39、基于单密码的秘密重建技术解析

基于单密码的秘密重建技术解析

1. 相关协议与方案概述

在密码学领域，有多种与阈值密码认证秘密共享（TPASS）相关的协议和方案。从通用多方计算（MPC）构建TPASS协议是可行的，但会产生效率低下的协议。因为我们的强安全要求需要将公钥操作编码到待评估电路中，而现有的MPC协议在每次检索时都需要执行昂贵的联合密钥生成步骤。

阈值密码认证密钥交换（TPAKE）与TPASS密切相关。TPAKE允许用户与每个服务器协商一个新的会话密钥，但不允许用户存储和恢复秘密。根据所需的安全属性，可以使用协商好的会话密钥通过安全通道传输存储的秘密份额，从而从TPAKE方案构建TPASS方案。

早期的TPAKE协议，如Ford和Kaliski以及Jablon提出的协议，未被证明是安全的。MacKenzie等人提出了第一个可证明安全的t - out - of - n TPAKE协议，Brainard等人的1 - out - of - 2协议在EMC的RSA分布式凭证保护中得到实现。然而，这些协议在与受损服务器进行检索时，要么会泄露密码，要么允许离线攻击。Di Raimondo和Gennaro的t - out - of - n TPAKE协议以及Katz等人的1 - out - of - 2协议在基于属性（即非通用组合，non - UC）的概念下被证明是安全的，但它们分别限制在n > 3t和(t, n) = (1, 2)的情况下。

Boyen提出了一个与TPASS相关的协议，用户可以使用单个服务器在密码下存储随机值。该协议虽然效率很高，但未能提供我们所需的大多数安全属性，例如服务器可以为用户设置错误的秘密，无法进行限流，也不提供通用组合（UC）安全性。

2.