密码协议详,解.ppt

现代密码学 彭代渊 信息科学与技术学院 dypeng@swjtu.edu.cn 2009.9-2010.1 现代密码学 Modern Cryptography 彭代渊 信息科学与技术学院 dypeng@swjtu.edu.cn 2009年12月 第7章 密码协议 7.1 密码协议概述 7.1 密码协议概述 7.1 密码协议概述 7.1 密码协议概述 7.1 密码协议概述 第7章 密码协议 7.2 实体认证协议 7.2 实体认证协议 第7章 密码协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 7.3 密钥认证协议 第7章 密码协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 7.4 比特承诺协议 第7章 密码协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 7.5 零知识证明与身份识别协议 第6章 习 题 PP.176-177, 1-11 7.1 (比特承诺) 给定随机数r和待提交的整数b，关于整数b的比特承诺就是一个有效算法F使得满足如下条件： 从F(r, b)计算出b的难度相当于攻破某计算困难性问题的难度； 比特承诺F(r, b)的提交者A在以后把比特承诺F(r, b)以不同的方式打开成为F(r, b?)的概率是可以忽略的，即提交者不能把比特承诺打开成为不同的方式； 在多项式时间内，无法区分对于两个不同数b和b?的F(r, b)和F(r, b?)。 比特承诺的两个安全性要求： 屏蔽性（Concealing）：A可用一个概率多项式时间算法F(r, b)将二进位b屏蔽起来，只有A本人才能打开。即二进位b一旦被屏蔽起来便不能被对方B预测。 约束性 (Binding)：A根据二进位b及其屏蔽算法， 可从屏蔽体中用概率多项式时间算法打开屏蔽，显露出惟一的二进位b, 并让B进行验证。即二进位b一旦被屏蔽起来便不能再被屏蔽者修改。 例：由Goldwasser-Micali公钥概率加密系统构造一种比特承诺协议 令n=pq, p，q是长度相同的大素数， 选择模n非二次剩余m。 （1）A随机选择r?Zn*, b?{0,1}, 计算 y=F(r, b)=mbr2 mod n. 并发送给B。 （2）其后A通过揭示b, r来打开y。B只需验证 y=mbr2 mod n. 只要求解模n二次剩余问题是困难的，则从y=F(r, b)计算出b也是困难的。即由y不能泄露b的任何信息，所以该方案具有屏蔽性。 该方案具有约束性。 抛币落井协议（Flipping coins into well） 设想有一口清澈见底的深水井，A站在水井的旁边，而B远离这口水井，A将硬币抛进水井里去，硬币停留在水井中，现在A能够看到水井里的结果，但A不能到水井里去改变硬币的状态（如正反面情况）。当A将硬币抛进水井时，B不能看见水井里的硬币，只有当B猜完硬币的状态后，A才让B走近井边，看到井底的硬币。这个协议满足上面的两条性质。因此称这样的比特承诺协议为抛币落井协议（Flipping coins into well）。 采用单向函数的抛币协议 设A和B使用一个安全Hash函数F。 (1)A选择一个随机数r，并计算y=F(r)； (2) A将y发送给B； (3)B猜测r是偶数（b=0）或奇数(b=1)，并将猜测结果发送给A； (4)如果B的猜测正确，抛币结果为正面；如果B的猜测错误，则抛币的结果为反面。A公布此次抛币的结果，并将r发送给B； (5)B确信。 采用单向函数的抛币协议 抛币协议的安全性取决于F的安全性 抛币协议，具有如下的性质： A必须在B猜测之前抛币； 在听到B猜测之后A不能再抛币； B猜测之前不能知道硬币是怎么落地的。 7.1 密码协议概述 7.2 实体认证协议 7.3 密钥认证协议 7.4 比特承诺协议 7