零知识证明的基本协议.PPT

第七章 密码协议 认证协议 Authentication Protocols 相互认证 A，B双方在建立共享密钥时需要考虑保密性和实时性。 保密性：会话密钥应以密文传送，因此双方应事先共享密钥或者使用公钥 实时性:防止重放 序列号方法 时戳 询问－应答 序列号方法 对交换的每一条消息加上序列号，序列号正确才被接收 要求每个用户分别记录与其他每一用户交互的序列号，增加用户负担，因而很少使用 时戳法 A收到消息中包含时戳，且A看来这一时戳充分接近自己的当前时刻，A才认为收到的消息是新的并接收 要求各方时间同步 询问－应答 用户A向B发出一个一次性随机数作为询问，如果收到B发来的应答消息也包含一正确的一次性随机数，A就认为消息是新的并接受之。 各种方法的比较 时戳法不适用于面向连接的应用过程 要求不同的处理器之间时间同步，所用的协议必须是容错的以处理网络错误 协议中任何一方时钟出现错误失去同步，则敌手攻击的可能性增加 网络中存在延迟，不能期待保持精确同步，必须允许误差范围 各种方法的比较 询问－应答不适合于无连接的应用过程 在传输前需要经过询问－应答这一额外的握手过程，与无连接应用过程的本质特性不符。 无连接应用最好使用安全时间服务器提供同步 Needham－Schroeder协议 Needham－Schroeder改进协议（1） Needham－Schroeder改进协议（2） Needham－Schroeder改进协议（2） 公钥加密体制 公钥加密体制 单向认证 不需要双方同时在线（电子邮件） 邮件接收者希望认证邮件的来源以防假冒 分为单钥加密方法和公钥加密方法 单钥加密 公钥加密 身份证明技术 身份证明技术 传统的身份证明： 一般是通过检验“物”的有效性来确认持该物的的身份。徽章、工作证、信用卡、驾驶执照、身份证、护照等，卡上含有个人照片(易于换成指纹、视网膜图样、牙齿的X适用的射像等)。 信息系统常用方式： 用户名和口令 交互式证明 两方参与 示证者P(Prover)，知道某一秘密，使V相信自己掌握这一秘密； 验证者V(Verifier)，验证P掌握秘密；每轮V向P发出一询问，P向V做应答。V检查P是否每一轮都能正确应答。 交互证明与数学证明的区别 数学证明的证明者可自己独立的完成证明 交互证明由P产生证明，V验证证明的有效性来实现，双方之间要有通信 交互系统应满足 完备性：如果P知道某一秘密，V将接收P的证明 正确性：如果P能以一定的概率使V相信P的证明，则P知道相应的秘密 Fiat-Shamir身份识别方案 参数： 选定一个随机模m=p×q。产生随机数v，且使s2=v，即v为模m的平方剩余。 m和v是公开的，s作为P的秘密 Fiat-Shamir身份识别方案 (1) P取随机数r(m)，计算x= r 2 mod m，送给V； (2) V将一随机bit b送给P； (3) 若b=0，则P将r送给V；若b=1，则P将y=rs送给V； (4) 若b=0，则V证实x=r 2 mod m，从而证明P知道，若b=1，则B证实 xv=y2 mod m，从而证明A知道。 这是一次证明，A和B可将此协议重复t次，直到B相信A知道s为止。 Fiat-Shamir身份识别方案 完备性 如果P和V遵守协议，且P知道s，则应答rs是应是模m下xv的平方根，V接收P的证明，所以协议是完备的。 正确性 P不知道s，他也可取r，送x=r2 mod m给V，V送b给P。P可将r送出，当b=0时则V可通过检验而受骗，当b=1时，则V可发现P不知s，B受骗概率为1/2，但连续t次受骗的概率将仅为2-t V无法知道P的秘密，因为V没有机会产生(0,1）以外的信息，P送给V的消息中仅为P知道v的平方根这一事实。 零知识证明 最小泄露证明和零知识证明： 以一种有效的数学方法，使V可以检验每一步成立，最终确信P知道其秘密，而又能保证不泄露P所知道的信息。 零知识证明的基本协议 例[Quisquater等1989] 。 零知识证明的基本协议 (1) V站在A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行 (1)～(5)