  defined  a s  fol l ows. Let   p p Z Z h :  be  any on e-way  function  an p is a  big  p r i m e inte ger  while  ) ( m h k  denote s   k succe s sive appli c atio ns of h  to m; i.e.,  m m h ) ( 0 , and   )). ( ( ) ( 1 m h h m h k k  A ssum e  t he TC want s t o  sha r e k  se cret i s  (for  ) , , 2 , 1 k i and at  least t pa rtici pants  ca n re con s tru c t the  se cret s. Th en, the T C  randomly  cho o se n distin ct   integers  i ID   ( f o r   ) * p i Z ID as the  parti cipa nts’ pu bli c  identity informatio n and  performs th f o llowin g  st ep s:   Step 1:  Rand omly choo se  n x x x , , , 2 1 ) ( * p i Z x as the secret  sha r e s Step 2:  For  k i , , 2 , 1 execute s  the followin g  step s:  1. Con s tru c ts a polynomial   ) ( x P i  of degree (t -1) and  i i s P ) 0 ( 2. Compute s   ) ( j i ij ID P Z ,for  n j , , 2 , 1 3. Compute s   ) ( 1 j i ij ij x h Z d as the shift value s  and  ) ( 1 j i x h as the  pse udo share s   , for  n j , , 2 , 1 Step 3:    Delivers  i x to each partici pant se cretly and pu blish e s all  ij d , f o k i , , 2 , 1   and  n j , , 2 , 1 Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Im proved Mul t i-se cret Sharing Schem Bas ed o n  On e-Way F u n c tion (Ge ng Yo ng-Jun )   4465 At least t  parti cipa nts provid e th eir p s e udo  sha r e s  in  the spe c i a l order:  ) ( , ), ( ), ( 0 2 1 j j k j k x h x h x h (for  t j , , 2 , 1 ),  to recons truc t the  polynomials    ) ( x P i  for  . 1 , , 1 , k k i                                                                         Then ea ch  se cret i s  re con s tructed th rou gh the followi ng formul a ( . 1 , , 1 , k k i ):  l a b b b a b t a ia a l i i ID ID ID d x h P s , 1 1 1 ) ) ( ( ) 0 (    (1)        The se cret are re co nstruct ed in the sp e c ial orde r;   1 1 , , , s s s k k     4. The Shortage of  He-Da w s o n’s Sche me  He-Da w son’ s Schem e  isn’ t  multi-time-u se   schem e.   To  re con s tru c t  the  final   se cret  1 s , at lea s t t p a rticip ants m u st p r ovide  t heir pseud sha r e s   ) ( 0 i x h for  t i , , 2 , 1 . Note that  i i x x h ) ( 0 . So, after  rec o ns truc ting  all the  s e cret s ,   the  TC mu st di strib u te n e se cret  sh ado w ' i x  to each pa rti c ipa n t over a  se cret ch ann el  be cau s e ol memb er se cret sh are s   i x  has  bee publi c ized. Thus, their  sch e mes b e lon g s  to the one -time-u s sche me.      He-Dawso n’ s sch e me  can’t  endu re  con s pi ring  attack.  If  someone  first  p r ovide s   her/hi s   pseu do  sh are   ) ( 1 1 x h ,  the  other   partici pant s  can   e a sily   obtain he r/hi s pseud o   s h ar es   ) ( , ), ( ), ( 1 1 1 3 1 2 x h x h x h k . Th en o n ly (t-1 ) othe part i cipa nts  can  co ope rate  to  rec o n s t r u c t  t he se cret k s s s , , , 3 2     5. The Improv ed   Multi-time-use Multi-secret Sharing Scheme    5.1. Sy stem  parame ters I n itialization  and Secre t  Shado w s dis t ribution    The p r op ose d  sche me n o t ations a r d e fined a s  foll ows. Let  p p Z Z h :  be  a se cu re  one-way fun c tion and p i s   a big p r ime in teger  while  ) ( m h k  denote s  k  su ccessive appli c ations  of   h to m and g is a primitive element of  * p Z .   A ssu me t he TC wa nt s t o  sha r e k g r ou p se cret i s   (for  ) , , 2 , 1 k i and diffe rent t parti cip ants  can  reconstr uct the  corre s p ondin g  gro up secrets.  the  tru s ted cente r  (TC)  ran domly  cho o s e s n dist in ct   int e g e rs   i ID  ( ) * p i Z ID as th e   partici pant s’ publi c  inform ation and p e rf orm s  the follo wing  step s:  Step 1: Rand omly choo se  n x x x , , , 2 1 ) ( * p i Z x as the mem b er se cret sh ares.   Step 2:  For  n i , , 2 , 1  execute s  the  followin g  step s:  1) Con s tru c polynomial  ) ( x P i  of degree  (t-1) an d comp ute gro up  se cret i s  ,  ) 0 ( i P v p g s v i mod 2) Comp ute  ) ( j i ij ID P Z , for  n j , , 2 , 1 3) Comp ute, p x h c j i ij mod ) ( 1  ,  ) ( 1 j i ij ij x h Z d  and  p g q ij c ij mod   as the pse udo  s h ares  , for  n j , , 2 , 1 4) Comp ute  p g r ij d ij mod  for  n j , , 2 , 1 Step 3: Deliver  i x to each particip ant se cretly and pub lish all  ij r  for  k i , , 2 , 1  and   n j , , 2 , 1   5.2. Group Secre t  Re con s truc tion   Without l o si n g  ge ne rality, assume  that  different g r oup  se crets reco nstructio n  poli c exit in the gro up. For e a ch  policy, there is a  corre s po n d ing g r ou p se cret a nd thre shol d value.  i s   Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 6, June 20 14:  4463 – 4 467   4466 ( ) , , 2 , 1 n i are g r ou se cret s. Assum e  to recon s truct the  group  se cret  l s by the co -op e ration   of at least  particip ants . T hey provide t heir p s eu do  share s   lj q  (for  l j , , 2 , 1 ) to the gro up  se cret  combi ner. After the  group  se cret combin er re ceive s  pseud o sha r e s   lj q , he reconst r u c ts  the grou p se cret  l s  throug h the followi ng formul a:      l j b b b j b ID ID ID lj lj l j l q r s , 1 ) ( 1   l j l j b b b j b j l j l lj ID ID ID x h x h Z g 1 , 1 1 1 )) ( ) ( (   p g l P mod ) 0 (                                            (2)    The group  se cret s can be reco nstructe d in the free order.       6. Analy ses  of the Impro v ed  Scheme’s Securit y     6.1.  The Scheme is Multi-time-use    To re con s tru c t the gro up  se cret  l s , at least l parti cip ants mu st provide their p s eu do  s h ar es   lj q .  From  p g q lj c lj mod , attacker can’t get  p x h c j l lj mod ) ( 1  be ca use  it is  a discrete log a rithm proble m . Though at tacker can ge lj c , he still can’t get  i x  beca u se of one- way functio n s  ch ara c te r.  On the other  hand,  to  sha r e k se crets in  our sche me, each parti cip ant  only need to  kee p  one  se cret sha r i x   6.2.  The Ne w   S c heme is Multi-secr et Shar ing  It improves the flexibility of  t he scheme and  can meet  with di fferent practical   appl ication  becau se diffe rent g r ou se cret s i s  corre s po ndin g   to  different  se cret polynomi a l function  in t he  scheme i n itial i zation.  T he  grou p secret  i s  ( ) , , 2 , 1 k i  can b e  re constructe d in  free o r de r. If  l s is b e  recon s tructed,  1 l s  and   1 l s  isn’t  influ e n c ed be ca use a ttacke can’t  get mem ber  se cret  sha r ing a c co rding to discre te logarithm p r oble m   6.3.  Less than T h reshold Val u e Members  can’t Recon s truc t Corre sponding Gr oup Secre t   Attac k e r s  c an’t  r e cover  s e cr et  polynomial  ) ( j l ID P  becau se th ese  pro b lem s  are  ba sed  on discrete lo garithm p r obl em se cu rity  and Shamir’ s  secret sha r in g scheme.     6.4.  The Scheme  can Resis t   Cons piring Attac k   If some gro up memb ers want to co nspi ring atta ck to ge nerate grou p secret, the  recons truc ting formula  c a n’t work   s u cc es s f u lly be ca u s e attacke r  can’t imperso n a te right  lj r     7. Analy ses  of  the Impro v ed  Scheme’s Performan c e   Shamir’ s   se cret sha r ing, d i screte l oga rithm p r oble m   and  one  way  functio n  a r use d  in   the multi-se cret shari ng  scheme   so  that  their co mputation co mplexity  is different.  Th eir   differen c of  perfo rman ce  i s  li sted in  the  followin g  Ta ble 1.   repre s ent s the  se curity me chani sm  is used an d ×rep re sent s the se curity me cha n ism i s n’t use d         Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Im proved Mul t i-se cret Sharing Schem Bas ed o n  On e-Way F u n c tion (Ge ng Yo ng-Jun )   4467 Table 1. Perf orma nce Co mpari s o n  of Schem e 1 [4], Scheme 2 [10] and Improved Sche me   Securit y  mechani sm  Improved schem e    Scheme 1 [4]     Scheme 2  [10]   Shamir’s secret sharing             discrete logarithm problem    ×    one w a function      ×      The three  scheme i s  em u l ated in  su ch  runt ime envi r onm ent  a s  Cele ron 1.4G Hz +  1 G   RAM + Wi n dows XP + VC8.0. The  experim ent  ma inly comp ares mem ber  se cret  shad o w   distrib u tion a nd sh arin g se cret recon s truction’ s e ffici ency in the th ree  sch eme.  Sha1 is  sele cted   as o ne way functio n , mod u lo  p of 51 2 , 768,102 4 an d 1280  bit  is sele cted.Th e  comp ari s on  of  efficien cy in tne three  sche me is a s  following Fig u re 1 .           Figure 1. Co mpari s o n  of Membe r  Secret  Shadow  Di stributio n and  Sharing Se cret  Rec o ns truc tion’s  Effic i enc y  in the Three Sc heme      8. Conclusio n   The  sh ortag e of  He-Da w son’ s m u lti-se cret  sha r i ng   sch e me  wa s an alyzed a n d   pre s ente d  in  this a r ticle,  which i s  o n e - time-u se  sche me an d can’t  re sist  con s p i ring  attack. A  improve d  ne w multi-se cret shari ng schem e wa prop osed by  using the o ne-way funct i on   thought in  t he He-Da w son scheme. The  im prove d   sch e me i s  multi-time -u se  of on ce  secret  sha r e s  di stri bution an d can re si st con s piri ng  atta ck. Furthermore, the new  schem e is m u lti- se cret  sha r in g, grou p se crets ca n be  re con s tru c ted i n  free o r de and different grou p secret  is   corre s p ondin g   to diffe rent  thre shol d val ue  which  can   meet with  different  practi ca l appli c ation.  At  last, the se cu rity and efficiency of the n e w propo se d multi-secret sharin g sche m e  are an alyze d     Referen ces   [1]   GR  Blakley .   Sa feguar din g  cryptogra phic k e y s . Nationa l Co mputer Co nfer enc e. 19 79; 48 (1): 165-1 72.   [2]    A Shamir. Ho w  to share a secret.  Commu n ic ations of the A C M . 1979; 22( 11): 612- 61 3.  [3]    Wen-ai J a ckson, Keith M Mar t in , Christine M  O’Keefe. On s haring  many  s e crets. Asiacr ypt’94. 1994:   42-5 4 [4]    J He, E  Da w s on. Mu ltistag e  secret s hari n g b a sed  o n  o ne- w a y functi o n Electronics Letters. 199 4;   30(1 9 ): 159 1-1 592.   [5]    L Harn. Multist age secr et sha r ing b a sed  on  one- w a y functi on.  Electron ics  Letters . 1995;  31(4): 26 2.  [6]    T i ng-Yi Ch an g, Min-S h ia ng  H w a n g , W e i-Pa ng Y a n g . A  ne w   multi-st age  s e cret sh arin g s c heme  usi n g   one- w a y functi on.  Association for Co mp utin g  Machin ery . 20 05; 39(2): 4 8 -5 5.   [7]    Z hou Yous he ng. D y namic  multi-secret  s hari ng schem e base d  on cellu lar a u toma ta.  Journal o f   computer res e arch an d dev el op me nt.  2012;  49(9): 19 99- 20 04.   [8]    Hou  Jia n ch un . Improved  v e rifia b le  multi- secret sh arin g  schem e.  Co mp uter   E ngi n eeri ng an d   Appl icatio ns.  2 012; 48( 14): 94 -97.   [9]    Han H u i y i ng. Varia b le thres h o l d muti-secret  s hari ng schem e, Natural sci e n ce jo urna l of harb i n norm a l   univ e rsit y .  2 0 1 2 ; 28(3): 29-3 1 .   [10]    Z hao JJ, Z han g JZ , Z hao R. A practi ca l veri fiabl e multis ecr e t shari ng sch eme.  Co mp ute r  Standar ds  &   Interfaces . 200 7; 29(1): 13 8-1 41.    mem be r s ec ret  s had ow  di str ib uti on 0 50 0 10 00 15 00 20 00 25 00 30 00 51 2 7 6 8 10 24 12 80 the  l eng th  of  m odu lo  p  (bi t) tim e c o st  (μ s ) sch eme 2 imp rov ed sch eme 1 sha ring secret  reconstructi o n 0 20 0 40 0 60 0 80 0 10 00 12 00 14 00 16 00 512 7 68 1 024 1280 the l ength of modu lo p (bit) ti me c ost  s) sche me2 impr oved sche me1 Evaluation Warning : The document was created with Spire.PDF for Python.