Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3 Zero–<strong>Knowledge</strong> Proof<br />
einiger Wahrscheinlichkeit sagen kann, welches Zeugnis A verwen<strong>de</strong>t. Das Protokoll ist<br />
Zeugnis–verbergend, wenn am En<strong>de</strong> <strong>de</strong>r Kommunikation B kein neues Zeugnis berechnen<br />
kann, welches er nicht schon <strong>zu</strong> Beginn <strong>de</strong>r Interaktion kannte.<br />
In [FS90a] wer<strong>de</strong>n dabei zwei zentrale Resultate bewiesen:<br />
1. Im Gegensatz <strong>zu</strong> Zero–<strong>Knowledge</strong> Protokollen bleibt die Zeugnis–ununterscheidbarkeit<br />
auch unter beliebiger Komposition, insbeson<strong>de</strong>re also auch unter paralleler<br />
Ausführung erhalten.<br />
2. Wenn eine Aussage min<strong>de</strong>stens zwei unabhängige Zeugnisse hat, dann ist je<strong>de</strong>s<br />
Zeugnis–ununterscheidbare Protokoll für diese Aussage auch Zeugnis–verbergend.<br />
Der entschei<strong>de</strong>n<strong>de</strong> Unterschied <strong>zu</strong> Zero–<strong>Knowledge</strong> Protokollen ist dabei, dass in<br />
<strong>de</strong>m Ausgabeprotokoll <strong>de</strong>s Provers eines Zero–<strong>Knowledge</strong> Protokolls überhaupt keine<br />
Information vorhan<strong>de</strong>n ist, die <strong>de</strong>r Verifier nicht auch selber berechnen könnte. Bei einem<br />
Zeugnis–verbergen<strong>de</strong>n Protokoll ist lediglich gefor<strong>de</strong>rt, dass in einem Ausgabeprotokoll<br />
<strong>de</strong>s Provers keine Information über das Geheimnis bzw. das Zeugnis enthalten ist.<br />
Definition 3.4 (Zeugnis–ununterscheidbar)<br />
Seien R eine binäre Relation, L = L(R) eine Sprache, x ein genügend großes Wort<br />
aus L und R(x) die Menge <strong>de</strong>r Zeugnisse für x. Ein Beweissystem (P, V) ist Zeugnis–ununterscheidbar<br />
über R, wenn für je<strong>de</strong>n Verifier V ∗ , alle z1, z2 ∈ R(x)<br />
und je<strong>de</strong> Hilfsfunktion f(·) für V ∗ die Familien {viewV ∗(P(x, z1), V ∗ (x, f(x)))}x∈L und<br />
{viewV ∗(P(x, z2), V ∗ (x, f(x)))}x∈L ununterscheidbar sind.<br />
Im Unterschied <strong>zu</strong>r Zero–<strong>Knowledge</strong> Definition wird dabei kein Simulator benötigt.<br />
In [FS90a] wird bewiesen, dass unter <strong>de</strong>r Vorausset<strong>zu</strong>ng <strong>de</strong>r Existenz von Einweg–<br />
Funktionen je<strong>de</strong> N P Sprache ein Zeugnis–ununterscheidbares Beweissystem mit konstanter<br />
Run<strong>de</strong>nzahl hat.<br />
Das Konzept <strong>de</strong>s Zeugnis–verbergends ist eine mögliche Alternative <strong>zu</strong> Zero–<strong>Knowledge</strong>.<br />
Es stellt geringere Anfor<strong>de</strong>rungen als Zero–<strong>Knowledge</strong>, erfüllt aber in vielen Fällen<br />
die Sicherheitsanfor<strong>de</strong>rungen in kryptographischen Protokollen.<br />
Im Rahmen dieser Arbeit ist die Eigenschaft eines Protokolls, Zeugnis–verbergend<br />
<strong>zu</strong> sein, nicht weiter relevant, so dass auf weitergehen<strong>de</strong> Erläuterungen verzichtet wird.<br />
3.6 Statistisch Korrekt versus Berechenbar Korrekt<br />
Eine weitere Unterscheidungsmöglichkeit bei bekannten Zero–<strong>Knowledge</strong> Protokollen ist<br />
die aus <strong>de</strong>r Sicht <strong>de</strong>s Verifiers, d.h. dass nach <strong>de</strong>m Grad <strong>de</strong>r Korrektheit <strong>de</strong>s Provers<br />
unterschie<strong>de</strong>n wird. 9<br />
9 Siehe da<strong>zu</strong> Definition 4.1, Korrektheitsbedingung, auf Seite 37<br />
34