现代密码学刘雁孝现代密码学第六章.pptVIP

* * 五、电子现金支付 第三步：顾客用自己的身份秘密信息(m, b)，计算：y=mx+b(modp-1)。顾客将y发送给商家。（回答） 第四步：商家用顾客的身份公开信息(c, n)，验证是否有 gy=nxc(modp)。 若成立则接受这个电子现金；否则拒绝接受该电子现金。（检验） * * 五、电子现金支付 Schnorr支付协议的分析结果一：知道身份秘密信息(m, b)的人将通过检验。换句话说，用(m, b)计算出来的y=mx+b(modp-1)将通过检验。这是因为 gy=gmx+b(modp)=gmxgb(modp)=nxc(modp)。 （这里使用了数论的一个基本结论：当y=mx+b(modp-1) 时，必有 gy=gmx+b(modp)） * * 五、电子现金支付 Schnorr支付协议的分析结果二：一次使用该电子现金不会暴露顾客的身份秘密信息(m, b)。 商家知道了顾客的身份公开信息(c, n)，又通过询问值x得到了顾客的回答值y。商家还知道x与y的关系为： y=mx+b(modp-1)。但是商家计算出(m, b)的途径只能有两条： 第一条途径是通过方程组{c=gb(modp)， n=gm(modp)}计算(m, b)，该计算问题是离散对数问题。 第二条途径是通过方程y=mx+b(modp-1)来计算(m, b)。该方程无法唯一地解出(m, b)。 * * 五、电子现金支付 Schnorr支付协议的分析结果三：两次使用该电子现金将暴露顾客的身份秘密信息(m, b)。 第一次使用该电子现金，询问值/回答值为(x,y)。 第二次使用该电子现金，询问值/回答值为(u,v)。 于是商家获得了两个方程： y=mx+b(modp-1)； v=mu+b(modp-1)。 这是一个“二元一次方程组”，解出的值为： m=(v-y)(u-x)-1(modp-1)； b=v-mu(modp-1)。 * * 五、电子现金支付 Schnorr支付协议的分析结果四：同一个顾客所使用的不同的电子现金，应该含有该顾客的不同的身份公开信息，隐含该顾客的不同的身份秘密信息。否则，设该顾客的若干电子现金都含有其同一个身份公开信息(c, n)，隐含其同一个身份秘密信息(m, b)。 该顾客如果在同一个商家使用了两个不同的电子现金，则该商家就能计算出(m, b)。 * * 五、电子现金支付 顾客使用一个电子现金时，询问值/回答值为(x,y)。顾客使用另一个电子现金时，询问值/回答值为(u,v)。于是商家获得了两个方程： y=mx+b(modp-1)； v=mu+b(modp-1)； (m, b)容易解出。 因此，顾客要想大量地使用电子现金，就要准备大量的身份秘密信息。这是不现实的。这也是Schnorr支付协议的致命缺陷之一。 * * 五、电子现金支付 Schnorr支付协议的分析结果五：顾客的原始欺骗无法防止。顾客在申请电子现金时，完全可以选择无关紧要的信息(m, b)作为“身份秘密信息”，然后计算对应的“身份公开信息” (c, n)，将(c, n)发送给银行。如果银行认可，并发放电子现金，则当顾客重复使用电子现金时，所揭露的“身份秘密信息”(m, b)并不能使该顾客受到惩罚。 * * 五、电子现金支付 那么，在顾客申请电子现金时，银行怎样确认顾客的身份信息？这里有两个相互矛盾的要求： （1）银行不能获得顾客的身份秘密信息，只能获得顾客提交的身份公开信息。 （2）银行从顾客提交的身份公开信息中，能够辨别顾客是否隐含了真正的身份秘密信息。 * * 六、密码技术的其它应用 信息隐藏 信息隐藏是一个庞大而繁杂的工程。信息隐藏比信息加密有更强的要求： 信息加密要求信息“变形”，从可懂变为不可懂； 信息隐藏要求信息“消失”，从可见变为不可见。 信息隐藏技术的应用非常广泛，包括隐匿通信，数字产品的版权保护，叛逆者追踪等。 信息隐藏的核心技术有两个，一个是密码技术，另一个是信息处理技术。 * aaa * * 三、电子投票 改进的协议的安全性 合法性：满足。（与原协议相同） 唯一性：满足。（与原协议相同） 匿名性：满足。（与原协议相同） 不可追踪性：满足。（与原协议相同） 可验证性：满足。当投票人发现榜上没有(m, U, S)，则将(m, U, S)公布于众。任何人都可以计算出 Se(modn)=H(m, U)。 这样就向公众证明了选举委员会欺骗。 两个投票人选择的投票内容m可能相同，但随机数U几乎不可能相同，因此签名值S几乎不可能相同。 * * 三、电子投票 投票人攻击对于改进的协议方案：无效。 设投票人试图要伪造一个签名票(m, U, S)， 满足 Se(modn)=H(m, U)。 如果投票人先选定了签名S的值，然后对(m, U)进行伪造，则他面临着“给定H(m,