Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl 6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Die einzigen Arbeiten, die perfekte Zero–Knowledge Argument in konstanter Rundenzahl vorstellen, stammen von Brassard, Crépeau und Yung [BCY89, BCY91] und bauen auf den Arbeiten von Brassard, Crépeau sowie Chaum [BC86, Cha87, BCC88] auf. Das hier vorgestellte Protokoll entspricht der Veröffentlichung [BCY91]: Constantround perfect zero-knowledge computationally convincing protocols und ist diesem zum größten Teil entnommen. Bei diesem Verfahren wird die Sicherheit des Provers bedingungslos garantiert, auch wenn mächtige Organisationen mit unbekannter Berechnungsmöglichkeit und algorithmischen Kenntnissen versuchen, das Geheimnis des Provers zu erlangen, siehe dazu auch Unterschied zwischen berechenbarem und perfektem Zero–Knowledge in Abschnitt 3.2 auf Seite 31. Die Arbeit [BCY91] besagt folgendes: Satz 6.1 (Hauptergebnis) Unter der Voraussetzung, dass es unmöglich ist, den diskreten Logarithmus einer natürlichen Zahl in polynomieller Zeit zu berechnen, existiert ein perfektes Zero–Knowledge Argument Protokoll mit nur drei Runden, um alle Sprachen in N P zu entscheiden. Das Protokoll basiert auf der Verwendung eines Bit–Commitment–Schemes. Um nicht nur ein einzelnes Bit sondern ganze Zeichenketten gesichert übertragen zu können, bei dem die Geheimhaltung auch bei paralleler Anwendung erhalten bleibt (siehe dazu Abschnitt 2.5 ab Seite 15), wird in diesem Protokoll eine ” Verzahnung“ zweier Bit–Commitment–Schemes vorgenommen. In einem Standard Bit–Commitment–Scheme, wie es z.B. in Abschnitt 2.5 vorgestellt wurde, wird von dem Prover ein Bit verschlüsselt und dem Verifier mitgeteilt. Zu einem späteren Zeitpunkt wird das verschlüsselte Bit vom Prover aufgedeckt. Beim Einsatz in einem Zero–Knowledge Argument hängt die Öffnung eines Commitments u.a. von der Wahl des Verifiers ab. In dieser Wahl durch den Verifier, im weiteren Verlauf auch Öffnungswahl oder Öffnungsaufforderung (in englischen Originaltexten oft challenge: Herausforderung) genannt, liegt das Problem der parallelen Ausführung. In bestimmten Konstellationen kann der Verifier, nachdem er die Commitments erhalten hat, seine Wahl zur Öffnung der Commitments so treffen, dass der Verifier nach der Öffnung das Geheimnis des Provers berechnen kann. Das Funktionsprinzip des hier vorgestellten Protokolls besteht darin, dass der Verifier dem Prover schon vor der Festlegungsphase mitteilt, welche Commitments später geöffnet werden sollen. Damit nun aber der Prover auch keine Täuschungsmöglichkeit hat, wird diese Wahl vom Verifier ebenfalls in einem Bit–Commitment–Scheme übermittelt. 53
6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Dieses erste Bit–Commitment–Scheme, mit dem der Verifier seine Wahl an den Prover übermittelt, muss dabei in Bezug auf die Geheimhaltung nur für die Dauer der Kommunikation sicher sein. Eine berechenbare Sicherheit reicht dabei aus, wenn aufgrund der gewählten Sicherheitsparameter gewährleistet ist, dass der Prover in den wenigen Sekunden oder Minuten bis zum Aufdecken der gewählten Bits den kryptographischen Algorithmus nicht brechen kann. 6.1 Grobkonzept des Algorithmus Somit besteht der grundlegende Algorithmus des Protokolls von Brassard, Crépeau und Yung aus folgenden Schritten. Dabei handelt es sich nur um einen groben Überblick. Die Einzelheiten, insbesondere welche Parameter ausgetauscht werden und welche Inhalte bzw. Bedeutungen die xk, yk und zk haben, werden im weiteren Verlauf dargestellt. Protokoll 6.1 (Grobkonzept des Algorithmus) Gemeinsame Eingabe: • k: Sicherheitsparameter • p und α, die nachfolgend in den zahlentheoretischen Voraussetzungen erläutert werden. Schritt V1: Der Verifier wählt ein s ∈ ∗ p und sendet es. Er wählt weiterhin Bits y1, . . . , yk und sendet sie in einem Commitment. Schritt P2: Der Prover sendet seinen Beweis x1, . . . , xk in einem Commitment. Schritt V3: Der Verifier entschlüsselt seine Öffnungsaufforderungen y1, . . . , yk für den Prover. Schritt P4: Der Prover entspricht den Forderungen und sendet die gewünschten z1, . . . , zk. 6.2 Zahlentheoretische Voraussetzungen Das Verfahren beruht auf der Schwierigkeit, den diskreten Logarithmus einer ganzen Zahl zu berechnen, siehe Abschnitt 2.8.5 ab Seite 27. Neben der multiplikativen Gruppe ∗ p = {1, . . . , p − 1} wird hier zusätzlich die additive Gruppe p−1 = {0, . . . , p − 2} benötigt, in der modulo p − 1 addiert wird. Beide Gruppen enthalten dieselbe Anzahl an Elementen. Für alle a, b, ν ∈ mit der Eigenschaft a ≡ 0 (mod p) und b ≡ ν (mod p−1) gilt nach einem Satz von Fermat a b ≡ a ν (mod p). In diesem Sinne existiert ein x i für ein x ∈ ∗ p und ein i ∈ p−1. Sei α ein erzeugendes Element von ∗ p. Dann ist die Funktion exp α : p−1 → ∗ p, die definiert wird als exp α(i) = α i , eine Permutation. 54
Seite 1 und 2:
Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4:
Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6:
Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8: 1 Einleitung von Protokollen. Die M
Seite 9 und 10: 1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12: 2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14: 2 Definitionen eine weitere Notwend
Seite 15 und 16: 2 Definitionen Analog der probabili
Seite 17 und 18: 2 Definitionen Neben der Angabe des
Seite 19 und 20: 2 Definitionen Zahlen beschreibt. D
Seite 21 und 22: 2 Definitionen • Eindeutigkeit (e
Seite 23 und 24: 2 Definitionen • InP ⊆ In ist d
Seite 25 und 26: 2 Definitionen sozusagen mit ” Hi
Seite 27 und 28: 2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47 und 48: 5 Perfekte Zero-Knowledge Arguments
Seite 57: 5 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 109 und 110:
7 Berechenbare Zero-Knowledge Argum
Seite 111 und 112:
8 Zusammenfassung und weiterführen
Seite 113 und 114:
Literatur Literatur [Bab85] Babai,
Seite 115 und 116:
Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118:
Literatur in Lecture Notes in Compu
Seite 119 und 120:
Literatur [Sta02] Stammnitz, Peter:
Seite 121:
N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?