Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 294

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 288 289 290 291 292 293 < 294 > 295 296 297 298 299 300 .. 311 >> Следующая

и) Равенство.
к) Возможность имитации.
18.2. Объясните различия между следующими понятиями.
а) Идеальное нулевое разглашение.
б) Нечестный верификатор.
в) Вычислительный протокол с нулевым разглашением.
г) Статистический протокол с нулевым разглашением.
д) Доказательство с нулевым разглашением.
е) Аргументация с нулевым разглашением.
ж) Доказательство знания.
Глава 18. Протоколы с нулевым разглашением 723
18.3. Невозможность отрицания цифровой подписи означает доказательство того, что автор подписи владеет эксклюзивным закрытым ключом (знанием), позволяющим ему создавать подпись. В чем заключается разница между этим доказательством знания и доказательством, обеспечиваемым протоколами с нулевым разглашением?
18.4. Может ли идеальный протокол доказательства с нулевым разглашением быть идеальным протоколом аргументации с нулевым разглашением?
18.5. Должна ли доказывающая сторона в ZK-протоколе быть полиномиально ограниченной? А верификатор?
18.6. Почему протокол идентификации Шнорра не может быть однораундовым?
18.7. Докажите полноту протокола идентификации Шнорра (протокол 18.2).
18.8. При описании вычислительного протокола с нулевым разглашением, приведенного в разделе 18.3.3.2, мы заметили, что Алиса может выбирать передаваемое значение из множества ZNi+a, где а > 0 — малая и фиксированная величина. Почему?
18.9. Докажите факт 3 из раздела 18.4.2.1.
18.10. В некоторых протоколах с нулевым разглашением для понижения вероятности противоречивости применяется несколько раундов. Как правило, верификатор принимает доказательство, только если все раунды были безошибочными. Можно ли применить этот "критерий голосования" в протоколах с двусторонней ошибкой?
18.11. Почему в протоколе 18.4 используется "критерий голосования большинством"?
18.12. Почему протокол с двусторонней ошибкой не эффективен, в частности, когда поведение как честной, так и нечестной доказывающих сторон в отдельном раунде невозможно отличить?
18.13. Какой протокол называется константным (логарифмическим, полиномиальным)?
18.14. Можно ли упростить протокол 18.6, предусмотрев честное поведение доказывающей стороны и только три шага?
Подсказка: если Алиса непосредственно возводит оклик Боба в степень по модулю, то шаги 2, 3 и 4 можно сжать в отдельную передачу сообщения.
18.15. В чем заключается уязвимость описанной выше версии протокола 18.6 с честной доказывающей стороной?
Подсказка: вспомните четвертый пункт в разделе 18.6.2.2.
18.16. Что такое передача с секретом?
18.17. Где применяются неинтерактивные протоколы с нулевым разглашением?
Глава 19
Еще раз о "подбрасывании монеты по телефону"
В первом криптографическом протоколе, "Подбрасывание монеты по телефону" (протокол 1.1), использовалась "волшебная" функция /. Напомним ее свойства.
I. Для каждого целого числа х мы можем легко вычислить значение f{x), однако по заданному значению f(x) невозможно восстановить его прообраз х, например, определить, каким числом является х — четным или нечетным.
II. Невозможно найти пару чисел (ж, у), таких что х ф у и f(x) =
= №¦
До сих пор эта функция остается для нас загадкой. Рассмотрим ее конкретную реализацию, не объясняя, почему при описании ее свойств дважды употребляется слово "невозможно".
Практический способ реализации протокола 1.1 уже был предложен в разделе 1.2.1, в котором функция / представляла собой функцию хэширования, например, SHA-1. В этом случае для любого целого числа х значение f(x) можно закодировать с помощью 40 шестнадцатеричных цифр и продиктовать Бобу по телефону.
Возможно, для детской игры этого и достаточно, но существует множество криптографических приложений, в которых участвуют партнеры, не доверяющие друг другу и стремящиеся согласовать между собой случайные числа. Нарушение случайности в этих приложениях может привести к тяжелым последствиям. Например, стандартные методы атаки, описанные в книге, как правило, сводятся к обману наивного пользователя, заставляя его выполнять криптографические операции над невинными, на первый взгляд, "случайными" числами. Если пользователь уверен, что случайное число, поступившее на обработку, является подлинным, атака становится невозможной. Следовательно, истинная случайность и знание, что полученное число действительно является случайным, очень сильно влияют на стойкость криптографической системы.
Глава 19. Еще раз о "подбрасывании монеты по телефону"
725
Рассмотрим еще одну причину, объясняющую необходимость достоверного источника случайных чисел. Вернемся к предыдущей главе, где рассмотрены протоколы с нулевым разглашением и честным верификатором. Эти протоколы основаны на применении вызывающих взаимное доверие случайных окликов, которые не должны вычисляться с помощью функции хэширования. Нечестный верификатор может атаковать протокол с нулевым разглашением и честным верификатором, генерируя псевдослучайные оклики с помощью функции хэширования (раздел 18.3.2.1). Следовательно, реализация протокола 1.1 (протокол подбрасывания монеты для генерации взаимно согласованных случайных чисел) с помощью функции SHA-1 непригодна для практических приложений.
Предыдущая << 1 .. 288 289 290 291 292 293 < 294 > 295 296 297 298 299 300 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed