Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

5 Perfekte Zero–Knowledge Arguments mit polynomieller Rundenzahl 2. E berechnet y = f(x) und überprüft, • ob die B(hj, y), 1 ≤ j ≤ n − 1, den von S in der Festlegungshase Pkt. 3 übersandten ηj entsprechen und • ob y = yσ, falls η = 0 bzw. ob y = y1−σ, falls η = 1 ist . Es ist klar, dass das Protokoll in Polynomialzeit von beiden Parteien ausgeführt werden kann. Nachfolgend wird gezeigt, dass es tatsächlich ein perfekt sicheres Bit– Commitment-Protokoll ist. 5.4 Beweis der Sicherheit Als erstes wird die grundlegende Eigenschaft als Bit–Commitment–Scheme bewiesen. Satz 5.2 Falls eine Einweg–Permutation f existiert, dann ist das Schema aus Protokoll 5.1 ein perfekt–sicheres berechenbar–eindeutiges Bit–Commitment–Scheme. Der Beweis folgt aus den beiden folgenden Sätzen, dem Sicherheits-Satz und dem Eindeutigkeits-Satz. Satz 5.3 (Sicherheits-Satz) Nach der Festlegungsphase ist für jeden Empfänger E ∗ das Bit σ informationstheoretisch sicher verborgen. Beweis: Induktiv kann über j geprüft werden, dass für jede Wahl der h1, . . . , hj die bedingte Wahrscheinlichkeit von y über h1, . . . , hj und η1, . . . , ηj in dem von h1, . . . , hj und η1, . . . , ηj definierten Unterraum gleichverteilt ist. Somit ist die Wahrscheinlichkeit in der Festlegungsphase bei Pkt. 4, dass y = y0 ist, exakt 1. Daher wird mit η keine Infor- 2 mation über σ verbreitet. Satz 5.4 (Eindeutigkeits-Satz) Angenommen, es existiert eine probabilistische polynomiell–beschränkte Maschine S ∗ (n), die dem Protokoll in der Festlegungsphase folgt, und einem ehrlichen Empfänger für ein σ zwei unterschiedliche Werte mit nichtvernachlässigbarer Wahrscheinlichkeit (bezüglich der Münzwürfe) ε = ε(n) offenbarte. Dann existierte auch eine probabilistische polynomiell–beschränkte Maschine A, die für eine nichtvernachlässigbare Anzahl von y ∈ {0, 1} n f invertieren kann. Beweis: Es wird eine Maschine A zum Invertieren von f unter Anwendung eines derartigen S ∗ konstruiert. A hat eine feste Polynomialzeit-Grenze und bricht die Berechnung ab, 45
5 Perfekte Zero–Knowledge Arguments mit polynomieller Rundenzahl wenn die Grenze überschrittten wird. Unter der Annahme, dass eine Menge Ω von ε(n) Bruchteilen von Zeichenketten existiert, und unter der Voraussetzung, dass S ∗ mit ω ∈ Ω initialisiert wird, kann S ∗ zwei unterschiedliche Werte von σ nach der Festlegungsphase von n − 1 Runden aufdecken. Mit der Festlegung eines beliebigen aber festen ω wird S ∗ als deterministische Maschine betrachtet. Das ist möglich, weil A mit dem Zufallsband von S ∗ wiederholt ausgeführt werden kann und initialisiert wird mit ωi, i := 1, ..., m = 1 ε2 und der Wahrscheinlichkeit der ωi ∈ Ω von 1 − e−√m ∗ . Daher wird S nachfolgend als determinstischer Algorithmus betrachtet. Die Antworten ηi von S ∗ auf die Fragen hi von E definieren einen Baum T mit Wurzel, dessen Kanten aus {0, 1} markiert werden. Ein Pfad von der Wurzel zu einem Blatt ist durch die Zuweisung von h1, . . . , hn−1 definiert und wird mit den η1, . . . , ηn−1 gekennzeichnet. Ein Knoten U in Stufe i entspricht einem Zustand von S ∗ nach i − 1 Schritten und wird definiert durch h1, . . . , hi−1 und η1, . . . , ηi−1. Die abgehenden Kanten von U entsprechen den 2 n−i möglichen Fragen von E. Diese Kanten werden mit den Antworten von S ∗ markiert. Zu beachten ist, dass die Antwort aufgrund einer möglichen Täuschung seitens S ∗ nicht konsistent sein muss und auf dieselbe Frage unterschiedliche Antworten in Abhängigkeit der vorhergehenden Fragen gegeben werden könnten. Bezeichne u ein Blatt, dann ist {yo(u), y1(u)} die Menge, die aus den Antworten von S ∗ folgt. u wird als gut bezeichnet, wenn gilt: Sei u durch die Fragen von E festgelegt. Dann kann S ∗ das Bit–Commitment auf zwei unterschiedliche Wege öffnen; S ∗ invertiert sowohl y0(u) als auch y1(u). Protokoll 5.2 (Beschreibung von A) A erhält als Eingabe eine zufällige Zeichenkette y ∈ {0, 1} n und versucht y zu invertieren. Um f −1 (y) zu berechnen, versucht A, ein gutes Blatt u zu finden, so dass y ∈ {y0(u), y1(u)} gilt. An der Wurzel beginnend entwickelt A Knoten für Knoten einen Pfad, der zu y konsistent ist. Sei j fest gewählt mit n − 8 log ε + 1 . Für j Runden führt A folgendes aus: Für 1 ≤ i < j sind in Runde i die h1, . . . , hi−1 definiert, so dass die Marken η1, . . . , ηi−1 mit ηi = B(hi, y) bestehen. Dann wird ein zufälliges h aus 0i−11{0, 1} n−i gewählt. Anmerkung: h ist linear unabhängig von hk für k < i. Wenn die Kante h die Markierung B(h, y) hat, wird hi = h und der Pfad wird durch den neuen Knoten erweitert. Andernfalls wird S ∗ auf den Zustand vor seiner Antwort zurückgesetzt und ein neuer Kandidat für hi wird ausgewählt. Das wird solange wiederholt, bis entweder ein erfolgreiches hi gefunden wurde oder kein Kandidat mehr übrig ist. Im diesem Fall bricht A die weitere Berechnung ab. Wenn A die j-te Stufe erreicht, schätzt A die restlichen n − j Fragen hj, hj+1, . . . , hn−1 und prüft, ob der Pfad zu dem Blatt zu B(y, hi) konsistent markiert ist. Wenn das der Fall und das erreichte Blatt gut ist, konnte A y invertieren. 46
Seite 1 und 2: Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8: 1 Einleitung von Protokollen. Die M
Seite 9 und 10: 1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12: 2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14: 2 Definitionen eine weitere Notwend
Seite 15 und 16: 2 Definitionen Analog der probabili
Seite 17 und 18: 2 Definitionen Neben der Angabe des
Seite 19 und 20: 2 Definitionen Zahlen beschreibt. D
Seite 21 und 22: 2 Definitionen • Eindeutigkeit (e
Seite 23 und 24: 2 Definitionen • InP ⊆ In ist d
Seite 25 und 26: 2 Definitionen sozusagen mit ” Hi
Seite 27 und 28: 2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47 und 48: 5 Perfekte Zero-Knowledge Arguments
Seite 49: 5 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 101 und 102:
7 Berechenbare Zero-Knowledge Argum
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
8 Zusammenfassung und weiterführen
Seite 113 und 114:
Literatur Literatur [Bab85] Babai,
Seite 115 und 116:
Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118:
Literatur in Lecture Notes in Compu
Seite 119 und 120:
Literatur [Sta02] Stammnitz, Peter:
Seite 121:
N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?