现代密码学74身份识别技术教材课程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/10/1
交互证明与数学证明的区别
• 数学证明的证明者可自己独立的完成证明 • 交互证明由P产生证明,V验证证明的有效性来实
现,双方之间要有通信 • 交互系统应满足
–完备性:如果P知道某一秘密,V将接收P的 证明
–正确性:如果P能以一定的概率使V相信P的 证明,则P知道相应的秘密
2020/10/1
1. B随机选一数x,将发给A 2. A(掌握n的分解)计算x2mod n 的四个平方根±x
,±y,将其中之一发给B 3. B检查收到的数是否与±x 在模n下同余,如果是,B没
有得到任何新的信息,否则B掌握了x2mod n 的两个 不同的平方根,从而可以分解n,而A确不知道究竟是 哪种情况
2020/10/1
2020/10/1
不经意传输
• 设A有一个秘密,想以1/2的概率传递给 B,即B有50%概率收到该秘密
• 协议执行完后,A不知道B是否收到这个 秘密
2020/10/1
基于大数分解的不经意传输协议
• A想通过不经意传输协议传给B大数n的因子分子 • 如果已知某数在模n下的两个不同的平方根,就
可以分解n
(6) P和V重复执行 (1)~(5)共n次。
若A不知咒语,则在B点,只有50 %的机会猜中B的要求,
协议执行n次,则只有2-n的机会完全猜中,若n=16,则若每
次均通过B的检验,B受骗机会仅为1/65 536
2020/10/1
零知识证明的基本协议
哈米尔顿回路
图论中有一个著名问题,对有n个顶点的全连通 图G,若有一条通路可通过且仅通过各顶点一次,
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
3.另选5个
5个的EA(EB(wi))
自己的牌
EB(wi),以EA加 密 以DA解密
A
5个的EA(wi) 完后公开所有加密变换
以DB解密
B
2020/10/1
掷硬币协议
• 某些密码协议中要求通信双方在无第三 方协助情况下,产生一个随机序列,因 为A,B之间不存在信任关系,因此不能 由一方产生在通过网络或电话告诉另一 方
2020/10/1
零知识证明的基本ቤተ መጻሕፍቲ ባይዱ议
例[Quisquater等1989] 。
设P知道咒语, 可
A
打开C和D之间的秘
密门,不知道者
B
都将走向死胡同中。
CD
2020/10/1
零知识证明的基本协议
(1) V站在A点; (2) P进入洞中任一点C或D; (3) 当P进洞之后,V走到B点; (4) V叫P:(a)从左边出来,或(b)从右边出来; (5) P按要求实现(以咒语,即解数学难题帮助);
则称其为哈米尔顿回路。Blum[1986] 最早将其
用于零知识证明。当n大时,要想找到一条
Hamilton回路,用计算机做也要好多年,它是一 种单向函数问题。若A知道一条回路,如何使B相 信他知道,且不告诉他具体回路?
2020/10/1
零知识证明的基本协议
(1) A将G进行随机置换,对其顶点进行移动,并改变其
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
机密算法都是保密的。
2020/10/1
智力扑克
• A和B的加密解密算法记为EA,EB,DA, DB,满足EA( EB(m))= EB( EA(m))
• A,B协商好用以表示52张牌的w1,…,w52
52个EB(wi)
1.洗牌,用EB对
2.随机选5个
5个随机的EB(wi)
52个wi加密
EB(wi)
解密,作为发给
• 单击此处编辑母版副标题样式
零知识证明
最小泄露证明和零知识证明: 以一种有效的数学方法,使V可以检验 每一步成立,最终确信P知道其秘密,而 又能保证不泄露P所知道的其他信息。
2020/10/1
简化的Fiat-Shamir身份识别方案
(1) P取随机数r(0<r<n),计算a= r 2 mod n,送
标 号 得 到 一 个 新 的 有 限 图 H 。 因 GH , 故 G 上 的
Hamilton回路与H上的Hamilton回路一一对应。已知G 上的Hamilton回路易于找出H上的相应回路; (2)A将H的交给B; (3) B向A提出下述问题之一:(a) 出示证明G和H同构, (b) 出示H上的Hamilton回路; (4) A执行下述任务之一:(a) 证明G和H同构,但不出示H 上的Hamilton回路,(b) 出示H上的Hamilton回路但不 证明G和H同构; (5) A和B重复执行 (1)~(4)共n次。
身份证明技术
传统的身份证明: 一般是通过检验“物”的有效性来确认 持该物的的身份。徽章、工作证、信用 卡、驾驶执照、身份证、护照等,卡上 含有个人照片(易于换成指纹、视网膜图 样、牙齿的X适用的射像等)。
信息系统常用方式: 用户名和口令
2020/10/1
交互式证明
两方参与 示证者P(Prover),知道某一秘密,使V相信 自己掌握这一秘密; 验证者V(Verifier),验证P掌握秘密;每轮V 向P发出一询问,P向V做应答。V检查P是否 每一轮都能正确应答。
2020/10/1
智力扑克
• A和B通过网络进行智力扑克比赛,不用第三方做裁判,发 牌者由任一方担任,要求发牌过程满足
1. 任一副牌是等可能的 2. 发给A,B的牌没有重复 3. 每人知道自己手中的牌,不知道别人的牌 4. 比赛结束后,每一方都能发现对方的欺骗行为 • 为满足要求,A,B方需要加密一些信息,比赛结束前,这些
• 正确性
– P不知道y,他也可取r,送b=r2 mod n给V,V送b给P。 P可将r送出,当b=0时则V可通过检验而受骗,当b=1时, 则V可发现P不知y,B受骗概率为1/2,但连续t次受骗的概
率将仅为2-t – V无法知道P的秘密,因为V没有机会产生(0,1)以外的信
息,P送给V的消息中仅为P知道v的平方根这一事实。
给V; (2) V将一随机选e∈{0,1},将e发送给P;
(3) P计算b≡rye mod n,若e=0,b=r,则P将b送给 V;若e=1, b≡ry mod n,则P将b送给V;
(4) 若b2 ≡ ax e mod n,V接受证明。
2020/10/1
简化的Fiat-Shamir身份识别方案
• 完备性 – 如果P和V遵守协议,且P知道y,则应答b≡rye mod n是应 是模n下axe的平方根,V接收P的证明,所以协议是完备的 。
2020/10/1
掷硬币协议
• 利用单向函数掷硬币 – A,B都知道某一单向函数f(x),但都不知道逆函数 1. B选择一个随机数x,求y=f(x)并发给A 2. A猜测x的奇偶性,并将结果告诉B 3. B告诉A猜测正确不正确,并将x发给A
• 安全性 – A不知道f(x)的逆函数,无法由y求x,只能猜 – B若在A猜测后改变x,A可以通过y=f(x)?检查出来
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
交互证明与数学证明的区别
• 数学证明的证明者可自己独立的完成证明 • 交互证明由P产生证明,V验证证明的有效性来实
现,双方之间要有通信 • 交互系统应满足
–完备性:如果P知道某一秘密,V将接收P的 证明
–正确性:如果P能以一定的概率使V相信P的 证明,则P知道相应的秘密
2020/10/1
1. B随机选一数x,将发给A 2. A(掌握n的分解)计算x2mod n 的四个平方根±x
,±y,将其中之一发给B 3. B检查收到的数是否与±x 在模n下同余,如果是,B没
有得到任何新的信息,否则B掌握了x2mod n 的两个 不同的平方根,从而可以分解n,而A确不知道究竟是 哪种情况
2020/10/1
2020/10/1
不经意传输
• 设A有一个秘密,想以1/2的概率传递给 B,即B有50%概率收到该秘密
• 协议执行完后,A不知道B是否收到这个 秘密
2020/10/1
基于大数分解的不经意传输协议
• A想通过不经意传输协议传给B大数n的因子分子 • 如果已知某数在模n下的两个不同的平方根,就
可以分解n
(6) P和V重复执行 (1)~(5)共n次。
若A不知咒语,则在B点,只有50 %的机会猜中B的要求,
协议执行n次,则只有2-n的机会完全猜中,若n=16,则若每
次均通过B的检验,B受骗机会仅为1/65 536
2020/10/1
零知识证明的基本协议
哈米尔顿回路
图论中有一个著名问题,对有n个顶点的全连通 图G,若有一条通路可通过且仅通过各顶点一次,
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
3.另选5个
5个的EA(EB(wi))
自己的牌
EB(wi),以EA加 密 以DA解密
A
5个的EA(wi) 完后公开所有加密变换
以DB解密
B
2020/10/1
掷硬币协议
• 某些密码协议中要求通信双方在无第三 方协助情况下,产生一个随机序列,因 为A,B之间不存在信任关系,因此不能 由一方产生在通过网络或电话告诉另一 方
2020/10/1
零知识证明的基本ቤተ መጻሕፍቲ ባይዱ议
例[Quisquater等1989] 。
设P知道咒语, 可
A
打开C和D之间的秘
密门,不知道者
B
都将走向死胡同中。
CD
2020/10/1
零知识证明的基本协议
(1) V站在A点; (2) P进入洞中任一点C或D; (3) 当P进洞之后,V走到B点; (4) V叫P:(a)从左边出来,或(b)从右边出来; (5) P按要求实现(以咒语,即解数学难题帮助);
则称其为哈米尔顿回路。Blum[1986] 最早将其
用于零知识证明。当n大时,要想找到一条
Hamilton回路,用计算机做也要好多年,它是一 种单向函数问题。若A知道一条回路,如何使B相 信他知道,且不告诉他具体回路?
2020/10/1
零知识证明的基本协议
(1) A将G进行随机置换,对其顶点进行移动,并改变其
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
机密算法都是保密的。
2020/10/1
智力扑克
• A和B的加密解密算法记为EA,EB,DA, DB,满足EA( EB(m))= EB( EA(m))
• A,B协商好用以表示52张牌的w1,…,w52
52个EB(wi)
1.洗牌,用EB对
2.随机选5个
5个随机的EB(wi)
52个wi加密
EB(wi)
解密,作为发给
• 单击此处编辑母版副标题样式
零知识证明
最小泄露证明和零知识证明: 以一种有效的数学方法,使V可以检验 每一步成立,最终确信P知道其秘密,而 又能保证不泄露P所知道的其他信息。
2020/10/1
简化的Fiat-Shamir身份识别方案
(1) P取随机数r(0<r<n),计算a= r 2 mod n,送
标 号 得 到 一 个 新 的 有 限 图 H 。 因 GH , 故 G 上 的
Hamilton回路与H上的Hamilton回路一一对应。已知G 上的Hamilton回路易于找出H上的相应回路; (2)A将H的交给B; (3) B向A提出下述问题之一:(a) 出示证明G和H同构, (b) 出示H上的Hamilton回路; (4) A执行下述任务之一:(a) 证明G和H同构,但不出示H 上的Hamilton回路,(b) 出示H上的Hamilton回路但不 证明G和H同构; (5) A和B重复执行 (1)~(4)共n次。
身份证明技术
传统的身份证明: 一般是通过检验“物”的有效性来确认 持该物的的身份。徽章、工作证、信用 卡、驾驶执照、身份证、护照等,卡上 含有个人照片(易于换成指纹、视网膜图 样、牙齿的X适用的射像等)。
信息系统常用方式: 用户名和口令
2020/10/1
交互式证明
两方参与 示证者P(Prover),知道某一秘密,使V相信 自己掌握这一秘密; 验证者V(Verifier),验证P掌握秘密;每轮V 向P发出一询问,P向V做应答。V检查P是否 每一轮都能正确应答。
2020/10/1
智力扑克
• A和B通过网络进行智力扑克比赛,不用第三方做裁判,发 牌者由任一方担任,要求发牌过程满足
1. 任一副牌是等可能的 2. 发给A,B的牌没有重复 3. 每人知道自己手中的牌,不知道别人的牌 4. 比赛结束后,每一方都能发现对方的欺骗行为 • 为满足要求,A,B方需要加密一些信息,比赛结束前,这些
• 正确性
– P不知道y,他也可取r,送b=r2 mod n给V,V送b给P。 P可将r送出,当b=0时则V可通过检验而受骗,当b=1时, 则V可发现P不知y,B受骗概率为1/2,但连续t次受骗的概
率将仅为2-t – V无法知道P的秘密,因为V没有机会产生(0,1)以外的信
息,P送给V的消息中仅为P知道v的平方根这一事实。
给V; (2) V将一随机选e∈{0,1},将e发送给P;
(3) P计算b≡rye mod n,若e=0,b=r,则P将b送给 V;若e=1, b≡ry mod n,则P将b送给V;
(4) 若b2 ≡ ax e mod n,V接受证明。
2020/10/1
简化的Fiat-Shamir身份识别方案
• 完备性 – 如果P和V遵守协议,且P知道y,则应答b≡rye mod n是应 是模n下axe的平方根,V接收P的证明,所以协议是完备的 。
2020/10/1
掷硬币协议
• 利用单向函数掷硬币 – A,B都知道某一单向函数f(x),但都不知道逆函数 1. B选择一个随机数x,求y=f(x)并发给A 2. A猜测x的奇偶性,并将结果告诉B 3. B告诉A猜测正确不正确,并将x发给A
• 安全性 – A不知道f(x)的逆函数,无法由y求x,只能猜 – B若在A猜测后改变x,A可以通过y=f(x)?检查出来
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式