纠错密钥加密

Question

假设我有一个从 N 个不同输入派生密钥的方案。每个输入可能并不完全安全（例如错误的密码），但组合起来它们是安全的。执行此操作的简单方法是将所有输入按顺序连接并使用哈希作为结果。

现在我想允许仅在 N 输入中给出 N-1 进行密钥派生（或者更确切地说是密钥解密）。实现此目的的一个简单方法是生成随机密钥 K，从输入的不同 N 子集中生成 N 个临时密钥，每个密钥都包含缺少一个输入（即 Hash(input_{1}, ..., input_{N-1})、Hash(input_{0}, input_{2}, ..., input_{N-1}) , 哈希(输入_{0}, 输入_{1}, 输入_{3},..., 输入_{N-1}), ..., 哈希(输入_{0}, ..., 输入_{N-2 })) 然后使用 N 密钥中的每一个对 K 进行加密并存储所有结果。

现在我想要一个通用的解决方案，我可以使用 N 输入中的 K 来解密密钥。扩展上述方案的简单方法需要存储（N 选择NK）值，这很快就变得不可行。

是否有一个好的算法，不需要这么多的存储空间？

我想过一种使用沙米尔秘密共享方案之类的方法，但想不出一个好方法，因为输入是固定的。

Answer 1

纠错码是解决问题最直接的方法。然而，它们并不是特别容易实施。

最好的方法是使用里德所罗门代码。当您第一次导出密码时，您还可以计算代码所需的冗余并存储它。当您想要重新计算密钥时，您可以使用冗余来纠正错误或丢失的输入。

Answer 2

加密/创建：

获取 N 个输入。以良好/安全的方式将每个块变成一个块。使用 Reed Solomon 从 N 个块组合生成 M 个冗余块。现在你有N+M个区块，总共只需要N个就可以生成原来的N个区块。

使用 N 个块来加密或创建安全密钥。

如果是第一个，则存储加密密钥和 M 个冗余块。如果是第二种，则仅存储 M 个冗余块。

解密/检索：

取 N - R 正确的输入块，其中 R =< M. 将它们与您存储的冗余块组合起来以创建原始的 N 个块。使用原始的 N 个块来解密或创建安全密钥。

（感谢https://stackoverflow.com/users/492020/giacomo-verticale：这基本上就是他的/她说，但我认为更明确/更清楚。）

Answer 3

Shamir 的共享秘密 是一种当您想要将秘密分割为多个共享时使用的技术这样只有最少 k 个部分的组合才能揭示最初的秘密。如果您不确定发起者的正确性并且想要验证这一点，请使用可验证的秘密共享 .两者均基于多项式插值

Answer 4

一种方法是生成一个纯随机密钥（或者通过散列所有输入，如果您出于某种原因想避免 RNG），使用 k-of-n 阈值方案对其进行分割，并使用单独的密钥对每个共享进行加密密码输入（例如，通过 PBKDF2 发送 100000 次迭代，然后使用 AES-CTR/HMAC 加密/MAC）。这比存储哈希子集需要更少的存储空间；大约 N * （共享大小 + salt 大小 + MAC 大小）

Answer 5

您不应简单地允许大量输入中出现一些错误，而应将输入分为几组，并在每组中允许一定数量的错误。如果您允许 64 个输入中有 4 个错误，那么您必须拥有 15,249,024 个加密密钥，但如果您将其分为两组，每组 32 个，每组允许两个错误，那么您只需要拥有 1984 个加密密钥。

一旦您解密了每个组的密钥信息，然后将其用作您最终想要的解密密钥的输入。

此外，与您最终想要的密钥相比，从每个组获取的密钥一定不能微不足道。不要简单地将 256 位密钥分解为 8 个 32 位密钥。这样做将允许能够解密其中 7 个关键部分的人尝试对最后一个部分进行暴力攻击。如果您想要访问 256 位密钥，那么您必须在整个过程中使用 256 位密钥。