Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Wenn hij[m] = 0 dann setzt er wij[m] = vij[m] und tij[m] = bij[m] Wenn hij[m] = 1 und νi[j] = bij[m] dann setzt er wij[m] = vij[m] − zi[j] und tij[m] = 0 Wenn hij[m] = 1 und νi[j] = bij[m] dann setzt er wij[m] = vij[m] + zi[j] und tij[m] = 1 Der Prover sendet alle wij’s und tij’s an den Verifier. Schritt V3: (Der Verifier prüft, dass die aktuellen Commitments nicht EPR sind. In diesem Fall öffnet er seine Öffnungsaufforderung.) Für jedes i, j und m prüft der Verifier: Wenn hij[m] = 0 prüft er ϕ(uij[m], wij[m], tij[m]) Wenn hij[m] = 1 und tij[m] = 0 prüft er uij[m] = α wij[m] xi[j] Wenn hij[m] = 1 und tij[m] = 1 prüft er uij[m]xi[j] = α wij[m] Wenn einer dieser Kontrollen fehl schlägt, dann stoppt der Verifier und verwirft die Behauptung. Andernfalls sendet der Verifier r und y an den Prover. Schritt P3: (Der Prover kontrolliert, dass die Öffnungsaufforderung korrekt ist und folgt dieser.) Der Prover prüft ϕ(e, r, y). Falls die Prüfung fehl schlägt, beendet der Prover die Kommunikation. Andernfalls sendet der Prover folgendes für alle i an den Verifier: Wenn y[i] = 0 sendet er zi und νi. Wenn y[i] = 1 berechnet er ɛi = γ(Ψ, νi,a), setzt zi[j] = 0 falls ɛi[j] = und sendet zi und ɛi. Schritt V4: (Der Verifier kontrolliert, ob alles in Ordnung ist.) Für alle i prüft der Verifier: Wenn y[i] = 0 prüft er νi ∈ VΨ und ϕ(xi, zi, νi). Wenn y[i] = 1 prüft er ɛi ∈ EΨ und ϕ(xi, zi,ɛi). Wenn einer dieser Kontrollen fehl schlägt, dann stoppt der Verifier und verwirft die Behauptung. Andernfalls stoppt der Verifier und akzeptiert. Es ist offensichtlich, dass das Protokoll 6.3 perfekt vollständig ist. Als nächstes wird gezeigt, dass das Protokoll berechenbar eindeutig ist. Lemma 6.3 (Protokoll 6.3 ist berechenbar eindeutig) Angenommen, der Prover versucht seinen Beweis auf eine Boolesche Formel Ψ zu begründen, die nicht erfüllbar ist. Weiterhin angenommen, dass der Prover nicht in der Lage ist, während der Laufzeit der Kommunikation den diskreten Logarithmus von dem s auszurechnen, welches er in Schritt V1 von dem Verifier erhalten hat. Dann beträgt die Wahrscheinlichkeit, dass der Täuschungsversuch unentdeckt bleibt, im besten Fall 2 −k , wenn der Prover gemäß Protokoll 6.3 mit einem ehrlichen Verifier interagiert. 63
6 Perfekte Zero–Knowledge Arguments mit konstanter Rundenzahl Als Vorbemerkung zum Beweis sei auf folgendes hingewiesen. Das Verhalten des Provers kann nicht von dem Vektor y, mit dem der Verifiers seine Öffnungswahl festlegt, abhängig sein, da der Vektor der Commitments e informationstheoretisch nicht mit der Öffnungswahl korreliert. Beweis: In Schritt P1 kann der Prover entweder mindestens ein EPR–Commitment xi[j] ausgeben oder alle der xi’s sind vollständig aus nicht–EPR–Commitments zusammengesetzt. Im ersten Fall beträgt die Wahrscheinlichkeit, dass ein solches Commitment vom Verifier in Schritt V3 nicht erkannt wird, entsprechend der Commitment Zertifizierung auf Seite 56 maximal 2 −k . Im zweiten Fall kann es höchstens einen Öffnungsaufforderungsvektor y geben, für den der Prover den Verifier in Schritt V4 zufrieden stellen kann. Dieses gilt unter folgender Voraussetzung. Es gibt ein i derart, dass der Prover in beiden Fällen, sowohl bei yi = 0 (bei gegebenem νi) als auch bei yi = 1 (bei gegebenem ɛi), die Aufforderung des Verifiers zum Öffnen des Commitments zufriedenstellen kann. In diesem Fall müssen νi und ɛi verträglich sein, da gemäß Voraussetzung der Prover die Commitments nicht ändern kann und diese nicht EPR sind. Aber dann muss δ(Ψ, ν,ɛ) eine erfüllende Zuweisung für Ψ sein, was ein Widerspruch zur Voraussetzung ist, dass Ψ nicht erfüllbar ist. Daher ist die Wahrscheinlichkeit, dass der Verifier in Schritt V3 gerade den Öffnungsaufforderungsvektor an den Prover sendet, den dieser erwartet und mit dem er täuschen kann, höchstens 2 −k . Anschließend wird der für das Protokoll 6.3 wichtigste Teil des Satzes 6.1 bewiesen, die perfekte Zero–Knowledge Eigenschaft. Zu diesem Zweck muss ein Simulator gezeigt werden, dessen Laufzeiteffizienz zu beweisen ist und dessen Ausgabe des Empfangsbandes dieselbe Verteilung aufweist, wie das aufgeführte Protokoll. Um die Kommunikation des realen Provers mit jedem beliebigen Verifier perfekt und effizient simulieren zu können, müssen unterschiedliche Verhaltensmöglichkeiten der Verifier beachtet werden. Unter anderem muss der Simulator folgende Situationen berücksichtigen: 1. Der Verifier wählt in Schritt V1 ein s derart, dass dessen diskreter Logarithmus bekannt ist. Dies erlaubt dem Verifier, in Schritt V1 ein simuliertes Commitment zu erzeugen und die echte Wahl der Öffnungsaufforderung nach Schritt V3 zu verschieben. 2. Der Verifier wählt in Schritt V1 ein s, ohne dessen diskreten Logarithmus zu kennen. 3. Der Verifier wählt das s so, dass er dessen diskreten Logarithmus in Schritt V1 nicht kennt, diesen aber in einigen Fällen vor dem Schritt V3 ausrechnen kann, zum Beispiel durch Informationen, die vom Prover in den Schritten P1 und P2 veröffentlicht wurden. Natürlich helfen solche Informationen dem Verifier nur durch 64
Seite 1 und 2:
Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4:
Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6:
Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8:
1 Einleitung von Protokollen. Die M
Seite 9 und 10:
1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12:
2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14:
2 Definitionen eine weitere Notwend
Seite 15 und 16:
2 Definitionen Analog der probabili
Seite 17 und 18: 2 Definitionen Neben der Angabe des
Seite 19 und 20: 2 Definitionen Zahlen beschreibt. D
Seite 21 und 22: 2 Definitionen • Eindeutigkeit (e
Seite 23 und 24: 2 Definitionen • InP ⊆ In ist d
Seite 25 und 26: 2 Definitionen sozusagen mit ” Hi
Seite 27 und 28: 2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47 und 48: 5 Perfekte Zero-Knowledge Arguments
Seite 67: 6 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 111 und 112: 8 Zusammenfassung und weiterführen
Seite 113 und 114: Literatur Literatur [Bab85] Babai,
Seite 115 und 116: Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118: Literatur in Lecture Notes in Compu
Seite 119 und 120:
Literatur [Sta02] Stammnitz, Peter:
Seite 121:
N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?