密码学第1章 密码协议.ppt

第11章 密码协议 概述 密钥分配与密钥协商 秘密共享 身份识别 零知识证明 不经意传输 习题 协议如下： ① B选择p、q，计算n=pq；再选取满足 的随 机数a，将n和a发送给A。 ② A猜测a是模n的平方剩余或非平方剩余，并将结 果告诉B。 ③ B告诉A猜测正确或不正确，并将p、q发送给A ④ A检查p、q都是素数且n=pq。 显然，A猜中的概率是1/2。协议执行完后，A根据p、q可求出a mod n的4个平方根（如果a是模n的平方剩余），以检查B是否在A猜测完后将结果做了修改。 不经意传输 设A有一个秘密，想以1/2的概率传递给B，即B有50%的机会收到这个秘密，另外50%的机会什么也没有收到，协议执行完后，B知道自己是否收到了这个秘密，但A却不知B是否收到了这个秘密。这种协议就称为不经意传输协议。 1. 基于大数分解问题的不经意传输协议 设A想通过不经意传输协议传递给B的秘密是整数n（为两个大素数之积）的因数分解。这个问题具有普遍意义，因为任何秘密都可通过RSA加密，得到n的因数分解就可得到这个秘密。 协议基于如下事实： 已知某数在模n下两个不同的平方根，就可分解n。 协议如下： ① B随机选一数x，将x2 mod n发送给A。 ② A（掌握n=pq的分解）计算x2 mod n的4个平方 根±x和±y，并将其中之一发送给B。由于A只 知道x2 mod n，并不知道4个平方根中哪一个是B 选的x。 ③ B检查第②步收到的数是否与±x在模n下同余， 如果是，则B没有得到任何新信息；否则B就掌 握了x2 mod n的两个不同的平方根，从而能够分 解n。而A却不知究竟是哪种情况。 显然，B得到n的分解的概率是1/2。 2. 基于离散对数问题的不经意传输协议 下一个不经意传输协议是非交互的，其中B不向A发送任何消息。 设系统中所有用户都知道一个大素数p、GF(p)-{0}的生成元g和另一大素数c，但无人知道c的离散对数。 假定计算离散对数是不可行的，因此从gx mod p和gy mod p无法计算gxy mod p。 协议中所有运算都在GF(p)中进行。 B按如下方式产生公开的加密密钥和秘密的解密密钥： 随机选取一个比特i和一个数x(0≤x≤p-2)，计算 yi=gx, y1-i=c(gx)-1， 以(y0, y1)作为公开的加密密钥，以(i, x)作为秘密解密密钥。 由于B不知道c的离散对数，所以他知道y0和y1两者其中一个的离散对数，而A无法知道y0和y1中哪个离散对数是B已知的。 A可通过方程y0y1=c来检查B的公开加密密钥是否正确。 协议中设A的两个秘密s0和s1是二进制数，是异或运算，若进行异或运算的两个数不等长，可在较短数前面补0。 协议如下： ① A在0到p-2之间随机取两个整数k0、k1，对j=0,1计算 将c0, c1, m0, m1发送给B。 ② B用自己的秘密解密密钥计算 。由于B不知道y1-i的离散对数，所以无法得到d1-i和s1-i。 注：本协议相当于“二传一”不经意传输。若其中一个为有效秘密一个为空，则成为前一种不经意传输。 3. “多传一”的不经意传输协议 设A有多个秘密，想将其中一个传递给B，使得只有B知道A传递的是哪个秘密。设A的秘密是s1,s2,…,sk，每一秘密是一比特序列。协议如下： ① A告诉B一个单向函数f，但对f -1保密。 ② 设B想得到秘密si，他在f的定义域内随机选取k个值x1,x2,…,xk，将k元组(y1,y2,…,yk)发送给A，其中 ③ A计算zj=f -1(yj)(j=1,2,…,k)，并将zjsj(j=1,2,…,k)发送给B。 ④ 由于zi=f -1(yi)=f -1(f(xi))=xi，所以B知道zi，因此可从zisi获得si。 由于A不知k元组(y1,y2,…,yk)中哪个是f(xi)，因此无法确定B得到的是哪个秘密。 然而如果B不遵守协议，他用f对多个xj求得f(xj)，就可获得多个秘密。因此总假定这种“多传一”协议中所有用户都遵守协议。 4. 基于大数分解问题的“多传一”不经意传输协议 设A有多个秘密，并对自己的每个秘密都使用一个不同的RSA体制加密，A要想向B传递其中的一个秘密，就可告诉B加密该秘密的RSA体