Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
7 Berechenbare Zero–<strong>Knowledge</strong> Arguments mit konstanter Run<strong>de</strong>nzahl<br />
Wissen über das Verhalten <strong>de</strong>s Verifiers spult <strong>de</strong>r Simulator <strong>de</strong>n Verifier wie<strong>de</strong>r <strong>zu</strong> einem<br />
vorherigen Stand <strong>zu</strong>rück und spielt einen Teil <strong>de</strong>r Interaktion erneut durch, nunmehr mit<br />
<strong>de</strong>m Wissen, was er später <strong>de</strong>m Verifier beweisen soll. Dadurch kann <strong>de</strong>r Simulator im<br />
zweiten Durchlauf entsprechen<strong>de</strong> Berechnungen anstellen, die ihm mit diesem Zusatzwissen<br />
ermöglichen, <strong>de</strong>n Öffnungsauffor<strong>de</strong>rungen <strong>de</strong>s Verifiers nach<strong>zu</strong>kommen.<br />
Dabei entstehen zwei Problemfel<strong>de</strong>r, die es <strong>de</strong>m Simulator im Einzelfall sehr schwer<br />
o<strong>de</strong>r sogar unmöglich machen, <strong>de</strong>n Öffnungsauffor<strong>de</strong>rungen <strong>de</strong>s Verifiers trotz <strong>de</strong>s Rücksetzens<br />
nach<strong>zu</strong>kommen. Zum Einen kann <strong>de</strong>r Verifier über einen hardcodierten Pseudo<strong>zu</strong>fallsgenerator<br />
verfügen, <strong>de</strong>r nicht über das vom Simulator gesteuerte Zufallsband<br />
<strong>de</strong>terminiert wird, so dass ein Rücksetzen mit einer nicht nur vernachlässigbaren Wahrscheinlichkeit<br />
nicht <strong>zu</strong>m Erfolg führt. Zum Zweiten kann die Laufzeit <strong>de</strong>s Verifiers <strong>zu</strong>min<strong>de</strong>st<br />
unter bestimmten Vorausset<strong>zu</strong>ngen super-polynomiell sein, so dass <strong>de</strong>m polynomiellen<br />
Simulator keine Möglichkeit gegeben wird, alle Abfragen durch<strong>zu</strong>führen. Da<strong>zu</strong><br />
wur<strong>de</strong> in [BL02] nachgewiesen, dass je<strong>de</strong>r Simulator, <strong>de</strong>r <strong>de</strong>n Programmco<strong>de</strong> <strong>de</strong>s Verifieres<br />
nicht kennt und somit die Black-Box Technik verwen<strong>de</strong>t, die Simulation nur in<br />
erwarteter Polynomzeit statt in streng polynomieller Zeit ausführen kann.<br />
7.2.2 Statistisch ein<strong>de</strong>utiges Bit–Commitment–Scheme<br />
Das in diesem Abschnitt verwen<strong>de</strong>te Bit–Commitment–Scheme entspricht <strong>de</strong>r Definition<br />
2.16. Es ist statistisch ein<strong>de</strong>utig und nur berechenbar geheim.<br />
Definition 7.1 (Statistisch ein<strong>de</strong>utiges Bit–Commitment–Scheme)<br />
Seien Com : {0, 1} × {0, 1} n → {0, 1} p(n) eine polynomiell berechenbare Funktion ohne<br />
weitere Hilfseingabe, p(·) ein beliebiges Polynom und n ein Sicherheitsparameter. Com<br />
ist ein statistisch ein<strong>de</strong>utiges Bit–Commitment–Scheme, wenn gilt:<br />
• Berechenbar geheim: Seien Un und U ′ n gleichverteilte Wahrscheinlichkeitsräume<br />
über <strong>de</strong>r Menge {0, 1} n . Dann sind die Zufallsvariablen Com(0, Un) und Com(1, U ′ n)<br />
berechenbar ununterscheidbar.<br />
• Statistisch ein<strong>de</strong>utig: Die Mengen Com(0, {0, 1} n ) und Com(1, {0, 1} n ) sind disjunkt.<br />
Notation: Sei Com(σ) = Com(σ, Un). Es wird Com −1 (y) = σ <strong>de</strong>finiert, wobei das<br />
ein<strong>de</strong>utige Bit σ ∈ {0, 1} ist, für das y = Com(σ, w) gilt (für ein w, falls σ existiert).<br />
An<strong>de</strong>rnfalls wird Com −1 (y) = ⊥ <strong>de</strong>finiert. Wie in Definition 2.16 erfolgt auch hier eine<br />
Zeichenkettenverarbeitung durch Konkatenation <strong>de</strong>r unabhängigen Commitments.<br />
75