Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Weitere Magazine

Empfehlungen

Info

7 Berechenbare Zero–Knowledge Arguments mit konstanter Rundenzahl Wissen über das Verhalten des Verifiers spult der Simulator den Verifier wieder zu einem vorherigen Stand zurück und spielt einen Teil der Interaktion erneut durch, nunmehr mit dem Wissen, was er später dem Verifier beweisen soll. Dadurch kann der Simulator im zweiten Durchlauf entsprechende Berechnungen anstellen, die ihm mit diesem Zusatzwissen ermöglichen, den Öffnungsaufforderungen des Verifiers nachzukommen. Dabei entstehen zwei Problemfelder, die es dem Simulator im Einzelfall sehr schwer oder sogar unmöglich machen, den Öffnungsaufforderungen des Verifiers trotz des Rücksetzens nachzukommen. Zum Einen kann der Verifier über einen hardcodierten Pseudozufallsgenerator verfügen, der nicht über das vom Simulator gesteuerte Zufallsband determiniert wird, so dass ein Rücksetzen mit einer nicht nur vernachlässigbaren Wahrscheinlichkeit nicht zum Erfolg führt. Zum Zweiten kann die Laufzeit des Verifiers zumindest unter bestimmten Voraussetzungen super-polynomiell sein, so dass dem polynomiellen Simulator keine Möglichkeit gegeben wird, alle Abfragen durchzuführen. Dazu wurde in [BL02] nachgewiesen, dass jeder Simulator, der den Programmcode des Verifieres nicht kennt und somit die Black-Box Technik verwendet, die Simulation nur in erwarteter Polynomzeit statt in streng polynomieller Zeit ausführen kann. 7.2.2 Statistisch eindeutiges Bit–Commitment–Scheme Das in diesem Abschnitt verwendete Bit–Commitment–Scheme entspricht der Definition 2.16. Es ist statistisch eindeutig und nur berechenbar geheim. Definition 7.1 (Statistisch eindeutiges Bit–Commitment–Scheme) Seien Com : {0, 1} × {0, 1} n → {0, 1} p(n) eine polynomiell berechenbare Funktion ohne weitere Hilfseingabe, p(·) ein beliebiges Polynom und n ein Sicherheitsparameter. Com ist ein statistisch eindeutiges Bit–Commitment–Scheme, wenn gilt: • Berechenbar geheim: Seien Un und U ′ n gleichverteilte Wahrscheinlichkeitsräume über der Menge {0, 1} n . Dann sind die Zufallsvariablen Com(0, Un) und Com(1, U ′ n) berechenbar ununterscheidbar. • Statistisch eindeutig: Die Mengen Com(0, {0, 1} n ) und Com(1, {0, 1} n ) sind disjunkt. Notation: Sei Com(σ) = Com(σ, Un). Es wird Com −1 (y) = σ definiert, wobei das eindeutige Bit σ ∈ {0, 1} ist, für das y = Com(σ, w) gilt (für ein w, falls σ existiert). Andernfalls wird Com −1 (y) = ⊥ definiert. Wie in Definition 2.16 erfolgt auch hier eine Zeichenkettenverarbeitung durch Konkatenation der unabhängigen Commitments. 75
7 Berechenbare Zero–Knowledge Arguments mit konstanter Rundenzahl 7.2.3 Zero–Knowledge Argument of Knowledge Neben den bisher definierten Zero–Knowledge Beweissystemen, die ausschließlich beweisen, dass ein Wort in einer Sprache vorhanden ist, existieren noch interaktive Systeme, die beweisen, dass ” jemand“ ein Geheimnis bzw. ein Wort aus einer Sprache kennt (proof of knowledge). Diese Systeme werden als Zero–Knowledge Proof of Knowledge bzw. Zero–Knowledge Argument of Knowledge bezeichnet. Da hier keine Proof of Knowledge benötigt werden, beschränkt sich dieser Abschnitt auf die Einführung von Argument of Knowledge. In einem Zero–Knowledge Argument of Knowledge möchte der Prover den Verifier davon überzeugen, dass er dazu ein Zeugnis kennt, welches beweist, dass x ∈ L gilt. Dabei ist zu beachten, dass sich der Beweis über die Kenntnis von x von dem Beweis der bloßen Existenz von x unterscheidet. So erfordert z.B. die Kenntnis der Primfaktoren einer Zahl n einen anderen Beweis als der Beweis, dass n zusammengesetzt ist. Aus diesem Grund kann jedes Zero–Knowledge Argument in ein Zero–Knowledge Argument of Knowledge überführt werden. Die Umkehrung gilt im Allgemeinen jedoch nicht. Die Grundidee zu Zero–Knowledge Proof of Knowledge stammt aus [GMR85] und wurde von Feige, Fiat und Shamir in [FFS87] und in [TW87] formal definiert. Von Bellare und Goldreich wurden in [BG92] einige Lücken dieser Definitionen geschlossen. Zur Definition des Zero–Knowledge Argument of Knowledge wird der Begriff der Orakel–Maschine benötigt. Definition 7.2 (Orakel–Maschine) Sei E eine probabilistische Turing Maschine mit einem zusätzlichen Orakel–Band und den beiden Zuständen Anrufung des Orakels (engl. oracle invocation) und Orakel–Auskunft (engl. oracle appeared). Die Berechnung von E mit der Eingabe x erfolgt dabei mittels Zugriff auf eine interaktive Funktion A : {0, 1} ∗ → {0, 1} ∗ , die als Orakel bezeichnet wird. Dann heißt E eine Orakel–Maschine. E Ax (x) ist eine Zufallsvariable, die die Ausgabe von E mit dem Orakel Ax und der Einabe x beschreibt, wobei die Wahrscheinlichkeit von den Münzwürfen von E und A abhängt. Die Laufzeit der Orakel–Maschine ist wie bei Turing Maschinen die Anzahl der Schritte während der Berechnung. Die Anrufung des Orakels und dessen Antwort für jede Anfrage wird dabei als ein Schritt definiert. Jede Auskunft des Orakels an die Orakel– Maschine ist dabei unabhängig von den vorhergehenden Anrufungen. Sei p(x) die Wahrscheinlichkeit, dass der Prover P den Verifier V davon überzeugen kann, bei Eingabe von x zu akzeptieren. Dann ist zwinged erforderlich, dass es eine Maschine E gibt, genannt den Extraktor (engl. knowledge extractor), der in einer ein Zeugnis für die Behauptung von P ausgibt. (erwarteten) Zeit proportional zu 1 p(x) Die Standardformulierung der Definition von [BG92] wird hier durch eine Definition 76
Seite 1 und 2:
Zero-Knowledge Arguments Diplomarbe
Seite 3 und 4:
Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6:
Inhaltsverzeichnis 7.2.5 Universell
Seite 7 und 8:
1 Einleitung von Protokollen. Die M
Seite 9 und 10:
1 Einleitung Zero-Knowledge Argumen
Seite 11 und 12:
2 Definitionen 2.1 Grundlegendes 2
Seite 13 und 14:
2 Definitionen eine weitere Notwend
Seite 15 und 16:
2 Definitionen Analog der probabili
Seite 17 und 18:
2 Definitionen Neben der Angabe des
Seite 19 und 20:
2 Definitionen Zahlen beschreibt. D
Seite 21 und 22:
2 Definitionen • Eindeutigkeit (e
Seite 23 und 24:
2 Definitionen • InP ⊆ In ist d
Seite 25 und 26:
2 Definitionen sozusagen mit ” Hi
Seite 27 und 28:
2 Definitionen 3. Schwer, Claws zu
Seite 29 und 30: (ii) (Reflexivität) a ≡ a (mod n
Seite 31 und 32: 2 Definitionen (iii) Vorausgesetzt,
Seite 33 und 34: 2 Definitionen Problem des diskrete
Seite 35 und 36: 3 Zero-Knowledge Proof 3 Zero-Knowl
Seite 37 und 38: 3 Zero-Knowledge Proof Von Goldreic
Seite 39 und 40: 3 Zero-Knowledge Proof einiger Wahr
Seite 41 und 42: 4 Zero-Knowledge Arguments 4 Zero-K
Seite 43 und 44: 4 Zero-Knowledge Arguments Um die u
Seite 45 und 46: 4 Zero-Knowledge Arguments Wie scho
Seite 47 und 48: 5 Perfekte Zero-Knowledge Arguments
Seite 77 und 78: 7 Berechenbare Zero-Knowledge Argum
Seite 79: 7 Berechenbare Zero-Knowledge Argum
Seite 111 und 112: 8 Zusammenfassung und weiterführen
Seite 113 und 114: Literatur Literatur [Bab85] Babai,
Seite 115 und 116: Literatur [Dam99] Damg˚ard, Ivan:
Seite 117 und 118: Literatur in Lecture Notes in Compu
Seite 119 und 120: Literatur [Sta02] Stammnitz, Peter:
Seite 121: N negligible function . . . . . . .
Alle anzeigen

Diplomarbeit zu "`Zero-Knowledge Arguments"' - Telle-Online.de

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?