Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
Если используется блоб, который является безусловно надежным для Боба (в соответствии с протоколами, что приведены в [196, 78]), то Алиса может так никогда и не воспользоваться никакой частью своих знаний — Бобу может позволить ретроактивно смошенничать открытие какого-нибудь нового алгоритма, даже если этот новый алгоритм и не является достаточно быстрым для ответа за то реальное время, в течение которого проводится указанный выше протокол. Далее, если конкретное криптографическое предположение окажется не вполне обоснованным, для Боба все еще имеется (очень небольшая) вероятность удачного
Доказательства с наименьшим раскрытием 221
(и, следовательно, без обнаружения) мошенничества. С другой стороны, невзирая ни на какие предположения, единственный тип мошенничества, которйй может позволить Алисе Добиться своего в данной ситуации, является дерзким.
В противоположность предыдущему, если используются блобы, которые являются безусловно надежными для Алисы (в соответствии с протоколами, приведенными в [103, 79]), то убежденность Боба в том, что .Алиса не может смошенничать, зависит от его веры в соответствующее криптографическое предположение. В соответствии с первой (из описанных в § 2) реализаций блобов, что основаны на дискретном логарифме, Алиса, например, сможет «открыть» любой блоб либо как 0, либо как 1, причем так, как ей это будет угодно, только если она будет в состоянии получить дискретный логарифм s до окончания первого раунда протокола, в котором Боб задает ей соответствующую сложную задачу. Получение этого логарифма в любое более позднее время было бы для нее бесполезно, так как в противном случае она не сможет подготовиться к ответу. Более того, если указанное криптографическое предположение является вполне обоснованным, то Алиса все еще имеет (очень небольшой) шанс попытаться отгадать его наудачу, но она должна набраться дерзости, чтобы предложить провести весь протокол в надежде, что ей и здесь повезет. С блобами, основанными на дискретном логарифме, у Боба нет вообще никакой возможности мошенничать, даже несмотря на везение и вычислительные ресурсы. Наконец, в рассматриваемой ситуации ретроактивное мошенничество является бессмысленным, как для Алисы, так и для Боба.
Если используются блобы, которые являются безусловно надежными для Алисы, то дополнительная защита для Боба достигается посредством обращения к Алисе повторять весь протокол всякий раз с другими типами блобов. Тогда, если бы Алиса захотела смошенничать, то это вынудило бы ее быть способной опровергнуть сразу несколько различных криптографических предположений. Например, используя в данной ситуации реализацию блобов из [79], она должна была бы знать эффективно работающие в реальном времени алгоритмы не только факторизации, но и вычисления дискретных логарифмов. Любопытно, что при использовании блобов, которые являются безусловно надежными для Боба, результат получается противоположным повто-
112 Применения
Глава 6
рение протокола с разными типами блобов приводит к тому, что Бобу становится легче мошенничать, так как он может сделать это, опровергнув (возможно автономно, то есть не в реальном времени) любое (одно) из упомянутых выше криптографических предположений. Тем не менее, можно обеспечить большую надежность, если скомбинировать различными способами несколько типов безусловно надежных для Боба блобов: каждый раз, когда Алиса хочет принять в качестве обязательства некоторый бит Ь, она для каждого типа блобов случайным образом задается одним из них, а Ь при этом получается как сумма по модулю 2 соответствующих битов указанных блобов. Естественно, что использование подобной стратегии с блобами, которые являются безусловно надежными для Алисы, приводит только к тому, что в этом случае ей становится легче мошенничать.
Итак, кому же все-таки предпочтительнее доверять, Алисе или Бобу? Ответа на этот вопрос мы не знаем, но, разумеется, как замечательно иметь выбор! Наконец, рассмотрим следующую провокационную ситуацию. Предположим, что Алиса утверждает, будто ей известно доказательство теоремы Т, и что она, для того чтобы убедить в этом скептически настроенного Боба, использует блобы, основанные на дискретном логарифме. Если Алиса правдива, то в конце протокола, безотносительно каких бы то ни было криптографических предположений, Боб убедится в том, что Алиса либо на самом деле знает доказательство теоремы Т, либо обладает новейшими результатами по вычислению дискретных логарифмов! При этом, в частности, если Алиса утверждает: «Я знаю эффективный алгоритм вычисления дискретных логарифмов», то не потребуются никакие криптографические предположения вообще.
§ 4. Защита конфиденциальности
(Написан Дэвидом Чаумом; печатается с его любезного разрешения)
В самое ближайшее время, с помощью почти повсеместного доступа к глобальным компьютерным сетям, вы будете в состоянии оплатить покупку, заказать фильм, который хотели бы посмотреть у себя дома, сделать изменения в своем страховом полисе,
Защита конфиденциальности 113
