Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Sei n ∈ , dann bezeichnet Bn die Menge aller Booleschen Ausdrücke mit n Variablen und B = n∈ Bn. Sei ferner Ψ ∈ B die Bezeichnung für einen Booleschen Ausdruck. Dann wird mit Wn = {a | a ∈ {wahr, falsch} n , a erfüllt Ψ} sowie W = n∈ Wn die Menge aller Belegungen bezeichnet, die die Booleschen Ausdrücke erfüllen. Weiterhin ist jedem Ψ ∈ B eine endliche Menge VΨ ⊆ Σ ⋆ der ” verschlüsselten Schaltkreise“ sowie EΨ ⊆ Γ ⋆ der teilweise ” entschlüsselten Schaltkreise“ zugeordnet. Für jeden Ausdruck Ψ ∈ B und jede Zeichenkette ν ∈ Σ ⋆ (rsp. ɛ ∈ Γ ⋆ ) ist effizient entscheidbar, ob ν ∈ VΨ (rsp. ɛ ∈ EΨ) gilt. Überdies gilt für jeden Ψ ∈ B, dass alle Elemente aus VΨ und EΨ dieselbe Länge ℓ(Ψ) haben. Die Schlüsseleigenschaft des Basis–Protokolls besagt nun folgendes: Sei Ψ ∈ B ein beliebiger Ausdruck. Dann gilt ∃ν ∈ VΨ, ∃ɛ ∈ EΨ : ν ≍ ɛ ⇐⇒ Ψ ist erfüllbar. Dazu existieren vier effiziente Algorithmen: 1. ζ : B R −→ V 2. ρ : B R −→ E 3. γ : B × V × W → E ∪ {⊥} und 4. δ : B × V × E → W ∪ {⊥} so dass folgendes gilt: 1. ∀Ψ ∈ B : ζ(Ψ) ist gleichverteilt über VΨ. 2. ∀Ψ ∈ B : ρ(Ψ) ist gleichverteilt über EΨ. 3. Sei Ψ ∈ Bn, a ∈ Wn erfüllt Ψ und ν ∈ VΨ. Dann ist γ(Ψ, ν,a) ∈ EΨ und verträglich mit ν. (Andernfalls gilt γ(Ψ, ν,a) ∈ ⊥.) Außerdem gilt ∀Ψ ∈ B, ∀a ∈ W erfüllt Ψ : γ(Ψ, ζ(Ψ),a) ist gleichverteilt über EΨ. 4. Seien Ψ ∈ B, ν ∈ VΨ und ɛ ∈ EΨ mit ν ≍ ɛ. Dann ist δ(Ψ, ν,ɛ) eine erfüllende Belegung zu Ψ. Andernfalls ist δ(Ψ, ν,ɛ) = ⊥. Angenommen, der Prover möchte den Verifier davon überzeugen, dass er eine erfüllende Belegung für einige Ψ ∈ B kennt. Das Basis–Protokoll besteht aus k unabhängigen Runden, die nacheinandern ausgeführt werden. Dabei sieht eine Runde i wie folgt aus: Protokoll 6.2 (Runde i des Basis–Protokolls) Schritt P1: Der Prover berechnet νi = ζ(Ψ), verschlüsselt jedes Bit νi[j] in einem Commitment xi[j] und sendet es. 59
6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Schritt V2: Der Verifier sendet yi ∈ {0, 1} als seine Öffnungswahl der Commitments. Schritt P3: War die Wahl eine ” 0“, öffnet der Prover die xi[j], sendet diese für jedes j und zeigt damit νi. Der Verifier prüft νi ∈ VΨ. War die Wahl eine ” 1“, nutzt der Prover sein geheimes Wissen über eine erfüllende Belegung a und berechnet ɛi = γ(Ψ, νi,a). Er sendet lediglich die xi[j]’s, die ɛi[j] = entsprechen. (Zu beachten ist, dass in diesem Fall ɛi[j] = νi[j] gilt, da νi ≍ ɛi.) Der Verifier prüft ɛi ∈ EΨ. In beiden Fällen stoppt der Verifier und verwirft die Behauptung, wenn die Prüfung fehlerhaft war. Lemma 6.1 Das Protokoll 6.2 ist berechenbar eindeutig, da der Prover nicht im Voraus weiß, welche Aufforderung in jeder Runde zu erwarten ist. Beweis: Seien νi und ɛi die Antworten auf die Öffnungswahlen in Runde i. Unter der Voraussetzung, dass der Prover die Commitments nicht zweideutig öffnen kann, müssen νi und ɛi verträglich sein. Falls νi ∈ VΨ und ɛi ∈ EΨ gilt, dann ist δ(Ψ, νi,ɛi) eine erfüllende Belegung zu Ψ. Infolgedessen ist Ψ erfüllbar und der Prover kennt eine effizient berechenbare, erfüllbare Belegung dafür. Andernfalls, wenn νi ∈ VΨ und ɛi ∈ EΨ gilt, beträgt die Wahrscheinlichkeit mindestens 50%, dass der Verifier den Prover beim Täuschen in dieser Runde erwischt. Die Wahrscheinlichkeit für unerkannte falsche Behauptung des Provers beträgt somit 2 −k für das vollständige Protokoll, immer vorausgesetzt, dass der Prover das Bit–Commitment–Scheme nicht überlisten kann. Lemma 6.2 Das Protokoll 6.2 ist perfekt Zero–Knowledge, vorausgesetzt, dass ein 0–Commitment informationstheoretisch nicht von einem 1–Commitment zu unterscheiden ist. Beweis: Um eine Runde des Protokolls zu simulieren, wirft der Simulator eine Münze. Ist der Kopf oben, generiert der Simulator ν = ζ(Ψ), verschlüsselt jedes Bit in ν in einem Commitment und fragt den Verifier nach seiner Wahl. Beträgt diese ” 0“, öffnet der Simulator alle Commitments. Andernfalls missachtet der Simulator diese ” unglückliche“ Wahl und startet einen neuen Versuch. Ist nach dem Münzwurf die Zahl oben, erzeugt der Simulator ɛ = ρ(Ψ), setzt ν = ♦(ɛ), verschlüsselt jedes Bit in ν in Commitments und fragt den Verifier nach seiner Wahl. Beträgt diese ” 1“, öffnet der Simulator die Commitments, die ɛ[j] = entsprechen. Andernfalls missachtet der Simulator diese ” unglückliche“ Wahl und startet einen neuen Versuch. 60
Seite 1 und 2:
Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4:
Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6:
Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8:
1 Einleitung von Protokollen. Die M
Seite 9 und 10:
1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12:
2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14: 2 Definitionen eine weitere Notwend
Seite 15 und 16: 2 Definitionen Analog der probabili
Seite 17 und 18: 2 Definitionen Neben der Angabe des
Seite 19 und 20: 2 Definitionen Zahlen beschreibt. D
Seite 21 und 22: 2 Definitionen • Eindeutigkeit (e
Seite 23 und 24: 2 Definitionen • InP ⊆ In ist d
Seite 25 und 26: 2 Definitionen sozusagen mit ” Hi
Seite 27 und 28: 2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47 und 48: 5 Perfekte Zero-Knowledge Arguments
Seite 63: 6 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 111 und 112: 8 Zusammenfassung und weiterführen
Seite 113 und 114: Literatur Literatur [Bab85] Babai,
Seite 115 und 116:
Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118:
Literatur in Lecture Notes in Compu
Seite 119 und 120:
Literatur [Sta02] Stammnitz, Peter:
Seite 121:
N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?