Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

5 Perfekte Zero–Knowledge Arguments mit polynomieller Rundenzahl Die Zero–Knowledge Eigenschaften des Protokolls entsprechen der Definition 3.1 mit folgenden Änderungen: • Die Maschine M ∗ hat lediglich eine erwartete polynomielle Laufzeitbeschränkung. • {view S E ∗(x)}x∈L und {M ∗ (x)}x∈L sind identisch. Das verwendete Bit–Commitment–Scheme entspricht dem Grundprinzip aus Definition 2.16. Es wird nachfolgend konkretisiert: Definition 5.1 (Perfekt sicheres Commitment–Scheme) Sei (S, E) ein interaktives Beweissystem, σ ∈ {0, 1}, p ein beliebiges Polynom und n ein genügend großer Sicherheitsparameter. Ein Protokoll heißt perfekt sicheres Commitment–Scheme, wenn gilt: • Geheimhaltung: Wenn S dem Protokoll folgt, kann E nach der Festlegungsphase {view S(σ) E (n)}n∈ mit keiner größeren Wahrscheinlichkeit als 1 2 + 1 p(n) schätzen. • Festlegung: Wenn E dem Protokoll folgt, kann S nach der Festlegungsphase mit einer Wahrscheinlichkeit von mindestens 1 − 1 nur einen möglichen Wert auf- p(n) decken. Anmerkung: Man beachte, dass für die Definition des perfekt sicheren Commitment– Schemes der Empfänger E nicht polynomiell beschränkt sein muss. Es wird betont, dass die Geheimhaltung nicht darauf aufbaut, dass E polynomiell beschränkt ist. Reicht eine polynomielle Rechenzeit für E jedoch aus, so wird das Verfahren ” effizient“ genannt, worauf sich das vorliegende Protokoll konzentriert. Bei der Definition der Eigenschaften, die das Bit–Commitment haben muss, wurde ein Szenario vorausgesetzt, in dem {view S E(n)}n∈ von E nicht mit einer höheren Wahr- scheinlichkeit als 1 2 geschätzt werden kann. Im Allgemeinen15 bekommt E während der Kommunikation aber möglicherweise Informationen übermittelt, die es E erlauben könnten, mit einer Wahrscheinlichkeit größer als 1 zu schätzen. Die Definition für diesen Fall 2 sieht vor, dass der Vorteil, den E als Ergebnis der Festlegungsphase gewinnt, kleiner als 1 sein muss. Alle Resultate des vorgestellten Protokolls umfassen diesen allgemeinen p(n) Fall. Definition 5.2 (Polynomzeit simulierbar) Ein Commitment–Scheme wird als in Polynomzeit simulierbar (im Hinblick auf den Empfänger) bezeichnet, wenn für einen Empfänger E ∗ die Wahrscheinlichkeitsverteilung {view S E ∗(x)}x∈L als Teil von {M ∗ (x)}x∈L in erwarteter Polynomialzeit gemäß Zero–Knowledge Definition simuliert werden kann. 15 Da das vorliegende Protokoll für alle Einweg–Permutationen gültig ist, sind diesbezüglich keine Ein- schränkungen möglich. 43
5 Perfekte Zero–Knowledge Arguments mit polynomieller Rundenzahl 5.3 Perfekt–sicheres simulierbares Bit–Commitment Das perfekt–sichere Schema wird nachfolgend aufgeführt und dessen Sicherheit bewiesen. Grob skizziert funktioniert es wie folgt. Der polynomielle Sender S generiert eine Bit-Verschlüsselung, die von zwei möglichen Verteilungen stammt. Der Sender wird die Verschlüsselung aber nur als Element einer der beiden Verteilungen öffnen können, auch wenn die Verteilungen identisch sind. Das Schema baut auf beliebige Einweg–Permutationen auf. Protokoll 5.1 (Perfekt–sicheres simulierbares Bit–Commitment) Sei (S, E) ein interaktives Beweissystem mit Zusatzeingabe, f eine starke Einweg–Permutation auf {0, 1} n , σ ∈ {0, 1} das nur S bekannte Bit und B(x, y) das Skalarprodukt mod 2 von x und y. Festlegungsphase: 1. Der Sender S wählt ein zufälliges x ∈R {0, 1} n und berechnet y = f(x). S hält sowohl x als auch y vor E geheim. 2. Der Empfänger E wählt h1, . . . , hn−1 ∈ {0, 1} n so, dass jedes hi einen zufälligen Vektor über GF (2) in der Form 0 i−1 1{0, 1} n−i darstellt. Zufällig in diesem Sinn bedeutet, dass nach i−1 Nullen eine 1 folgt, an die sich eine beliebige Wahl für die letzten n − i Positionen anschließt. Die h1, . . . , hn−1 sind linear unabhängig über GF (2). 3. Für j von 1 bis n − 1 gilt • E sendet hj an S. • S berechnet ηj = B(hj, y) und sendet ηj an E. 4. Zu diesem Zeitpunkt existieren genau zwei Vektoren y0, y1 ∈ {0, 1} n , die ηj = B(hj, yi) erfüllen 16 mit i ∈ {0, 1} und 1 ≤ j ≤ n − 1. Dabei wird y0 als der lexikographisch kleinere der beiden Vektoren definiert. S und E berechnen beide y0 und y1. Sei η = 5. S berechnet η und sendet es an E. Öffnungsphase: 1. S sendet σ und x an E. 0 wenn y = yσ 1 wenn y = y1−σ 16 Dass zwei Vektoren ηj = B(hj, yi) erfüllen, liegt an der Eigenschaft von B(x, y) und daran, dass die h1, . . . , hn−1 linear unabhängig über GF(2) sind. 44
Seite 1 und 2: Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8: 1 Einleitung von Protokollen. Die M
Seite 9 und 10: 1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12: 2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14: 2 Definitionen eine weitere Notwend
Seite 15 und 16: 2 Definitionen Analog der probabili
Seite 17 und 18: 2 Definitionen Neben der Angabe des
Seite 19 und 20: 2 Definitionen Zahlen beschreibt. D
Seite 21 und 22: 2 Definitionen • Eindeutigkeit (e
Seite 23 und 24: 2 Definitionen • InP ⊆ In ist d
Seite 25 und 26: 2 Definitionen sozusagen mit ” Hi
Seite 27 und 28: 2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47: 5 Perfekte Zero-Knowledge Arguments
Seite 51 und 52: 5 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 99 und 100:
7 Berechenbare Zero-Knowledge Argum
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
8 Zusammenfassung und weiterführen
Seite 113 und 114:
Literatur Literatur [Bab85] Babai,
Seite 115 und 116:
Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118:
Literatur in Lecture Notes in Compu
Seite 119 und 120:
Literatur [Sta02] Stammnitz, Peter:
Seite 121:
N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?