摘  要： 在利用門限秘密共享方案構造的單方加密-多方解密的公鑰加密方案中，發送者有唯一的加密密鑰，不同解密者有不同解密密鑰。密文可以被任一解密密鑰得到同一明文，即多個接收者均可解密該密文，因此此類方案適用于廣播/組播和會議密鑰的安全分發等場景。龐遼軍等人提出了一個單方加密-多方解密的公鑰加密方案，并稱其具備前向保密性。通過對其方案進行具體分析，表明其并不能滿足前向保密性。
關鍵詞： 秘密共享；門限方案；雙線性對；前向保密性

    隨著數字電視等數字信息服務的普及，人們對用戶的身份認證與通信保密性也提出了更高要求。發送者希望密文只能被經過授權的接收者所解密，而未授權的接收者將不能解密。無線網絡和有線網絡中的廣播/組播業務對于發送方和接收方也有類似要求。因此，如何保證上述情景下的通信安全亟待解決。
    1976年，DEFFIE W和HELLMAN M E首次提出了公鑰密碼體制這一概念[1]，意味著同一消息的加密與解密密鑰不同且成對出現。加密密鑰即公鑰是公開的，而解密密鑰即私鑰唯有解密方知道， 因此通信前無需進行密鑰協商。公鑰加密方案常用于傳遞秘密信息和協商會話密鑰。盡管公鑰加密方案能夠解決單播加密問題，但由于只有一個解密私鑰，因此在廣播/組播和會議密鑰的安全分發等應用場景中仍存在效率低的局限性。由此單方加密-多方解密的公鑰加密方案應運而生。
    1979年，SHAMIR A提出了秘密共享方案[2]，使得單方加密-多方解密成為可能。單方加密-多方解密即具有一個發送者、多個接收者。發送者持有唯一的加密密鑰，只需加密一次，而多個解密方則持有各自不同的解密密鑰，加密方加密過的密文可以被任一解密方持有的解密密鑰所解密，得到同一則明文消息，即多個解密方均可解密該密文。這一概念最初是由BAUDRON O等人[3]與BELLARE M等人[4]在將單接收者推廣到多接收者的基礎上提出的。此后，BAEK J等人利用雙線性配對構造了基于身份的具有多接收者的公鑰加密方案[5]。
    最近，龐遼軍等人提出了一個單方加密-多方解密的公鑰加密方案[6]，并稱其方案滿足前向保密性。然而遺憾的是，本文通過具體分析，表明其方案并不能滿足前向保密性。
1 預備知識
1.1 雙線性配對
    (G1，+)、(G2，·)為兩個階數均為素數p的循環群，其中前者為加法群，后者為乘法群；令P為G1的生成元。稱變換e：G1×G1→G2為雙線性變換，如果滿足下面的性質：
    (1)雙線性：對任意P1、P2和Q∈G1，有e(P1+P2，Q)=e(P1，Q)e(P2，Q)成立。
    (2)非退化性：存在P∈G1即e(P，P)≠1，也就是說e(P，P)是G2的生成元。
    (3)可計算性：對任意P1，P2∈G1，存在有效算法計算e(P1，P2)。
1.2 SHAMIR A的秘密共享方案
    SHAMIR A提出的基于Lagrange插值公式構造的(t，n)門限秘密共享方案[2]如下：

    因此發送者的主密鑰SS泄漏將會導致以前建立的會話密鑰k的泄漏，從而威脅到之前發送消息的保密性，即龐遼軍等人[6]的方案不具備前向保密性。
    本文針對龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]進行了具體分析，指出其方案并不能滿足其所聲稱的前向保密性，即加密者的主密鑰泄漏，將會影響到之前加密過的信息的安全性。
參考文獻
[1] DIFFIE W，HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory，1976(22)：474-492.
[2] SHAMIR A.How to share a secret communications of the ACM[J].1979，22(11)：612-613.
[3] BAUDRON O，POINTCHEVAL D，STERN J.Extended notions of security for multicast public key cryptosystems[C]. Proceedings of the Automata，Languages and Programming 27th International Colloquium，Geneva，Switzerland，2000.
[4] BELLARE M，BOLDYREVA A，MICALI S.Public-key encryption in a multi-user setting: Security proofs and improvements[C].Proceedings of the International Conference  on the Theory and Application of Cryptographic Techniques，Bruges，Belgium，2000.
[5] BAEK J，SAFAVI N R，SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386：Proceedings of the 8th Int  Workshop on Theory and Practice in Public Key Cryptography，Berlin：Springer，2005.
[6] 龐遼軍，李慧賢，裴慶祺，等.一個單方加密-多方解密的公鑰加密方案[J].計算機學報，2012，35(5)：1059-1066.
[7] 龐遼軍，裴慶祺，焦李成，等.基于ID的門限多重秘密共享方案[J].軟件學報，2008，19(10)：2739-2745.