零知识证明与身份识别技术.pdf

零知识证明与身份识别技术 安全协议概述  协议(Protocol)  基本概念 两个或两个以上的参与者为完成某项特 定任务而采取的一系列步骤。  三层含义  协议是有序的过程，每一步必须依次执行  协议至少需要两个参与者  通过执行协议必须能够完成某项任务 安全协议概述  协议(Protocol)  特点  协议的参与方必须了解协议，明确协议执行 的所有步骤  协议的参与方都承诺按协议步骤执行协议  协议必须清楚、完整，对每种可能的情况必 须规定明确、具体的动作  基本要求  有效性  公平性  完整性 安全协议概述  密码协议（安全协议）  具有安全功能的协议——安全协议  安全协议的设计必须采用密码技术——密 码协议  具体意义：密码协议是建立在密码体制基 础上的一种交互通信的协议，它运行在计 算机通信网或分布式系统中，借助于密码 算法来达到安全功能 零知识证明  Alice: “我知道联邦储备系统计算机的口令”  Bob: “不，你不知道”  Alice ：我知道  Bob：你不知道  Alice ：我确实知道  Bob：请你的证实这一点  Alice ：好吧，我告诉你。（她悄悄说出了口令）  Bob：太有趣了！现在我也知道了。我要告诉 《华盛顿邮报》  Alice ：啊呀！ 零知识证明的概念 设P (Prover)表示掌握某些信息，并希望证实这一 事实的实体，设V (Verifier)是验证这一事实的实 体。  某个协议向V证明P的确掌握某些信息，但V无法推断出 这些信息是什么，我们称P实现了最小泄露证明 (Minimum Disclosure proof) 。  如果V除了知道P能够证明某一事实外，不能够得到其他 任何知识，我们称P实现了零知识证明(Zero Knowledge proof) ，相应的协议称作零知识协议。 零知识证明的概念  在最小泄露协议中满足下述两个性质：  (1)完备性(Completeness)：如果P的声明是真的， 则V 以绝对优势的概率接受P的结论；  (2)有效性(Soundness)：如果P的声明是假的，则V 以绝对优势的概率拒绝P的结论；(正确性)  在零知识协议中，除满足上述两个条件以外， 还满足下述性质：  (3)零知识性(Zero-knowledge)：无论V采取任何手 段，当P的声明是真的，P不违背协议时，V除了接 受P的结论以外，得不到其他额外的信息。 零知识证明的图论示例 设P 知道咒语， 可打开C 和D 之间 的秘密门，不知道 者都将走向死胡同 中 零知识证明的图论示例 (1) V站在A点； (2) P进入洞中任一点C或D ； (3) 当P进洞之后，V走到B点； (4) V 叫P ：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助) ； (6) P和V重复执行(1)～(5)共n次。  若A不知咒语，则在B 点，只有50% 的机会猜中B 的要求， 协议执行n次，则只有2-n 的机会完全猜中，若n= 16，则 若每次均通过B 的检验，B 受骗机会仅为1/65536 ，到 n= 100左右就基本可以排除被猜中的可能性了 交互式零知识证明 输入 承诺 输入 P 挑战