Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl
Sei n ∈ , dann bezeichnet Bn die Menge aller Booleschen Ausdrücke mit n Variablen
und B =
n∈ Bn. Sei ferner Ψ ∈ B die Bezeichnung für einen Booleschen Ausdruck.
Dann wird mit Wn = {a | a ∈ {wahr, falsch} n , a erfüllt Ψ} sowie W =
n∈ Wn die
Menge aller Belegungen bezeichnet, die die Booleschen Ausdrücke erfüllen.
Weiterhin ist jedem Ψ ∈ B eine endliche Menge VΨ ⊆ Σ ⋆ der ” verschlüsselten Schaltkreise“
sowie EΨ ⊆ Γ ⋆ der teilweise ” entschlüsselten Schaltkreise“ zugeordnet. Für jeden
Ausdruck Ψ ∈ B und jede Zeichenkette ν ∈ Σ ⋆ (rsp. ɛ ∈ Γ ⋆ ) ist effizient entscheidbar,
ob ν ∈ VΨ (rsp. ɛ ∈ EΨ) gilt. Überdies gilt für jeden Ψ ∈ B, dass alle Elemente aus VΨ
und EΨ dieselbe Länge ℓ(Ψ) haben.
Die Schlüsseleigenschaft des Basis–Protokolls besagt nun folgendes: Sei Ψ ∈ B ein
beliebiger Ausdruck. Dann gilt
∃ν ∈ VΨ, ∃ɛ ∈ EΨ : ν ≍ ɛ ⇐⇒ Ψ ist erfüllbar.
Dazu existieren vier effiziente Algorithmen:
1. ζ : B R
−→ V
2. ρ : B R
−→ E
3. γ : B × V × W → E ∪ {⊥} und
4. δ : B × V × E → W ∪ {⊥}
so dass folgendes gilt:
1. ∀Ψ ∈ B : ζ(Ψ) ist gleichverteilt über VΨ.
2. ∀Ψ ∈ B : ρ(Ψ) ist gleichverteilt über EΨ.
3. Sei Ψ ∈ Bn, a ∈ Wn erfüllt Ψ und ν ∈ VΨ. Dann ist γ(Ψ, ν,a) ∈ EΨ und verträglich
mit ν. (Andernfalls gilt γ(Ψ, ν,a) ∈ ⊥.) Außerdem gilt ∀Ψ ∈ B, ∀a ∈ W erfüllt Ψ :
γ(Ψ, ζ(Ψ),a) ist gleichverteilt über EΨ.
4. Seien Ψ ∈ B, ν ∈ VΨ und ɛ ∈ EΨ mit ν ≍ ɛ. Dann ist δ(Ψ, ν,ɛ) eine erfüllende
Belegung zu Ψ. Andernfalls ist δ(Ψ, ν,ɛ) = ⊥.
Angenommen, der Prover möchte den Verifier davon überzeugen, dass er eine erfüllende
Belegung für einige Ψ ∈ B kennt. Das Basis–Protokoll besteht aus k unabhängigen
Runden, die nacheinandern ausgeführt werden. Dabei sieht eine Runde i wie folgt aus:
Protokoll 6.2 (Runde i des Basis–Protokolls)
Schritt P1: Der Prover berechnet νi = ζ(Ψ), verschlüsselt jedes Bit νi[j] in
einem Commitment xi[j] und sendet es.
59