Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
6 Perfekte Zero–<strong>Knowledge</strong> Arguments mit konstanter Run<strong>de</strong>nzahl<br />
6 Perfekte Zero–<strong>Knowledge</strong> Arguments mit konstanter<br />
Run<strong>de</strong>nzahl<br />
Die einzigen Arbeiten, die perfekte Zero–<strong>Knowledge</strong> Argument in konstanter Run<strong>de</strong>nzahl<br />
vorstellen, stammen von Brassard, Crépeau und Yung [BCY89, BCY91] und bauen auf<br />
<strong>de</strong>n Arbeiten von Brassard, Crépeau sowie Chaum [BC86, Cha87, BCC88] auf.<br />
Das hier vorgestellte Protokoll entspricht <strong>de</strong>r Veröffentlichung [BCY91]: Constantround<br />
perfect zero-knowledge computationally convincing protocols und ist<br />
diesem <strong>zu</strong>m größten Teil entnommen.<br />
Bei diesem Verfahren wird die Sicherheit <strong>de</strong>s Provers bedingungslos garantiert, auch<br />
wenn mächtige Organisationen mit unbekannter Berechnungsmöglichkeit und algorithmischen<br />
Kenntnissen versuchen, das Geheimnis <strong>de</strong>s Provers <strong>zu</strong> erlangen, siehe da<strong>zu</strong> auch<br />
Unterschied zwischen berechenbarem und perfektem Zero–<strong>Knowledge</strong> in Abschnitt 3.2 auf<br />
Seite 31.<br />
Die Arbeit [BCY91] besagt folgen<strong>de</strong>s:<br />
Satz 6.1 (Hauptergebnis)<br />
Unter <strong>de</strong>r Vorausset<strong>zu</strong>ng, dass es unmöglich ist, <strong>de</strong>n diskreten Logarithmus einer natürlichen<br />
Zahl in polynomieller Zeit <strong>zu</strong> berechnen, existiert ein perfektes Zero–<strong>Knowledge</strong><br />
Argument Protokoll mit nur drei Run<strong>de</strong>n, um alle Sprachen in N P <strong>zu</strong> entschei<strong>de</strong>n.<br />
Das Protokoll basiert auf <strong>de</strong>r Verwendung eines Bit–Commitment–Schemes. Um nicht<br />
nur ein einzelnes Bit son<strong>de</strong>rn ganze Zeichenketten gesichert übertragen <strong>zu</strong> können, bei<br />
<strong>de</strong>m die Geheimhaltung auch bei paralleler Anwendung erhalten bleibt (siehe da<strong>zu</strong> Abschnitt<br />
2.5 ab Seite 15), wird in diesem Protokoll eine ” Verzahnung“ zweier Bit–Commitment–Schemes<br />
vorgenommen.<br />
In einem Standard Bit–Commitment–Scheme, wie es z.B. in Abschnitt 2.5 vorgestellt<br />
wur<strong>de</strong>, wird von <strong>de</strong>m Prover ein Bit verschlüsselt und <strong>de</strong>m Verifier mitgeteilt. Zu einem<br />
späteren Zeitpunkt wird das verschlüsselte Bit vom Prover aufge<strong>de</strong>ckt. Beim Einsatz<br />
in einem Zero–<strong>Knowledge</strong> Argument hängt die Öffnung eines Commitments u.a. von<br />
<strong>de</strong>r Wahl <strong>de</strong>s Verifiers ab. In dieser Wahl durch <strong>de</strong>n Verifier, im weiteren Verlauf auch<br />
Öffnungswahl o<strong>de</strong>r Öffnungsauffor<strong>de</strong>rung (in englischen Originaltexten oft challenge:<br />
Herausfor<strong>de</strong>rung) genannt, liegt das Problem <strong>de</strong>r parallelen Ausführung. In bestimmten<br />
Konstellationen kann <strong>de</strong>r Verifier, nach<strong>de</strong>m er die Commitments erhalten hat, seine<br />
Wahl <strong>zu</strong>r Öffnung <strong>de</strong>r Commitments so treffen, dass <strong>de</strong>r Verifier nach <strong>de</strong>r Öffnung das<br />
Geheimnis <strong>de</strong>s Provers berechnen kann.<br />
Das Funktionsprinzip <strong>de</strong>s hier vorgestellten Protokolls besteht darin, dass <strong>de</strong>r Verifier<br />
<strong>de</strong>m Prover schon vor <strong>de</strong>r Festlegungsphase mitteilt, welche Commitments später geöffnet<br />
wer<strong>de</strong>n sollen. Damit nun aber <strong>de</strong>r Prover auch keine Täuschungsmöglichkeit hat,<br />
wird diese Wahl vom Verifier ebenfalls in einem Bit–Commitment–Scheme übermittelt.<br />
53