Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5 Perfekte Zero–<strong>Knowledge</strong> Arguments mit polynomieller Run<strong>de</strong>nzahl<br />
5.1 Hintergrund<br />
Das Protokoll hat zwei Stufen. Zuerst wird gezeigt, wie ein informationstheoretisch sicheres<br />
Bit–Commitment–Scheme zwischen zwei polynomiell beschränkten Maschinen<br />
entworfen wird, welches auf je<strong>de</strong>r Einweg–Permutation aufbaut. Die Grundi<strong>de</strong>e da<strong>zu</strong><br />
wur<strong>de</strong>, jedoch unter an<strong>de</strong>ren Vorausset<strong>zu</strong>ngen, von Ostrovsky, Venkatesan und Yung in<br />
[OVY91] für unbeschränkte Maschinen veröffentlicht. Über dieses Verfahren hinaus ist<br />
das jetzt vorgestellte Protokoll so beschaffen, dass es in einer erwarteten polynomiellen<br />
Zeit simulierbar ist. Danach wird eine Reduktion <strong>de</strong>s ” perfekt-sicheren simulierbaren<br />
Bit–Commitment–Schemes“ auf ” perfekte Zero–<strong>Knowledge</strong> Argument“ angewen<strong>de</strong>t. Das<br />
grundsätzliche Schema, um verschie<strong>de</strong>ne Commitments mit verschie<strong>de</strong>nen Zero–<strong>Knowledge</strong><br />
Systemen <strong>zu</strong> verbin<strong>de</strong>n, wur<strong>de</strong> u.a. [IY87] entnommen.<br />
In <strong>de</strong>m vorgestellten Protokoll wer<strong>de</strong>n ausschließlich polynomiell–beschränkte Teilnehmer<br />
vorausgesetzt. Es wur<strong>de</strong> ausdrücklich als Mo<strong>de</strong>ll für die kryptographische Anwendung<br />
entwickelt. Ferner wer<strong>de</strong>n keine Trapdoor Eigenschaften benutzt, da Bit–Commitments<br />
und sichere interaktive Beweise keine Entschlüsselung benötigen son<strong>de</strong>rn lediglich<br />
die Urbil<strong>de</strong>r <strong>de</strong>r Commitments beweisen sollen.<br />
5.2 Mo<strong>de</strong>ll und Definitionen<br />
Die <strong>zu</strong>grun<strong>de</strong> liegen<strong>de</strong> Arbeit [NOVY92] beschreibt kein ” vollständiges“ Zero–<strong>Knowledge</strong><br />
Argument, son<strong>de</strong>rn lediglich <strong>de</strong>n dafür wichtigsten Teil <strong>de</strong>r Bit–Commitments für eine<br />
Reduktion auf ein Zero–<strong>Knowledge</strong> Argument. Die Teilnehmer <strong>de</strong>s Bit–Commitment-<br />
Protokolls wer<strong>de</strong>n als Sen<strong>de</strong>r S und Empfänger E bezeichnet. In einer tatsächlichen<br />
Implementation eines Zero–<strong>Knowledge</strong> Arguments mit diesem Bit–Commitment–Scheme<br />
kann daher <strong>de</strong>r Prover P als Sen<strong>de</strong>r o<strong>de</strong>r Empfänger <strong>de</strong>r Commitments vorkommen.<br />
Dieses ist abhängig davon, wie und für welchen Zweck das vorgestellte Bit–Commitment–Scheme<br />
in einem Zero–<strong>Knowledge</strong> Argument eingesetzt wird.<br />
Zugrun<strong>de</strong> liegt ein interaktives Argumentsystem mit Zusatzeingabe gemäß Abschnitt<br />
12, Seite 37, so dass bei<strong>de</strong> Maschinen polynomiell–beschränkt sind. Es wird unterstrichen,<br />
dass S zwar nur polynomielle Zeit benötigt, um das Protokoll <strong>zu</strong> erfüllen. Die Sicherheit<br />
bleibt aber auch erhalten, wenn S unbegrenzte Rechenkapazität hätte.<br />
Die Zusatzeingabe für <strong>de</strong>n Sen<strong>de</strong>r S liegt in Form eines ” Zeugnisses“ für die Behauptung<br />
vor. Der Empfänger E erhält keine Zusatzeingabe.<br />
O.b.d.A wird hier angenommen, dass <strong>de</strong>r Beweis eine Lösung für ein beliebiges SAT-<br />
Problem darstellt (an<strong>de</strong>rnfalls kann je<strong>de</strong>s N P-Problem <strong>zu</strong>sammen mit <strong>de</strong>m Zeugnis als<br />
Zusatzeingabe erst auf SAT reduziert wer<strong>de</strong>n). Am En<strong>de</strong> <strong>de</strong>s Protokolls akzeptiert E <strong>de</strong>n<br />
Beweis o<strong>de</strong>r weist ihn <strong>zu</strong>rück.<br />
finanziellen Transaktionsprotokollen eingesetzt, obwohl er nicht mehr als sicher gilt und En<strong>de</strong> <strong>de</strong>r<br />
90er Jahre <strong>de</strong>s letzten Jarhun<strong>de</strong>rts bereits innerhalb weniger Tagen berechnet wer<strong>de</strong>n konnte.<br />
42