文档介绍:第七章 密码协议
精选
*
认证协议
Authentication Protocols
精选
*
相互认证
A,B双方在建立共享密钥时需要考虑保密性和实时性。
保密性:会话密钥应以密文传送,因此双方应事先共享密钥V;假设b=1,那么P将y=rs送给V;
(4) 假设b=0,那么V证实x=r 2 mod m,从而证明P知道,假设b=1,那么B证实 xv=y2 mod m,从而证明A知道。
这是一次证明,A和B可将此协议重复t次,直到B相信A知道s为止。
精选
*
Fiat-Shamir身份识别方案
完备性
如果P和V遵守协议,且P知道s,那么应答rs是应是模m下xv的平方根,V接收P的证明,所以协议是完备的。
正确性
P不知道s,他也可取r,送x=r2 mod m给V,V送b给P。P可将r送出,当b=0时那么V可通过检验而受骗,当b=1时,那么V可发现P不知s,B受骗概率为1/2,但连续t次受骗的概率将仅为2-t
V无法知道P的秘密,因为V没有时机产生(0,1〕以外的信息,P送给V的消息中仅为P知道v的平方根这一事实。
精选
*
零知识证明
最小泄露证明和零知识证明:
以一种有效的数学方法,使V可以检验每一步成立,最终确信P知道其秘密,而又能保证不泄露P所知道的信息。
精选
*
零知识证明的根本协议
例[Quisquater等1989] 。
设P知道咒语, 可翻开C和D之间的秘密门,不知道者
都将走向死胡同中。
A
B
C
D
精选
*
零知识证明的根本协议
(1) V站在A点;
(2) P进入洞中任一点C或D;
(3) 当P进洞之后,V走到B点;
(4) V叫P:(a)从左边出来,或(b)从右边出来;
(5) P按要求实现(以咒语,即解数学难题帮助);
(6) P和V重复执行 (1)~(5)共n次。
假设A不知咒语,那么在B点,只有50 %的时机猜中B的要求,协议执行n次,那么只有2-n的时机完全猜中,假设n=16,那么假设每次均通过B的检验,B受骗时机仅为1/65 536
精选
*
零知识证明的根本协议
哈米尔顿回路
图论中有一个著名问题,对有n个顶点的全连通图G,假设有一条通路可通过且仅通过各顶点一次,那么称其为哈米尔顿回路。Blum[1986] 最早将其用于零知识证明。当n大时,要想找到一条Hamilton回路,用计算机做也要好多年,它是一种单向函数问题。假设A知道一条回路,如何使B相信他知道,且不告诉他具体回路?
精选
*
(1) A将G进展随机置换,对其顶点进展移动,并改变其标号得到一个新的有限图H。因 ,故G上的Hamilton回路与H上的Hamilton回路一一对应。G上的Hamilton回路易于找出H上的相应回路;
(2)A将H的复本给B;
(3) B向A提出下述问题之一:(a) 出示证明G和H同构,(b) 出示H上的Hamilton回路;
(4) A执行下述任务之一:(a) 证明G和H同构,但不出示H上的Hamilton回路,(b) 出示H上的Hamilton回路但不证明G和H同构;
(5) A和B重复执行 (1)~(4)共n次。
精选
*
其他密码协议
精选
*
智力***
A和B通过网络进展智力***比赛,不用第三方做裁判,发牌者由任一方担任,要求发牌过程满足
任一副牌是等可能的
发给A,B的牌没有重复
每人知道自己手中的牌,不知道别人的牌
比赛完毕后,每一方都能发现对方的欺骗行为
为满足要求,A,B方需要加密一些信息,比赛完毕前,这些机密算法都是保密的。
精选
*
智力***
A和B的加密解密算法记为EA,EB,DA,DB,满足EA( EB(m))= EB( EA(m))
A,B协商好用以表示52张牌的w1,…,w52
EB(wi)
EB(wi),以EA加
密
以DA解密
,用EB对
52个wi加密
解密,作为发给
自己的牌
以DB解密
52个EB〔wi〕
5个随机的EB〔wi〕
5个的EA(EB(wi))
5个的EA(wi)
完后公开所有加密变换
A
B
精选
*
掷硬币协议
某些密码协议中要求通信双方在无第三方协助情况下,产生一个随机序列,因为A,B之间不存在信任关系,因此不能由一方产生在通过网络或 告诉另一方
精选
*
掷硬币协议
利用单向函数掷硬币
A,B都知道某一单向函数f(x),但都不知道逆函数
B选择一个随机数x,求y=f(x)并发给A
A猜