- •Лекция Критографические протоколы
- •1.Протокол поручительства информации или Протокол обязательства
- •Поручительство (способ 1)
- •Поручительство (способ 2)
- •Протокол: доказательство с нулевым разглашением секрета
- •Простой пример доказательства с нулевым разглашением секрета
- •Базовый протокол доказательства с нулевым разглашением секрета
- •Пример трудной задачи
- •Задача коммивояжера
- •Изоморфизм графов
- •Протокол доказательства с нулевым разглашением принимает для данной задачи следующий вид:
- •Если P знает ГЦ на графе G, то он сможет правильно выполнить задания
- •Протокол доказательства того, закрытый ключ x
- •Протокол доказательства того, закрытый
- •Протокол доказательства, что для расшифрования использовался закрытый ключ, соответствующий известному открытому ключу
- •Криптосистема Эль -Гамаля
- •Метод доказательства ZKP на основе равенства логарифмов
- •Выполнение сравнений свидетельствуют о том, что равенство выполняется.
- •Доказательство, что для расшифрования использовался закрытый ключ, соответствующий известному открытому ключу
- •Формирование доказательства корректности заполнения бюллетеня и проверка доказательства
- •Идентификация (аутентификация) пользователей при помощи протокола с нулевым разглашением
- •2. Протоколы идентификации на основе симметричных
- •2. Протоколы идентификации на основе симметричных алгоритмов
- •Аутентификация пользователя в стандарте мобильной связи
- •3. Способы идентификации на основе использования цифровой подписи
- •4. Идентификация пользователей на основе протокола с нулевым разглашением
- •Достоинство протокола идентификации с нулевым разглашением (НР) по сравнению с алгоритмом ЭЦП, в
- •Протокол: Обманчивая передача
- •Протокол – обманчивая передача
- •Видно, что В не получает никакой информации о z j для j i
Достоинство протокола идентификации с нулевым разглашением (НР) по сравнению с алгоритмом ЭЦП, в том что в нем применяются гораздо более простые модульные математические операции (возведение в квадрат и умножение), что позволяет значительно снизить требования к вычислительным ресурсам верификации. Однако, как и в ЭЦП необходимо гарантировать принадлежность открытого ключа (последовательности чисел d1, d2,…..) ее владельцу, что как правило решается с помощь сертификатов.
Протокол: Обманчивая передача
Пусть участник протокола А имеет k секретов s1, s2 , ..., sk , где каждый из
секретов si представляет из себя цепочку бит произвольной длинны. Предполагается, что А анонсирует название этих секретов (скажем, «коррупционная сделка в N-ской компании»), а само содержание секретов
сохраняется в тайне. В хочет купить один из этих секретов, предположим si (к другим у него нет интереса или недостаточно денег для покупки), однако он хочет это сделать так, чтобы владелец секретов А не узнал, что именно интересует В (иначе А может, например, предупредить компанию о возможной проверке). Тогда протокол может быть выполнен следующими шагами:
Протокол – обманчивая передача
1.А передает В однонаправленную функцию (например, функцию
шифрования РША xe mod n , сохраняя в секрете р, q и d.
2.Если В решает купить секрет si , то он генерирует k случайных чисел x1, ..., xk , и посылает А цепочку чисел y1, ..., yk , где
|
xj , |
если |
j i |
|
|
|
|
|
|
|
. |
|
y j |
xj , если |
j i |
||
|
f |
|
|||
|
|
|
|
|
|
3. А находит числа z j f 1 |
y j , |
j 1, 2, ..., k (для РША функциями f |
|||
будут zj ydj mod n , |
j 1, 2, ..., k ) и посылает В aj z j sj , где черта над буквой |
||||
означает преобразование чисел в цепочку бит, а – побитовое сложение по mod2 (шифрует секреты)
4. |
В, зная, что |
z j f 1 f xj xi находит желаемый им секрет как |
||
s z a |
(расшифровывает только один секрет). |
s j z j (z j s j ) |
||
i i |
i |
|
||
Видно, что В не получает никакой информации о z j для j i
и, следовательно, никакой информации о sj для j i . С другой стороны, у А нет никакой возможности отличить случайные числа xj , j i от случайного числа xi и поэтому А не может
определить каков был выбор В.
(Очевидно, что активный В мог бы послать А несколько чисел в форме f xj и тогда получить от А больше секретов.
Однако существуют видоизменения протокола, которые могут предотвратить такой обман [15].