欢迎来到天天文库
浏览记录
ID:36927261
大小:676.60 KB
页数:37页
时间:2019-05-11
《《零知识证明》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、零知识证明概念“零知识证明”-zero-knowledgeproof,是由Goldwasser等人在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。1)A要向B证明自己拥有某个房间的钥匙,假设该房间只能用钥匙打开锁,而其他任何方法都打不开。这时有2个方法:(一)A把钥匙出示给B,B用这把钥匙打开该房间的锁,从而证明A拥有该房间的正确的钥匙。(二)B确定该房间内有某一物体,A用自己拥有的钥匙打开该房间的门,然后把物体拿出来出示给B,
2、从而证明自己确实拥有该房间的钥匙。后面这个方法属于零知识证明。好处在于在整个证明的过程中,B始终不能看到钥匙的样子,从而避免了钥匙的泄露。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。零知识证明必须包括两个方面,一方为证明者P,另一方为验证者V。证明者试图向验证者证明某个论断是正确的,或者证明者拥有某个知识,却不向验证者透露任何有用的消息。零知识证明目前在密码学中得到了广泛的应用,尤其是在认证协议、数字签名方面。在Goldwasser等人提出的零知
3、识证明中,证明者和验证者之间必须进行交互,这样的零知识证明被称为“交互零知识证明”。80年代末,Blum等人进一步提出了“非交互零知识证明”的概念,用一个短随机串代替交互过程并实现了零知识证明。非交互零知识证明的一个重要应用场合是需要执行大量密码协议的大型网络。大量事实证明,零知识证明在密码学中非常有用。Quisquater-Guillon零知识协议1990年,Quisquater和Guillon提出一种形象的基本零知识协议的例子。如下图所示,该图表示一个简单的迷宫,只有知道秘密口令的人才能打开
4、C和D之间的密门。现在,P希望向V证明P能够打开此门,但是又不愿意向V泄漏P掌握的秘密口令。为此,P采用了所谓的“分隔与选择”技术实现一个零知识协议。分隔与选择(cutandchoose)协议A将蛋糕分成两半;B为自己选择其中的一半;A得到剩下的一半。这是一种公平协议,A如果分割不均匀,B总能选择对自己有利的一半。这个协议为交互零知识证明的雏形。ABCD1)V站在A点。(2)P一直走到迷宫深处,随即选择C点或者D点。(3)在P消失后,V走到B点。(4)V向P喊叫,要她:从左通道出来,或者从右通道
5、出来。(5)P答应了,如果有必要她就用秘密口令打开密门。P和V重复第(1)至第(5)步n次。在上述协议中,如果P不知道秘密口令,他只能从来路返回到B点,而不能走另外一条路。此外,P每一次猜对V要求他走哪一条路的概率是1/2。因此,每一轮协议P能够欺骗V的概率是1/2。执行n轮协议后,P成功欺骗V的概率是1/2n。嘉定n=16,则执行16轮协议后,P成功欺骗V的概率是1/216=1/65536。于是,如果P能够16次按V的要求路线返回,V即能证明P确实知道秘密口令。同时,V无法从上述证明过程中获取
6、丝毫有关P的秘密口令的消息。所以,这是一个零知识协议。Hamilton回路零知识协议许多计算上困难的问题可以用来构造零知识协议。在图论中,图G中的回路是指始点和终点相重合的路径,若回路通过图的每个顶点一次且仅一次,则称图G为哈密尔顿回路,构造图G的哈密尔顿回路是NPC问题。假定P知道图G的哈密尔顿回路,并希望向V证明这一事实,可采用如下协议:(1)P随机地构造一个与图G同构的图W。并将W交给V。(2)V随机地要求P做下述两件工作之一:证明图G和图W同构;指出图W的一条哈密尔顿回路。(3)P根据要
7、求做下述两件工作之一:证明图G和图W同构,但不指出图G或图W的哈密尔顿回路;指出图W的哈密尔顿回路,但不证明图G和图W同构。(4)P和V重复以上过程n次。协议执行完后,V无法获得任何信息使自己可以构造图G的哈密尔顿回路,因此该协议是零知识证明协议。事实上,如果P向V证明图G和图W同构,这个结论对V并没有意义,因为构造图G的哈密尔顿回路和构造图W的哈密尔顿回路同样困难。如果P向V指出图W的一条哈密尔顿回路,这一事实也无法向V提供任何帮助,因为求两个图之间的同构并不比求一个图的哈密尔顿回路容易。在协
8、议的每一轮中,P都随机地构造一个与图G同构的新图,因此不论协议执行多少轮,V都得不到任何有关构造图G的哈密尔顿回路的信息。Goldwasser等人提出的零知识证明是交互式的,也就是证明者和验证者之间必须进行双向对话,才能实现零知识性,因而称为交互零知识证明。在交互零知识证明的研究中,目前受到关注的有两种基本模型。一种是GMR模型,在这种模型中,证明者具有无限的计算能力,验证者具有多项式时间的计算能力。需要证明的是语言成员问题,即输入I是否是语言L中的一个成员。GMR模型不是真正的零知识证明,这是
此文档下载收益归作者所有