Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
6 Perfekte Zero–<strong>Knowledge</strong> Arguments mit konstanter Run<strong>de</strong>nzahl<br />
Dieses erste Bit–Commitment–Scheme, mit <strong>de</strong>m <strong>de</strong>r Verifier seine Wahl an <strong>de</strong>n Prover<br />
übermittelt, muss dabei in Be<strong>zu</strong>g auf die Geheimhaltung nur für die Dauer <strong>de</strong>r Kommunikation<br />
sicher sein. Eine berechenbare Sicherheit reicht dabei aus, wenn aufgrund<br />
<strong>de</strong>r gewählten Sicherheitsparameter gewährleistet ist, dass <strong>de</strong>r Prover in <strong>de</strong>n wenigen<br />
Sekun<strong>de</strong>n o<strong>de</strong>r Minuten bis <strong>zu</strong>m Auf<strong>de</strong>cken <strong>de</strong>r gewählten Bits <strong>de</strong>n kryptographischen<br />
Algorithmus nicht brechen kann.<br />
6.1 Grobkonzept <strong>de</strong>s Algorithmus<br />
Somit besteht <strong>de</strong>r grundlegen<strong>de</strong> Algorithmus <strong>de</strong>s Protokolls von Brassard, Crépeau und<br />
Yung aus folgen<strong>de</strong>n Schritten. Dabei han<strong>de</strong>lt es sich nur um einen groben Überblick. Die<br />
Einzelheiten, insbeson<strong>de</strong>re welche Parameter ausgetauscht wer<strong>de</strong>n und welche Inhalte<br />
bzw. Be<strong>de</strong>utungen die xk, yk und zk haben, wer<strong>de</strong>n im weiteren Verlauf dargestellt.<br />
Protokoll 6.1 (Grobkonzept <strong>de</strong>s Algorithmus)<br />
Gemeinsame Eingabe:<br />
• k: Sicherheitsparameter<br />
• p und α, die nachfolgend in <strong>de</strong>n zahlentheoretischen Vorausset<strong>zu</strong>ngen<br />
erläutert wer<strong>de</strong>n.<br />
Schritt V1: Der Verifier wählt ein s ∈ ∗ p und sen<strong>de</strong>t es. Er wählt weiterhin<br />
Bits y1, . . . , yk und sen<strong>de</strong>t sie in einem Commitment.<br />
Schritt P2: Der Prover sen<strong>de</strong>t seinen Beweis x1, . . . , xk in einem Commitment.<br />
Schritt V3: Der Verifier entschlüsselt seine Öffnungsauffor<strong>de</strong>rungen y1, . . . , yk<br />
für <strong>de</strong>n Prover.<br />
Schritt P4: Der Prover entspricht <strong>de</strong>n For<strong>de</strong>rungen und sen<strong>de</strong>t die gewünschten<br />
z1, . . . , zk.<br />
6.2 Zahlentheoretische Vorausset<strong>zu</strong>ngen<br />
Das Verfahren beruht auf <strong>de</strong>r Schwierigkeit, <strong>de</strong>n diskreten Logarithmus einer ganzen<br />
Zahl <strong>zu</strong> berechnen, siehe Abschnitt 2.8.5 ab Seite 27. Neben <strong>de</strong>r multiplikativen Gruppe<br />
∗ p = {1, . . . , p − 1} wird hier <strong>zu</strong>sätzlich die additive Gruppe p−1 = {0, . . . , p − 2}<br />
benötigt, in <strong>de</strong>r modulo p − 1 addiert wird. Bei<strong>de</strong> Gruppen enthalten dieselbe Anzahl an<br />
Elementen. Für alle a, b, ν ∈ mit <strong>de</strong>r Eigenschaft a ≡ 0 (mod p) und b ≡ ν (mod p−1)<br />
gilt nach einem Satz von Fermat a b ≡ a ν (mod p). In diesem Sinne existiert ein x i für ein<br />
x ∈ ∗ p und ein i ∈ p−1. Sei α ein erzeugen<strong>de</strong>s Element von ∗ p. Dann ist die Funktion<br />
exp α : p−1 → ∗ p, die <strong>de</strong>finiert wird als exp α(i) = α i , eine Permutation.<br />
54