六、公开密钥密码应用基础阳振坤yzk@icst.pku.edu.cn计算机.pptVIP

FFS协议:身份信息的产生 协议目的:证明者A向验证者B证明自己的身份 Blum整数: 两个4k+3型素数的乘积.特征: -1是二次非剩余,-1的Jacobi符号是+1: (-1/n) = 1 需存在可信中心:生成Blum整数n,公开n后关闭.协议中任何人都可使用n,但都不知道n的分解 A的秘密身份证i(A)的产生: ?在Zn*中随机选择k个数S1,S2,…,Sk ?随机地、独立地选择Ij=?1/ Si2, 1?j?k ?把Pi(A)={I1,I2,…, Ik}作为A的公开身份证: 公开,把i(A)={S1,S2,…,Sk}作为A的秘密身份证: 保密 FFS协议:描述 验证者B知道公开的n和Pi(A). 协议过程:执行下面步骤t次(降低A欺骗的概率) ?A随机选择整数R?Zn*,计算X=?R2 mod n,并将其中一个发给B ?B读出X,若X?Zn*,则拒绝并停机;否则,随机选择(E1,E2,…,Ek)?{0,1}k并发给A ?A计算Y=R(?Sj:Ej=1,1?j?k) mod n,把Y发给B ?B验证是否X=?Y2(?Ij:Ej=1,1?j?k) mod n 在假定求模n的平方根困难的前提下,可以证明上述协议是{S1,S2,…,Sk}的知识的零知识证明,其中, k=O(ln(ln(n))),t=O(ln(n)),n的因子分解未知. FFS协议:完全性 事实上,如果A遵守协议并且确实拥有i(A),则B以概率1接收A的证明: n和Pi(A)={I1,I2,…, Ik}是公开的, X=?R2 mod n, Y=R(?Sj:Ej=1,1?j?k) mod n B验证是否X=?Y2(?Ij:Ej=1,1?j?k) mod n 由于A知道i(A)={S1,S2,…,Sk}且遵守协议,于是: Y2(?Ij:Ej=1,1?j?k) mod n = (R(?Sj:Ej=1,1?j?k))2(?Ij:Ej=1,1?j?k) mod n =R2(?(Sj2?Ij):Ej=1,1?j?k)) = R2?(?1) mod n (∵Ij=?1/ Si2) = ?X mod n (∵ X=?R2 mod n) 因此B以概率1接收A的证明 FFS协议:合理性 合理性:如果A不拥有i(A),B是否以很小的概率接收A的证明? ?A选择R?Zn*,计算X=?R2 mod n,并将其一给B ?B验证X?Zn*,选择(E1,E2,…,Ek),给A ?A计算Y=R(?Sj:Ej=1,1?j?k) mod n,把Y给B ?B验证是否X=?Y2(?Ij:Ej=1,1?j?k) mod n 若A不知道i(A)={Sj:1?j?k},从Ij求Sj是求模n的平方根,这是困难的,没有全部Sj,A不能生成Y,只好先伪造Y值,再猜测?中B选择的向量(E1,E2,…,Ek)哪些位是1,哪些位是0,从?中算出X,把X在?中给B. A猜测向量(E1,E2,…,Ek)的值,每次只有2-k的成功机会,t次只有2-kt?n-k的成功机会(t=O(ln(n))). Jacobi符号: (-1/n) = (-1)(n-1)/2 ?(-1/n) = (-1)(n-1)/2 证明: 将n分解为n=p1p2…ps,其中p1, p2, …, ps是奇素数(不必互不相同),那么 (-1/n)=(-1/p1)(-1/p2)… (-1/ps) ∵(a/mn)=(a/m)(a/n) 若p1, p2, …, ps中有t个模4余3,其他的模4余1,那么 (-1/n)=(-1)t ∵模4余1的pi的(-1/pi)为1 注意到两个模4余3的整数相乘的结果是模4余1的, 若t是偶数,则(-1/n) = (-1)t = 1,且n模4余1, 从而(-1)(n-1)/2 = 1; 若t是奇数,则(-1/n) = (-1)t = -1,且n模4余3, 从而(-1)(n-1)/2 = -1; 总之, (-1/n) = (-1)(n-1)/2 成立. ? 零知识证明介绍 ? 80年代,Shafi Goldwasser等提出零知识证明 零知识证明是一种协议,其中的一方(证明者)试图使得另一方(验证者)相信某个论断是正确的,却不会向验证者泄漏任何有用的信息. 交互式零知识证明(Interactive zero-knowledge proof) 证明者与验证者之间要进行交互. 非交互式零知识证明(Noninteractive zero-knowledge proof) 证明者与验证者之间除预处理阶段外不需要进行交互.适用范围广,但更加复杂. 交互式零知识证明的GMR模型 GMR模型: 成员(定理)的零知识证明 证明者有无限计算能力 验证者有多项式计算能力 证明的内容是语言成员问题