Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
• Неограниченные вычислительные ресурсы доказывающей стороны повышают ценность протокола для приложений, в которых доказывающей стороной является мощный пользователь, например, правительственное агентство.
• Несмотря на непротиворечивость протокола, Алиса не обязана знать значение дискретного логарифма. Доказательство просто демонстрирует, что при возведении в степень она получает правильный ответ. Вполне возможно, что для этого она прибегает к услугам оракула. В протоколе идентификации Шнорра, даже если доказывающая сторона использует оракула, два правильных ответа позволяют извлечь значение дискретного логарифма и применить лемму о разветвлении для доказательства неуязвимости тройной схемы цифровой подписи Эль-Гамаля (см. раздел 16.3.2). В протоколе Чаума два правильных ответа не позволяют определить значение дискретного логарифма.
• На основе своего протокола Чаум предложил неоспоримую схему цифровой подписи (undeniable signature scheme) [72] (см. также работу Чаума и Антверпена (Antwerpen) [74]). "Неоспоримая схема цифровой подписи"
716
Часть VI. Криптографические протоколы
позволяет доказать авторство документа с помощью интерактивного прото-J кола, не прибегая к процедуре верификации, предусмотренной в обычньнм схемах. Это дает возможность подписывающей стороне выбрать верифи-1 катор подписи и, таким образом, защитить свои права на тайну подписи^ Это может оказаться полезным в некоторых приложениях, где публичная верификация подписи является нежелательной. Например, поставщик программного обеспечения ставит на своих продуктах цифровую подпись, что,-бы подтвердить их аутентичность и безопасность, однако правом верификации этой подписи должны обладать только добросовестные покупатели. Используя неоспоримую подпись, поставщик может предотвратить пиратскую подделку.
18.7 Неинтерактивное нулевое разглашение
Интерактивные протоколы с нулевым разглашением предусматривают взаимодействие между пользователями. Несмотря на то что в однораундовых и константе ных протоколах (например, в протоколе Чаума) количество взаимодействия малси оба пользователя должны одновременно находиться на связи. Если бы протокой с нулевым разглашением был неинтерактивным, можно было бы использоватм одностороннюю линию связи. Такой вид связи обладает несколькими преимуще^ ствами.
Рассмотрим умозрительную ситуацию, в которой пользователи Р и V явля-i ются математиками (сценарий, описанный в работе [44]). Пользователь Р хочея путешествовать по миру, доказывая математику V новые теоремы, не разглашав сути доказательства. В этом сценарии необходимо использовать неинтерактивнов доказательство, поскольку пользователь Р может не иметь фиксированного адреса и переезжать до получения очередного ответа. Эти два виртуальных пользователл оценят преимущества неинтерактивного доказательства с нулевым разглашением.
В начале главы 15 рассматривалось более реалистичное применение неинтерактивного доказательства с нулевым разглашением: создание доказуемо стоиков схемы шифрования с открытым ключом, неуязвимой для атаки ССА2 (хотя на сгА мом деле мы стремились предостеречь от подобного подхода). Во всяком случае возможность проведения неинтерактивного доказательства (или аргументаций! с нулевым разглашением всегда полезна.
Блюм, Фельдман и Микали предложили метод неинтерактивного доказательства с нулевым разглашением (non-interactive zero-knowledge — NIZK в котором пользователи Р и V обладают общими битами оклика [44]. Эти ты могут генерироваться посредником, пользующимся доверием у пользовате.-Р и V (такой доверенный источник случайных битов был назван Рабином случайным маяком (random beacon) [239]). Вполне возможна также ситуация, ко -
Глава 18. Протоколы с нулевым разглашением
717
оба пользователя сами заранее генерируют биты при личной встрече (например, в описанном выше сценарии математики могут согласовать биты до отъезда).
В разделе 18.3.2.2 описан эвристический метод Фиата-Шамира, позволяющий создавать неинтерактивное "доказательство знания"2. Однако неинтерактивность, обеспечиваемая методом Фиата-Шамира, достигается за счет потери нулевого разглашения: "закрытое доказательство" становится "открытым", т.е. доступным для открытой проверки.
Якобсон (Jakobsson), Сако (Sako) и Импальяццо (Impagliazzo) разработали новый способ, основанный на эвристическом методе Фиата-Шамира и позволяющий сохранить доказательство "закрытым" [153]. Они назвали этот метод доказательством предназначенному верификатору (designated verifier proof): если Алиса доказывает Бобу знание некоего факта, только Боб может проверить его правильность.
18.7.1 Неинтерактивное доказательство с нулевым разглашением и предназначенным верификатором
Метод неинтерактивного доказательства с нулевым разглашением и предназначенным верификатором основан на применении эвристического метода Фиата-Шамира к следующему логическому выражению.
"Утверждение Алисы истинно" V "Боб сымитировал доказательство Алисы".
Алиса может создать "доказательство" этого логического выражения с помощью конструкции под названием "передача с секретом" (trapdoor commitment). Брассар (Brassard), Чаум и Крепо (Crepeau) [59] назвали ее имитируемой передачей (simulatable commitment).)
