第21讲
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
B随机选一数x,将发给A 随机选一数x 将发给A 掌握n的分解)计算x 2. A(掌握n的分解)计算x2mod n 的四个平方根 将其中之一发给B ±x ,±y,将其中之一发给 ± 将其中之一发给 3. B检查收到的数是否与±x 在模n下同余,如果是, 检查收到的数是否与± 在模n下同余,如果是, 检查收到的数是否与 没有得到任何新的信息,否则B掌握了x B没有得到任何新的信息,否则B掌握了x2mod n 的两个不同的平方根,从而可以分解n 的两个不同的平方根,从而可以分解n,而A确不 2010-5-10 知道究竟是哪种情况 21
2010-5-10 14
其他密码协议
2010-5-10
15
智力扑克
A和B通过网络进行智力扑克比赛,不用第三方做裁 通过网络进行智力扑克比赛, 发牌者由任一方担任, 判,发牌者由任一方担任,要求发牌过程满足 1. 任一副牌是等可能的 发给A 2. 发给A,B的牌没有重复 每人知道自己手中的牌, 3. 每人知道自己手中的牌,不知道别人的牌 比赛结束后, 4. 比赛结束后,每一方都能发现对方的欺骗行为 为满足要求,A,B方需要加密一些信息 比赛结束前, 方需要加密一些信息, 为满足要求,A,B方需要加密一些信息,比赛结束前, 这些机密算法都是保密的. 这些机密算法都是保密的.
零知识证明的基本协议
例[Quisquater等1989] .
A B
设P知道咒语, 可 打开C和D之间的秘 密门,不知道者 都将走向死胡同中.
C
D
2010-5-10
11
零知识证明的基本协议
站在A (1) V站在A点; 进入洞中任一点C (2) P进入洞中任一点C或D; 进洞之后, 走到B (3) 当P进洞之后,V走到B点; (a)从左边出来 从左边出来, (b)从右边出来 从右边出来; (4) V叫P:(a)从左边出来,或(b)从右边出来; 按要求实现(以咒语,即解数学难题帮助) (5) P按要求实现(以咒语,即解数学难题帮助); (6) P和V重复执行 (1)~(5)共n次. 若A不知咒语,则在B点,只有50 %的机会猜中B的 不知咒语,则在B 只有50 %的机会猜中B 的机会猜中 -n的机会完全猜中,若 要求, 则只有2 要求,协议执行n次,则只有2 的机会完全猜中, n=16,则若每次均通过B的检验,B受骗机会仅为1/65 =16,则若每次均通过B的检验, 受骗机会仅为1/65 536
2010-5-10 12
零知识证明的基本协议
哈米尔顿回路
图论中有一个著名问题,对有 n 个顶点的全连 通图 G ,若有一条通路可通过且仅通过各顶点 一次,则称其为哈米尔顿回路.Blum[1986] 最 早将其用于零知识证明.当 n 大时,要想找到 一条Hamilton回路,用计算机做也要好多年, 它是一种单向函数问题.若A知道一条回路, 如何使B相信他知道,且不告诉他具体回路?
2010-5-10
9
零知识证明
最小泄露证明和零知识证明: 最小泄露证明和零知识证明: 以一种有效的数学方法,使V可以检验每 以一种有效的数学方法, 一步成立,最终确信P知道其秘密, 一步成立,最终确信P知道其秘密,而又 能保证不泄露P所知道的信息. 能保证不泄露P所知道的信息.
2010-5-10
10
2010-5-10 19
不经意传输
设A有一个秘密,想以1/2的概率传递给B, 即B有50%概率收到该秘密 协议执行完后,A不知道B是否收到这个 秘密
2010-5-10
20
基于大数分解的不经意传输协 议
A想通过不经意传输协议传给B大数n的因子 想通过不经意传输协议传给B大数n 分子 如果已知某数在模n下的两个不同的平方根, 如果已知某数在模n下的两个不同的平方根, 就可以分解n 就可以分解n
2010-5-10
16
智力扑克
A和B的加密解密算法记为EA,EB,DA, DB,满足EA( EB(m))= EB( EA(m)) A,B协商好用以表示52张牌的w1,…,w52
52个EB(wi) 2.随机选5个 EB(wi) 3.另选5个 EB(wi),以EA加 密 以DA解密 5个随机的EB(wi) 5个的EA(EB(wi)) 5个的EA(wi) 完后公开所有加密变换 1.洗牌,用EB对 52个wi加密 解密,作为发给 自己的牌 以DB解密
1.
�
2010-5-10 13
进行随机置换,对其顶点进行移动, (1) A将G进行随机置换,对其顶点进行移动,并改变 其标号得到一个新的有限图H.因 G H ,故G上的 Hamilton回路与 上的Hamilton回路一一对应. Hamilton回路一一对应 Hamilton回路与H上的Hamilton回路一一对应.已知 G上的Hamilton回路易于找出H上的相应回路; 上的Hamilton Hamilton回路易于找出 上的相应回路; )A将 的复本给B (2)A将H的复本给B; 提出下述问题之一: 同构, (3) B向A提出下述问题之一:(a) 出示证明G和H同构, 上的Hamilton回路; Hamilton回路 (b) 出示H上的Hamilton回路; 执行下述任务之一: 同构, (4) A执行下述任务之一:(a) 证明G和H同构,但不出 上的Hamilton回路, Hamilton回路 上的Hamilton Hamilton回 示 H 上的 Hamilton 回路 , (b) 出示 H 上的 Hamilton 回 同构; 路但不证明G和H同构; (5) A和B重复执行 (1)~(4)共n次.
完备性:如果P知道某一秘密, 将接收P 完备性:如果P知道某一秘密,V将接收P的 证明 正确性:如果P能以一定的概率使V相信P 正确性:如果P能以一定的概率使V相信P的 证明, 证明,则P知道相应的秘密 2010-5-10
6
Fiat-Shamir身份识别方案 身份识别方案
参数: 参数: 选定一个随机模m=p×q.产生随机数v, 的平方剩余. 且使s2=v,即v为模m的平方剩余. m和 v是公开的,s作为P的秘密 是公开的, 作为P
2010-5-10 4
交互式证明
两方参与 示证者P(Prover),知道某一秘密,使V相信 自己掌握这一秘密; 验证者V(Verifier),验证P掌握秘密;每轮V 向P发出一询问,P向V做应答.V检查P是否 每一轮都能正确应答.
2010-5-10
5
交互证明与数学证明的区别
数学证明的证明者可自己独立的完成证 明 交互证明由P产生证明,V验证证明的有 交互证明由P产生证明, 效性来实现, 效性来实现,双方之间要有通信 交互系统应满足
2010-5-10
8
Fiat-Shamir身份识别方案 身份识别方案
完备性 如果P 遵守协议, 知道s 是应是模m xv的平 如果P和V遵守协议,且P知道s,则应答rs是应是模m下xv的平 方根, 接收P的证明,所以协议是完备的. 方根,V接收P的证明,所以协议是完备的. 正确性 P不知道s,他也可取r,送x=r2 mod m给V,V送b给P.P可将 送出, =0时则 可通过检验而受骗, 时则V =1时 r送出,当b=0时则V可通过检验而受骗,当b=1时,则V可发 受骗概率为1/2 1/2, 次受骗的概率将仅为2 现P不知s,B受骗概率为1/2,但连续t次受骗的概率将仅为2-t 无法知道P的秘密,因为V没有机会产生(0,1 以外的信息, (0,1) V无法知道P的秘密,因为V没有机会产生(0,1)以外的信息,P 送给V的消息中仅为P知道v的平方根这一事实. 送给V的消息中仅为P知道v的平方根这一事实.
20百度文库0-5-10
7
Fiat-Shamir身份识别方案 身份识别方案
送给V (1) P取随机数r(<m),计算x= r 2 mod m,送给V; 将一随机bit 送给P (2) V将一随机bit b送给P; (3) 若b=0,则P将r送给V;若b=1,则P将y=rs送给V; 送给V 送给V 从而证明P知道, (4) 若b=0,则V证实x=r 2 mod m,从而证明P知道,若 b=1,则B证实 xv=y2 mod m,从而证明A知道. 从而证明A知道. 这是一次证明, 直到B 这是一次证明, A和 B 可将此协议重复 t 次 , 直到 B 相 信A知道s为止. 为止.
A
2010-5-10
B
17
掷硬币协议
某些密码协议中要求通信双方在无第三 方协助情况下,产生一个随机序列, 方协助情况下,产生一个随机序列,因 之间不存在信任关系, 为A,B之间不存在信任关系,因此不能 由一方产生在通过网络或电话告诉另一 方
2010-5-10
18
掷硬币协议
利用单向函数掷硬币 A,B都知道某一单向函数 都知道某一单向函数f(x),但都不知道逆函 , 都知道某一单向函数 , 数 1. B选择一个随机数 ,求y=f(x)并发给 选择一个随机数x, 并发给A 选择一个随机数 = 并发给 2. A猜测 的奇偶性,并将结果告诉 猜测x的奇偶性 猜测 的奇偶性,并将结果告诉B 3. B告诉 猜测正确不正确,并将 发给 告诉A猜测正确不正确 发给A 告诉 猜测正确不正确,并将x发给 安全性 A不知道 不知道f(x)的逆函数,无法由 求x,只能猜 的逆函数, 不知道 的逆函数 无法由y求 , B若在 猜测后改变 ,A可以通过 若在A猜测后改变 可以通过y=f(x)?检查出 若在 猜测后改变x, 可以通过 检查出 来
第八章 数字签字和密码协议
2010-5-10
1
数字签字的基本概念 数字签字标准 其他签字方案 认证协议 身份证明技术 其他密码协议
2010-5-10
2
身份证明技术
2010-5-10
3
身份证明技术
传统的身份证明: 传统的身份证明: 一般是通过检验"物"的有效性来确认 持该物的的身份.徽章,工作证,信用 卡,驾驶执照,身份证,护照等,卡上 含有个人照片(易于换成指纹,视网膜图 样,牙齿的X适用的射像等). 信息系统常用方式: 信息系统常用方式: 用户名和口令
2010-5-10 14
其他密码协议
2010-5-10
15
智力扑克
A和B通过网络进行智力扑克比赛,不用第三方做裁 通过网络进行智力扑克比赛, 发牌者由任一方担任, 判,发牌者由任一方担任,要求发牌过程满足 1. 任一副牌是等可能的 发给A 2. 发给A,B的牌没有重复 每人知道自己手中的牌, 3. 每人知道自己手中的牌,不知道别人的牌 比赛结束后, 4. 比赛结束后,每一方都能发现对方的欺骗行为 为满足要求,A,B方需要加密一些信息 比赛结束前, 方需要加密一些信息, 为满足要求,A,B方需要加密一些信息,比赛结束前, 这些机密算法都是保密的. 这些机密算法都是保密的.
零知识证明的基本协议
例[Quisquater等1989] .
A B
设P知道咒语, 可 打开C和D之间的秘 密门,不知道者 都将走向死胡同中.
C
D
2010-5-10
11
零知识证明的基本协议
站在A (1) V站在A点; 进入洞中任一点C (2) P进入洞中任一点C或D; 进洞之后, 走到B (3) 当P进洞之后,V走到B点; (a)从左边出来 从左边出来, (b)从右边出来 从右边出来; (4) V叫P:(a)从左边出来,或(b)从右边出来; 按要求实现(以咒语,即解数学难题帮助) (5) P按要求实现(以咒语,即解数学难题帮助); (6) P和V重复执行 (1)~(5)共n次. 若A不知咒语,则在B点,只有50 %的机会猜中B的 不知咒语,则在B 只有50 %的机会猜中B 的机会猜中 -n的机会完全猜中,若 要求, 则只有2 要求,协议执行n次,则只有2 的机会完全猜中, n=16,则若每次均通过B的检验,B受骗机会仅为1/65 =16,则若每次均通过B的检验, 受骗机会仅为1/65 536
2010-5-10 12
零知识证明的基本协议
哈米尔顿回路
图论中有一个著名问题,对有 n 个顶点的全连 通图 G ,若有一条通路可通过且仅通过各顶点 一次,则称其为哈米尔顿回路.Blum[1986] 最 早将其用于零知识证明.当 n 大时,要想找到 一条Hamilton回路,用计算机做也要好多年, 它是一种单向函数问题.若A知道一条回路, 如何使B相信他知道,且不告诉他具体回路?
2010-5-10
9
零知识证明
最小泄露证明和零知识证明: 最小泄露证明和零知识证明: 以一种有效的数学方法,使V可以检验每 以一种有效的数学方法, 一步成立,最终确信P知道其秘密, 一步成立,最终确信P知道其秘密,而又 能保证不泄露P所知道的信息. 能保证不泄露P所知道的信息.
2010-5-10
10
2010-5-10 19
不经意传输
设A有一个秘密,想以1/2的概率传递给B, 即B有50%概率收到该秘密 协议执行完后,A不知道B是否收到这个 秘密
2010-5-10
20
基于大数分解的不经意传输协 议
A想通过不经意传输协议传给B大数n的因子 想通过不经意传输协议传给B大数n 分子 如果已知某数在模n下的两个不同的平方根, 如果已知某数在模n下的两个不同的平方根, 就可以分解n 就可以分解n
2010-5-10
16
智力扑克
A和B的加密解密算法记为EA,EB,DA, DB,满足EA( EB(m))= EB( EA(m)) A,B协商好用以表示52张牌的w1,…,w52
52个EB(wi) 2.随机选5个 EB(wi) 3.另选5个 EB(wi),以EA加 密 以DA解密 5个随机的EB(wi) 5个的EA(EB(wi)) 5个的EA(wi) 完后公开所有加密变换 1.洗牌,用EB对 52个wi加密 解密,作为发给 自己的牌 以DB解密
1.
�
2010-5-10 13
进行随机置换,对其顶点进行移动, (1) A将G进行随机置换,对其顶点进行移动,并改变 其标号得到一个新的有限图H.因 G H ,故G上的 Hamilton回路与 上的Hamilton回路一一对应. Hamilton回路一一对应 Hamilton回路与H上的Hamilton回路一一对应.已知 G上的Hamilton回路易于找出H上的相应回路; 上的Hamilton Hamilton回路易于找出 上的相应回路; )A将 的复本给B (2)A将H的复本给B; 提出下述问题之一: 同构, (3) B向A提出下述问题之一:(a) 出示证明G和H同构, 上的Hamilton回路; Hamilton回路 (b) 出示H上的Hamilton回路; 执行下述任务之一: 同构, (4) A执行下述任务之一:(a) 证明G和H同构,但不出 上的Hamilton回路, Hamilton回路 上的Hamilton Hamilton回 示 H 上的 Hamilton 回路 , (b) 出示 H 上的 Hamilton 回 同构; 路但不证明G和H同构; (5) A和B重复执行 (1)~(4)共n次.
完备性:如果P知道某一秘密, 将接收P 完备性:如果P知道某一秘密,V将接收P的 证明 正确性:如果P能以一定的概率使V相信P 正确性:如果P能以一定的概率使V相信P的 证明, 证明,则P知道相应的秘密 2010-5-10
6
Fiat-Shamir身份识别方案 身份识别方案
参数: 参数: 选定一个随机模m=p×q.产生随机数v, 的平方剩余. 且使s2=v,即v为模m的平方剩余. m和 v是公开的,s作为P的秘密 是公开的, 作为P
2010-5-10 4
交互式证明
两方参与 示证者P(Prover),知道某一秘密,使V相信 自己掌握这一秘密; 验证者V(Verifier),验证P掌握秘密;每轮V 向P发出一询问,P向V做应答.V检查P是否 每一轮都能正确应答.
2010-5-10
5
交互证明与数学证明的区别
数学证明的证明者可自己独立的完成证 明 交互证明由P产生证明,V验证证明的有 交互证明由P产生证明, 效性来实现, 效性来实现,双方之间要有通信 交互系统应满足
2010-5-10
8
Fiat-Shamir身份识别方案 身份识别方案
完备性 如果P 遵守协议, 知道s 是应是模m xv的平 如果P和V遵守协议,且P知道s,则应答rs是应是模m下xv的平 方根, 接收P的证明,所以协议是完备的. 方根,V接收P的证明,所以协议是完备的. 正确性 P不知道s,他也可取r,送x=r2 mod m给V,V送b给P.P可将 送出, =0时则 可通过检验而受骗, 时则V =1时 r送出,当b=0时则V可通过检验而受骗,当b=1时,则V可发 受骗概率为1/2 1/2, 次受骗的概率将仅为2 现P不知s,B受骗概率为1/2,但连续t次受骗的概率将仅为2-t 无法知道P的秘密,因为V没有机会产生(0,1 以外的信息, (0,1) V无法知道P的秘密,因为V没有机会产生(0,1)以外的信息,P 送给V的消息中仅为P知道v的平方根这一事实. 送给V的消息中仅为P知道v的平方根这一事实.
20百度文库0-5-10
7
Fiat-Shamir身份识别方案 身份识别方案
送给V (1) P取随机数r(<m),计算x= r 2 mod m,送给V; 将一随机bit 送给P (2) V将一随机bit b送给P; (3) 若b=0,则P将r送给V;若b=1,则P将y=rs送给V; 送给V 送给V 从而证明P知道, (4) 若b=0,则V证实x=r 2 mod m,从而证明P知道,若 b=1,则B证实 xv=y2 mod m,从而证明A知道. 从而证明A知道. 这是一次证明, 直到B 这是一次证明, A和 B 可将此协议重复 t 次 , 直到 B 相 信A知道s为止. 为止.
A
2010-5-10
B
17
掷硬币协议
某些密码协议中要求通信双方在无第三 方协助情况下,产生一个随机序列, 方协助情况下,产生一个随机序列,因 之间不存在信任关系, 为A,B之间不存在信任关系,因此不能 由一方产生在通过网络或电话告诉另一 方
2010-5-10
18
掷硬币协议
利用单向函数掷硬币 A,B都知道某一单向函数 都知道某一单向函数f(x),但都不知道逆函 , 都知道某一单向函数 , 数 1. B选择一个随机数 ,求y=f(x)并发给 选择一个随机数x, 并发给A 选择一个随机数 = 并发给 2. A猜测 的奇偶性,并将结果告诉 猜测x的奇偶性 猜测 的奇偶性,并将结果告诉B 3. B告诉 猜测正确不正确,并将 发给 告诉A猜测正确不正确 发给A 告诉 猜测正确不正确,并将x发给 安全性 A不知道 不知道f(x)的逆函数,无法由 求x,只能猜 的逆函数, 不知道 的逆函数 无法由y求 , B若在 猜测后改变 ,A可以通过 若在A猜测后改变 可以通过y=f(x)?检查出 若在 猜测后改变x, 可以通过 检查出 来
第八章 数字签字和密码协议
2010-5-10
1
数字签字的基本概念 数字签字标准 其他签字方案 认证协议 身份证明技术 其他密码协议
2010-5-10
2
身份证明技术
2010-5-10
3
身份证明技术
传统的身份证明: 传统的身份证明: 一般是通过检验"物"的有效性来确认 持该物的的身份.徽章,工作证,信用 卡,驾驶执照,身份证,护照等,卡上 含有个人照片(易于换成指纹,视网膜图 样,牙齿的X适用的射像等). 信息系统常用方式: 信息系统常用方式: 用户名和口令