1基本的安全協(xié)議1基本的安全協(xié)議2秘密分割設(shè)想你已發(fā)明了一種新的調(diào)味料，你只能告訴最信賴的雇員各種成分準(zhǔn)確的調(diào)合，但如果他們中的一個(gè)背叛到對(duì)手方時(shí)怎么辦呢？這種情況就要求秘密分割。（1）Trent產(chǎn)生一隨機(jī)比特串R。（2）Trent用R異或M得到S：M⊕R=S（3）Trent把R給Alice，將S給Bob。（4）重構(gòu)消息：Alice和Bob將他們的消息異或就可得到此消息R⊕S=M.如何在多個(gè)人中分割一消息？秘密分割的缺點(diǎn)是什么?2秘密分割設(shè)想你已發(fā)明了一種新的調(diào)味料，你只能告訴最信賴的33

秘密共享是一種將秘密分割存儲(chǔ)的密碼技術(shù)，目的是阻止秘密過于集中，以達(dá)到分散風(fēng)險(xiǎn)和容忍入侵的目的，是信息安全和數(shù)據(jù)保密中的重要手段。背景

重要的秘密不能都由一個(gè)人管理，勢(shì)必造成權(quán)力過于集中比起相信一個(gè)人更容易相信多數(shù)人機(jī)密性與強(qiáng)健性秘密共享

把一個(gè)秘密消息分成n塊，分割給m個(gè)參與者每個(gè)參與者只擁有其中的一塊

只有所有消息塊組合在一起才能恢復(fù)秘密

每一塊對(duì)其擁有者來說是沒用的.秘密共享33秘密共享秘密共享4s1s2s3sn1…shares…23n-1nsn-1…parties…12…KeyHoles…t-1t秘密共享4s1s2s3sn1…shares…23n-1nsn-15秘密共享

有缺陷的秘密共享方案簡(jiǎn)單秘密共享方案(秘密分割)

秘密s=b1

b2…bn-1bn

1)選擇隨機(jī)數(shù)b1,….,bn-1

2)計(jì)算

bn=b1

b2…bn-1spasswordpasswordFlawedN個(gè)消息塊組合在一起才能恢復(fù)秘密

s

(不健全)5秘密共享有缺陷的秘密共享方案passwordpasswo6門限秘密共享

方案

假設(shè)

Coca-Cola公司的董事會(huì)想保護(hù)可樂的配方.該公司總裁應(yīng)該能夠在需要時(shí)拿到配方，但在緊急的情況下，12位董事會(huì)成員中的任意3位就可以揭開配方。

這可以通過一個(gè)秘密共享方案實(shí)現(xiàn)t=3、

n=15,其中3股給總統(tǒng)，1股給其他每個(gè)董事會(huì)成員

安全問題機(jī)密性:抵抗任何不當(dāng)行為強(qiáng)健性：對(duì)任何可能出現(xiàn)的錯(cuò)誤的可靠性

6門限秘密共享方案7(t,n)

秘密共享(t<n)秘密K被拆分為n個(gè)份額的共享秘密利用任意t（2≤t≤n）個(gè)或更多個(gè)共享份額就可以恢復(fù)秘密K任何m–1或更少的共享份額是不能得到關(guān)于秘密SK的任何有用信息強(qiáng)健性：暴露一個(gè)份額或多到m–1個(gè)份額都不會(huì)危及密鑰，且少于m–1個(gè)用戶不可能共謀得到密鑰，同時(shí)若一個(gè)份額被丟失或損壞，還可恢復(fù)密鑰

Shamir秘密共享,Blakley

秘密共享根據(jù)t和n的選擇，權(quán)衡安全性和可靠性。高

t，提供高安全性，低可靠性低t，提供低安全性，高可靠性門限秘密共享7(t,n)秘密共享(t<n)門限秘密共享8Shamir秘密共享

(t,n)秘密共享秘密信息

K

把一個(gè)信息（秘密地秘方，發(fā)射代碼等）分成n部分(P1,…,Pn)，每部分叫做它的“影子”或共享使用

t-1次任意系數(shù)的隨機(jī)多項(xiàng)式Step1.構(gòu)造多項(xiàng)式：交易商選擇了一個(gè)共享秘密,K

(<p:隨機(jī)素?cái)?shù))為常數(shù)項(xiàng)，

F(x)=K+a1x+a2x2+…+ak-1xt-1modp為t-1

次任意系數(shù)的隨機(jī)多項(xiàng)式。Step2.秘密分割：分配

F(i)(i=1,…,n)

安全共享

Pi。Step3.秘密恢復(fù)：當(dāng)

t

共享

=(K1,K2,…,Kt)其中t是給定的,使用拉格朗日差值多項(xiàng)式方案恢復(fù)K。

8Shamir秘密共享(t,n)秘密共享9例如：(3,5)秘密共享

K=11,p=17構(gòu)造

2次隨機(jī)多項(xiàng)式

F(x)=K+a1x+a2x2modpa1=8,a2=7F(x)=11+8x+7x2mod17秘密分割

K1=F(1)=712+81

+119mod17K2=F(2)=722+82

+114mod17K3=F(3)=732+83

+1113mod17K4=F(4)=742+84

+112mod17K5=F(5)=752+85

+115mod17（K1,K2,K3,K4,K5

）=(P1,…,P5)Shamir秘密共享9例如：Shamir秘密共享10

解方程恢復(fù)秘密：

由

K2,K3,K4,我們可以得到

K=11

a

22+b2

+K

4mod17 a

32+b3

+K

13mod17 a

42+b4

+K

2mod17

解

3個(gè)變量的多項(xiàng)式方程

獲得

K.利用拉格朗日插值

For=(K1,K2,K3)Shamir秘密共享10解方程恢復(fù)秘密：For=(K1,K2,K11可驗(yàn)證的秘密共享

如何知道你共享的秘密是正確的

?Feldman的可驗(yàn)證秘密共享

(VSS)承諾系數(shù)驗(yàn)證其共享份額的正確性

f(i)11可驗(yàn)證的秘密共享如何知道你共享的秘密是正確的?承諾系12在同一平面的兩平行線相交于同一點(diǎn)

.不在同一平面三非平行線在空間相交于同一點(diǎn)

.更一般地，任何n維超平面相交于一個(gè)特定的點(diǎn)

秘密可能被編碼作為任何一個(gè)坐標(biāo)交點(diǎn)。

Blakley秘密共享12在同一平面的兩平行線相交于同一點(diǎn).Blakley秘密共13門限密碼閾值加密方案

一個(gè)消息是使用公鑰加密為了解密密文，需要超過閾值的共享份額合作來解密

門限簽名方案

為了簽名，需要超過閾值的共享份額合作來簽名

.簽字可以使用公鑰驗(yàn)證公布公鑰，但相應(yīng)的私鑰在多方共享

.13門限密碼閾值加密方案公布公鑰，但相應(yīng)的私鑰在多方共享14時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。版權(quán)或?qū)＠麪?zhēng)端即是誰有產(chǎn)生爭(zhēng)議的工作的最早的副本，誰就將贏得官司。對(duì)于紙上的文件，公證人可以對(duì)文件簽名，律師可以保護(hù)副本。如果產(chǎn)生了爭(zhēng)端，公證人或律師可以證明某封信產(chǎn)生于某個(gè)時(shí)間。在數(shù)字世界中，事情要復(fù)雜得多。沒有辦法檢查竄改簽名的數(shù)字文件。他們可以無止境地復(fù)制和修改而無人發(fā)現(xiàn)。14時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存15時(shí)間戳服務(wù)仲裁解決方法Alice將文件的副本傳送給TrentTrent將他收到文件的日期和時(shí)間記錄下來，并妥善保存文件的副本存在問題沒有保密性數(shù)據(jù)庫本身將是巨大的存在潛在錯(cuò)誤。傳送錯(cuò)誤或Trent的中央計(jì)算機(jī)中某些地方的電磁炸彈引爆可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣誠(chéng)實(shí)15時(shí)間戳服務(wù)仲裁解決方法16時(shí)間戳服務(wù)改進(jìn)的仲裁解決方法Alice產(chǎn)生文件的單向Hash值。Alice將Hash值傳送給Trent。Trent將接收到Hash值的日期和時(shí)間附在Hash值后，并對(duì)結(jié)果進(jìn)行數(shù)字簽名。Trent將簽名的散列和時(shí)間標(biāo)記送回給Alice。存在問題可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣誠(chéng)實(shí)16時(shí)間戳服務(wù)改進(jìn)的仲裁解決方法17時(shí)間戳服務(wù)鏈接協(xié)議:將Alice的時(shí)間標(biāo)記同以前由Trent產(chǎn)生的時(shí)間標(biāo)記鏈接起來。由于Trent預(yù)先不知道他所接收的不同時(shí)間標(biāo)記的順序，Alice的時(shí)間標(biāo)記一定發(fā)生在前一個(gè)時(shí)間標(biāo)記之后。并且由于后面來的請(qǐng)求是與Alice的時(shí)間標(biāo)記鏈接，那么她必須出現(xiàn)在前面。Alice的請(qǐng)求正好夾在兩個(gè)時(shí)間之間。如果有人對(duì)Alice的時(shí)間標(biāo)記提出疑問，她只需要和她的前后文件的發(fā)起者In-1和In+1接觸就行了17時(shí)間戳服務(wù)鏈接協(xié)議:將Alice的時(shí)間標(biāo)記同以前由Tre18時(shí)間戳服務(wù)分布式協(xié)議:人死后，時(shí)間標(biāo)記就會(huì)丟失。在時(shí)間標(biāo)記和質(zhì)詢之間很多事情都可能發(fā)生，以至Alice不可能得到In-1的時(shí)間標(biāo)記的副本，這個(gè)問題可以通過把前面10個(gè)人的時(shí)間標(biāo)記嵌入Alice的時(shí)間標(biāo)記中得到緩解，并且將后面10個(gè)人的標(biāo)識(shí)都發(fā)給Alice。這樣Alice就會(huì)有更大的機(jī)會(huì)找到那些仍有他們的時(shí)間標(biāo)記的人。18時(shí)間戳服務(wù)分布式協(xié)議:人死后，時(shí)間標(biāo)記就會(huì)丟失。在時(shí)間標(biāo)閾下信道閾下信道是指在基于公鑰密碼技術(shù)的數(shù)字簽名、認(rèn)證等應(yīng)用密碼體制的輸出密碼數(shù)據(jù)中建立起來的一種隱蔽信道，除指定的接收者外，任何其他人均不知道密碼數(shù)據(jù)中是否有閾下消息存在。19閾下信道閾下信道是指在基于公鑰密碼技術(shù)的數(shù)字簽名、認(rèn)證等應(yīng)用20閾下信道假設(shè)Alice和Bob被捕入獄。他將去男牢房，而她則進(jìn)女牢房?？词豔alter愿意讓Alice和Bob交換消息，但他不允許他們加密。Walter認(rèn)為他們可能會(huì)商討一個(gè)逃跑計(jì)劃，因此，他想能夠閱讀他們說的每個(gè)細(xì)節(jié)。Alice和Bob建立一個(gè)閾下信道，即完全在Walter視野內(nèi)的建立的一個(gè)秘密通信信道。通過交換完全無害的簽名的消息，他們可以來回傳送秘密信息，并騙過Walter，即使Walter正在監(jiān)視所有的通信。20閾下信道假設(shè)Alice和Bob被捕入獄。他將去男牢房，而21閾下信道簡(jiǎn)易的閾下信道（缺點(diǎn)是無密鑰）可以是句子中單詞的數(shù)目。句子中奇數(shù)個(gè)單詞對(duì)應(yīng)“1”，而偶數(shù)個(gè)單詞對(duì)應(yīng)“0”?？梢允且环嫛Ｈ缫豢锰O果樹，蘋果的個(gè)數(shù)代表一定的約定GustavusSimmons發(fā)明了傳統(tǒng)數(shù)字簽名算法中閾下信道的概念。Walter看到來回傳遞的簽名的無害消息，但他完全看不到通過閾下信道傳遞的信息。21閾下信道簡(jiǎn)易的閾下信道（缺點(diǎn)是無密鑰）22使用閾下信道的基本過程（1）Alice產(chǎn)生一個(gè)無害消息，最好隨機(jī)；（2）用與Bob共享的秘密密鑰，Alice對(duì)這個(gè)無害信息這樣簽名，她在簽名中隱藏她的閾下信息；（3）Alice通過Walter發(fā)送簽名消息給Bob；（4）Walter讀這份無害的消息并檢查簽名，沒發(fā)現(xiàn)什么問題，他將這份簽了名的消息傳遞給Bob；（5）Bob檢查這份無害消息的簽名，確認(rèn)消息來自于Alice；（6）Bob忽略無害的消息，而用他與Alice共享的秘密密鑰，提取閾下消息。22使用閾下信道的基本過程（1）Alice產(chǎn)生一個(gè)無害消息，23閾下信道的用途閾下信道的最顯見的應(yīng)用是在間諜網(wǎng)中。用一個(gè)閾下信道，Alice可以在受到威脅時(shí)安全地對(duì)文件簽名。她可以在簽名文件時(shí)嵌入閾下消息，說“我被脅迫”。別的應(yīng)用則更為微妙，公司可以簽名文件，嵌入閾下信息，允許它們?cè)谖臋n整個(gè)文檔有效期內(nèi)被跟蹤。政府可以“標(biāo)記”數(shù)字貨幣。惡意的簽名程序可能泄露其簽名中的秘密信息。其可能性是無窮的。23閾下信道的用途閾下信道的最顯見的應(yīng)用是在間諜網(wǎng)中。24EIGamal簽名方案的閾下信道公鑰：p:素?cái)?shù)，

g<p（p,g可由一組用戶共享）

y=gx(modp)私鑰：x<p簽名：k:隨機(jī)選取，與p-1互素，a（簽名）=gkmodp，b（簽名）滿足

M=(xa+kb)mod(p-1)(即有：b=(M-xa)k-1mod(p-1))驗(yàn)證：如果yaab(modp)=gM(modp)，則簽名有效。24EIGamal簽名方案的閾下信道公鑰：p:素?cái)?shù)，g<p25控制單向函數(shù)的輸出比特搜索選擇適當(dāng)?shù)膋，使得a=gkmodp中的某些位為閾下信息。EIGamal簽名方案的閾下信道25控制單向函數(shù)的輸出比特EIGamal簽名方案的閾下信道26RSA數(shù)字簽名的閾下信道簽名者取兩個(gè)隨機(jī)大素?cái)?shù)p和q（保密），計(jì)算公開的模數(shù)r=pq(公開)，計(jì)算秘密的歐拉函數(shù)(r)=（p-1）(q-1)（保密）。隨機(jī)選取整數(shù)e，滿足gcd(e,(r))=1(公開e，驗(yàn)證密鑰)計(jì)算d，滿足de≡1(mod(r))(簽名密鑰)簽名：y=H(x)d(modr),把x||y發(fā)送給驗(yàn)證者驗(yàn)證：檢查下式是否成立yd=H(x)(modr).選擇x的不同表達(dá)方式，使得H(x)中的某些位為閾下信息26RSA數(shù)字簽名的閾下信道簽名者取兩個(gè)隨機(jī)大素?cái)?shù)p和q（27RSA數(shù)字簽名的閾下信道27RSA數(shù)字簽名的閾下信道比特承諾比特承諾(BitCommitment，BC)是密碼學(xué)中的重要基礎(chǔ)協(xié)議，其概念最早由1995年圖靈獎(jiǎng)得主Blum提出。可用于構(gòu)建零知識(shí)證明、可驗(yàn)證秘密分享、硬幣投擲等協(xié)議，同時(shí)和茫然傳送一起構(gòu)成安全雙方計(jì)算的基礎(chǔ)，是信息安全領(lǐng)域研究的熱點(diǎn)。28比特承諾比特承諾(BitCommitment，BC)是密碼29比特承諾Alice，這位令人驚異的魔術(shù)天才，正表演關(guān)于人類意念的神秘技巧。Alice將在Bob選牌之前猜中Bob將選的牌！Alice在一張紙上寫出她的預(yù)測(cè)。Alice很神秘地將那張紙片裝入信封中并封上。Alice將封好的信封隨機(jī)地遞給一觀眾?！叭∫粡埮?，Bob，任選一張”。他看了看牌而后將之出示給Alice和觀眾。是方塊7?，F(xiàn)在Alice從觀眾那里取回信封，并撕開它。在Bob選牌之先寫的預(yù)測(cè)，也是：方塊7！全場(chǎng)歡呼！

29比特承諾Alice，這位令人驚異的魔術(shù)天才，正表演關(guān)于30比特承諾這個(gè)魔術(shù)的要點(diǎn)在于，Alice在戲法的最后交換了信封。然而，密碼協(xié)議能夠提供防止這種花招的方法。承諾方案:Alice想對(duì)Bob承諾一個(gè)預(yù)測(cè)（即1bit或bit序列），但直到某個(gè)時(shí)間以后才揭示她的預(yù)測(cè)。而另一方面，Bob想確信在Alice承諾了她的預(yù)測(cè)后，她沒有改變她的想法。

30比特承諾這個(gè)魔術(shù)的要點(diǎn)在于，Alice在戲法的最后交換31基本思想 承諾者Alice向接收者Bob承諾一個(gè)消息，承諾過程要求，Alice向Bob承諾時(shí)，Bob不可能獲得關(guān)于被承諾消息的任何信息；經(jīng)過一段時(shí)間后，Alice能夠向Bob證實(shí)她所承諾的消息，但是Alice無法欺騙Bob。

.

協(xié)議Alice把消息m放在一個(gè)箱子里并鎖?。ㄖ挥蠥lice有鑰匙可以打開箱子）送給Bob；當(dāng)Alice決定向Bob證實(shí)消息時(shí)，Alice會(huì)把消息m及鑰匙給Bob；Bob能夠打開箱子并驗(yàn)證箱子里的消息與Alice出示的消息相同，并且Bob確信箱子里的消息在他的保管期間沒有被篡改。

比特承諾31基本思想比特承諾32比特承諾方案具有兩個(gè)重要性質(zhì)隱蔽性:即接收者不能通過接收的箱子來確定承諾值m約束性:發(fā)送者不能改變箱子中的承諾值m

構(gòu)造比特承諾使用單向函數(shù):哈希函數(shù),公鑰加密比特承諾32比特承諾方案具有兩個(gè)重要性質(zhì)比特承諾33比特承諾Alice承諾b（使用對(duì)稱密碼算法）（1）Bob產(chǎn)生一個(gè)隨機(jī)比特串R，并把它發(fā)送給Alice。（2）Alice生成一個(gè)由她想承諾的比特b組成的消息（b實(shí)際上可能是幾個(gè)比特），以及Bob的隨機(jī)串。她用某個(gè)隨機(jī)密鑰K對(duì)它加密，并將結(jié)果EK（R，b）送回給Bob。Alice揭示b當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice發(fā)送密鑰給Bob；（2）Bob解密消息以揭示比特。他檢測(cè)他的隨機(jī)串以證實(shí)比特的有效性。33比特承諾Alice承諾b（使用對(duì)稱密碼算法）34比特承諾Alice承諾b（使用單向函數(shù)的比特承諾）（1）Alice產(chǎn)生兩個(gè)隨機(jī)比特串，R1和R2。（2）Alice產(chǎn)生消息，該消息由她的隨機(jī)串和她希望承諾的比特組成。（R1，R2，b）。（3）Alice計(jì)算消息的單向函數(shù)值，將結(jié)果以及其中一個(gè)隨機(jī)串發(fā)送給Bob。H（R1，R2，b），R1。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice將原消息發(fā)給Bob。（R1，R2，b）；（2）Bob計(jì)算消息的單向函數(shù)值，并將該值及R1與原先第（3）步收到的值及隨機(jī)串比較。如匹配，則比特有效。34比特承諾Alice承諾b（使用單向函數(shù)的比特承諾）35比特承諾Alice承諾（使用偽隨機(jī)序列發(fā)生器的比特承諾）（1）Bob產(chǎn)生隨機(jī)比特串RB，并送給Alice。（2）Alice為偽隨機(jī)比特發(fā)生器生成一個(gè)隨機(jī)種子。然后，對(duì)Bob隨機(jī)比特串中的每一比特，她回送Bob下面兩個(gè)中的一個(gè)：(a)如果Bob比特為0，發(fā)生器的輸出；(b)如果Bob的比特為1，發(fā)生器輸出與她的承諾比特的異或。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice將隨機(jī)種子送給Bob；（2）Bob確認(rèn)Alice的行動(dòng)是合理的。35比特承諾Alice承諾（使用偽隨機(jī)序列發(fā)生器的比特承諾36拋硬幣游戲

假設(shè)

Alice和Bob要離婚，討論誰得到什么...并且倆人誰也不想見誰...在誰擁有車這個(gè)問題上有爭(zhēng)議。最后他們決定拋硬幣…

問題:

如果他們相互不信任，又如何能在電話里拋硬幣決定？

Head,AliceTail,Bob36拋硬幣游戲假設(shè)Head,AliceTail,37公平的硬幣拋擲首先，Bob確定一個(gè)比特，將它寫在紙上，并裝入信封中。Alice公布她選的比特。Alice和Bob從信封中取出Bob的比特并計(jì)算隨機(jī)比特。只要至少一方誠(chéng)實(shí)地執(zhí)行協(xié)議，這個(gè)比特的確是真正隨機(jī)的。應(yīng)用：擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨機(jī)會(huì)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果。37公平的硬幣拋擲首先，Bob確定一個(gè)比特，將它寫在紙上，并38公平的硬幣拋擲利用比特承諾協(xié)議（1）Alice利用比特承諾方案，對(duì)一個(gè)隨機(jī)比特承諾。（2）Bob試圖去猜測(cè)這個(gè)比特。（3）Alice出示這個(gè)比特給Bob，如果Bob正確地猜出這個(gè)比特，他就贏得了這次拋幣。38公平的硬幣拋擲利用比特承諾協(xié)議39公平的硬幣拋擲采用單向函數(shù)的拋幣協(xié)議（1）Alice選擇一個(gè)隨機(jī)數(shù)x，她計(jì)算y=f（x），這里f（x）是單向函數(shù)；（2）Alice將y送給Bob；（3）Bob猜測(cè)x是偶數(shù)或奇數(shù)，并將猜測(cè)結(jié)果發(fā)給Alice；（4）如果Bob的猜測(cè)正確，拋幣結(jié)果為正面;如果Bob的猜測(cè)錯(cuò)誤，則拋幣的結(jié)果為反面。Alice公布此次拋幣的結(jié)果，并將x發(fā)送給Ｂob；（5）Bob確信y=f（x）。39公平的硬幣拋擲采用單向函數(shù)的拋幣協(xié)議40公平的硬幣拋擲公開密鑰密碼拋幣協(xié)議要求加密算法滿足交換律(如RSA)。(1)Alice和Bob都產(chǎn)生一個(gè)公開/私鑰密鑰對(duì)。(2)Alice產(chǎn)生兩個(gè)消息，其一指示正面，另一個(gè)指示反面。這些消息中包含有某個(gè)唯一的隨機(jī)串，以便以后能夠驗(yàn)證其在協(xié)議中的真實(shí)性。Alice用她的公開密鑰將兩個(gè)消息加密，并以隨機(jī)的順序把他們發(fā)給Bob(3)Bob隨機(jī)地選擇一個(gè)。他用他的公開密鑰加密并回送給Alice(4)Alice用她的私鑰解密并回送給Bob，即(5)Bob用他的私鑰解密消息，得到拋幣結(jié)果。他將解密后的消息送給Alice。(6)Alice讀拋幣結(jié)果，并驗(yàn)證隨機(jī)串的正確性。(7)Alice和Bob出示他們的密鑰對(duì)以便雙方能驗(yàn)證對(duì)方?jīng)]有欺詐40公平的硬幣拋擲公開密鑰密碼拋幣協(xié)議41公平的硬幣拋擲擲幣入井協(xié)議注意到在所有這些協(xié)議中，Alice和Bob不能同時(shí)知道擲幣的結(jié)果。每個(gè)協(xié)議有一個(gè)點(diǎn)，在這個(gè)點(diǎn)上其中一方知道擲幣結(jié)果，但不能改變它。然而，這一方能推遲向另一方泄露結(jié)果。這被稱作擲幣入井協(xié)議。設(shè)想一口井，Alice在井的旁邊，而Bob遠(yuǎn)離這口井。Bob將幣扔進(jìn)井里去，幣停留在井中，現(xiàn)在Alice能夠看到井中的結(jié)果，但她不能到井底去改變它。Bob不能看到結(jié)果，直到Alice讓他走到足夠近時(shí)，才能看到結(jié)果。這個(gè)協(xié)議的實(shí)際應(yīng)用是會(huì)話密鑰生成。擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨機(jī)會(huì)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果41公平的硬幣拋擲擲幣入井協(xié)議42智力撲克Alice與Bob想通過網(wǎng)絡(luò)玩牌Alice與Bob互不信任他們?nèi)绾喂降匕l(fā)牌?42智力撲克Alice與Bob想通過網(wǎng)絡(luò)玩牌43智力撲克(1)Alice生成52個(gè)消息M1，M2，，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開密鑰加密，然后回送給Alice。(3)Alice解密消息并回送給Bob。(4)Bob解密以確定他的一手牌。然后，Bob隨機(jī)地選擇第(1)步剩下的47個(gè)消息中的另外5個(gè)消息，并發(fā)給Alice。(5)Alice解密它們，變成她的一手牌。在游戲結(jié)束時(shí)，Alice和Bob雙方出示他們的牌和密鑰對(duì)使得任意一方確信另一方?jīng)]有作弊。已經(jīng)證明，如果使用RSA算法，那么這些撲克協(xié)議會(huì)泄漏少量的信息(可標(biāo)記牌)43智力撲克(1)Alice生成52個(gè)消息M1，M2，44智力撲克AB5255544智力撲克AB5255545三方智力撲克(1)Alice生成52個(gè)消息M1，M2，，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開密鑰加密，然后回送給Alice,Bob將余下的47張牌EA(Mn)送給Carol。(3)Carol隨機(jī)選取5張牌，用她的公開密鑰加密，然后回送給Alice(4)Alice解密消息并回送給Bob和Carol。(5)Bob和Carol解密以確定他的一手牌。然后，Carol隨機(jī)地選擇剩下的42個(gè)消息中的另外5個(gè)消息，并發(fā)給Alice。(6)Alice解密它們，變成她的一手牌。在游戲結(jié)束時(shí)，Alice,Bob和Carol雙方出示他們的牌和密鑰對(duì)使得任意一方確信另一方?jīng)]有作弊。45三方智力撲克(1)Alice生成52個(gè)消息M1，M2，46三方智力撲克ABC52547555546三方智力撲克ABC525475555不經(jīng)意傳輸協(xié)議不經(jīng)意傳輸協(xié)議，是一種可保護(hù)隱私的雙方通信協(xié)議，能使通信雙方以一種選擇模糊化的方式傳送消息。密碼學(xué)的一個(gè)基本協(xié)議，他使得服務(wù)的接收方以不經(jīng)意的方式得到服務(wù)發(fā)送方輸入的某些消息，這樣就可以保護(hù)接受者的隱私不被發(fā)送者所知道。應(yīng)用：安全多方計(jì)算，電話投幣協(xié)議，電子合同的錢數(shù)，秘密信息檢索等47不經(jīng)意傳輸協(xié)議不經(jīng)意傳輸協(xié)議，是一種可保護(hù)隱私的雙方通信協(xié)議481-out-2不經(jīng)意傳輸Rabin的OT協(xié)議是一個(gè)雙方協(xié)議，發(fā)送方以1/2的概率傳輸一個(gè)比特的秘密s給B。A選擇Blum整數(shù)n=pq，并隨機(jī)的選擇tZn*，將(n，(-1)st2)發(fā)送給BB選擇xZn*，計(jì)算a=x2(modn)，并將a發(fā)送給AA求出a的四個(gè)平方根，并隨機(jī)的選擇一個(gè)記為b，發(fā)送給BB收到b后，檢查b=x或-x(modn)是否成立。若成立，B什么也得不到；否則，B利用可以分解Blum整數(shù)n，并計(jì)算s481-out-2不經(jīng)意傳輸Rabin的OT協(xié)議是一個(gè)雙方協(xié)49不經(jīng)意傳輸Alice將發(fā)送給Bob兩份消息中的一份。Bob將收到其中一條消息，并且Alice不知道是哪一份。（1）Alice產(chǎn)生兩個(gè)公開密鑰/私鑰密鑰對(duì)。她把兩個(gè)公開密鑰發(fā)送給Bob。（2）Bob選擇一個(gè)對(duì)稱算法（例如DES）密鑰。他選擇Alice的一個(gè)公開密鑰并用它加密他的DES密鑰。他把這個(gè)加了密的密鑰發(fā)送給Alice，且不告訴她他用的是她的哪一個(gè)公開密鑰加密的DES密鑰。

49不經(jīng)意傳輸Alice將發(fā)送給Bob兩份消息中的一份。Bo50不經(jīng)意傳輸（3）Alice解密Bob的密鑰兩次，每次用一個(gè)她的私鑰來解密Bob的密鑰。在一種情況下，她使用了正確的密鑰并成功地解密Bob的DES密鑰。在另一種情況下，她使用了錯(cuò)誤的密鑰，只是產(chǎn)生了一堆毫無意義，而看上去又象一個(gè)隨機(jī)DES密鑰的比特。由于她不知道正確明文，故她不知道哪個(gè)是正確的。50不經(jīng)意傳輸51不經(jīng)意傳輸（4）Alice加密她的兩份消息，每一份用一個(gè)不同的在上一步中產(chǎn)生的DES密鑰（一個(gè)真的和一個(gè)毫無意義的），并把兩份消息都發(fā)送給Bob。（5）Bob收到一份用正確DES密鑰加密的消息及一份用無意義DES密鑰加密的消息。當(dāng)Bob用他的DES密鑰解密每一份消息時(shí)，他能讀其中之一，另一份在他看起來是毫無意義的。51不經(jīng)意傳輸（4）Alice加密她的兩份消息，每一份用一個(gè)52不經(jīng)意傳輸Bob現(xiàn)在有了Alice兩份消息中的一份，而Alice不知道他能讀懂哪一份。很遺憾，如果協(xié)議到此為止，Alice有可能進(jìn)行欺騙。另一個(gè)步驟必不可少。(6)在協(xié)議完成，并且知道了兩種可能傳輸?shù)慕Y(jié)果后，Alice必須把她的私鑰給Bob，以便他能驗(yàn)證她沒有進(jìn)行欺騙。畢竟，她可以用第（4）步中的兩個(gè)密鑰加密同一消息。 當(dāng)然，這時(shí)Bob可以弄清楚第二份消息。52不經(jīng)意傳輸Bob現(xiàn)在有了Alice兩份消息中的一每一次的加油，每一次的努力都是為了下一次更好的自己。11月-2211月-22Saturday,November5,2022天生我材必有用，千金散盡還復(fù)來。02:27:1002:27:1002:2711/5/20222:27:10AM安全象只弓，不拉它就松，要想保安全，常把弓弦繃。11月-2202:27:1002:27Nov-2205-Nov-22得道多助失道寡助，掌控人心方位上。02:27:1002:27:1002:27Saturday,November5,2022安全在于心細(xì)，事故出在麻痹。11月-2211月-2202:27:1002:27:10November5,2022加強(qiáng)自身建設(shè)，增強(qiáng)個(gè)人的休養(yǎng)。2022年11月5日2:27上午11月-2211月-22擴(kuò)展市場(chǎng)，開發(fā)未來，實(shí)現(xiàn)現(xiàn)在。05十一月20222:27:10上午02:27:1011月-22做專業(yè)的企業(yè)，做專業(yè)的事情，讓自己專業(yè)起來。十一月222:27上午11月-2202:27November5,2022時(shí)間是人類發(fā)展的空間。2022/11/52:27:1002:27:1005November2022科學(xué)，你是國(guó)力的靈魂；同時(shí)又是社會(huì)發(fā)展的標(biāo)志。2:27:10上午2:27上午02:27:1011月-22每天都是美好的一天，新的一天開啟。11月-2211月-2202:2702:27:1002:27:10Nov-22人生不是自發(fā)的自我發(fā)展，而是一長(zhǎng)串機(jī)緣。事件和決定，這些機(jī)緣、事件和決定在它們實(shí)現(xiàn)的當(dāng)時(shí)是取決于我們的意志的。2022/11/52:27:10Saturday,November5,2022感情上的親密，發(fā)展友誼；錢財(cái)上的親密，破壞友誼。11月-222022/11/52:27:1011月-22謝謝大家！每一次的加油，每一次的努力都是為了下一次更好的自己。11月-54基本的安全協(xié)議1基本的安全協(xié)議55秘密分割設(shè)想你已發(fā)明了一種新的調(diào)味料，你只能告訴最信賴的雇員各種成分準(zhǔn)確的調(diào)合，但如果他們中的一個(gè)背叛到對(duì)手方時(shí)怎么辦呢？這種情況就要求秘密分割。（1）Trent產(chǎn)生一隨機(jī)比特串R。（2）Trent用R異或M得到S：M⊕R=S（3）Trent把R給Alice，將S給Bob。（4）重構(gòu)消息：Alice和Bob將他們的消息異或就可得到此消息R⊕S=M.如何在多個(gè)人中分割一消息？秘密分割的缺點(diǎn)是什么?2秘密分割設(shè)想你已發(fā)明了一種新的調(diào)味料，你只能告訴最信賴的5656

秘密共享是一種將秘密分割存儲(chǔ)的密碼技術(shù)，目的是阻止秘密過于集中，以達(dá)到分散風(fēng)險(xiǎn)和容忍入侵的目的，是信息安全和數(shù)據(jù)保密中的重要手段。背景

重要的秘密不能都由一個(gè)人管理，勢(shì)必造成權(quán)力過于集中比起相信一個(gè)人更容易相信多數(shù)人機(jī)密性與強(qiáng)健性秘密共享

把一個(gè)秘密消息分成n塊，分割給m個(gè)參與者每個(gè)參與者只擁有其中的一塊

只有所有消息塊組合在一起才能恢復(fù)秘密

每一塊對(duì)其擁有者來說是沒用的.秘密共享33秘密共享秘密共享57s1s2s3sn1…shares…23n-1nsn-1…parties…12…KeyHoles…t-1t秘密共享4s1s2s3sn1…shares…23n-1nsn-158秘密共享

有缺陷的秘密共享方案簡(jiǎn)單秘密共享方案(秘密分割)

秘密s=b1

b2…bn-1bn

1)選擇隨機(jī)數(shù)b1,….,bn-1

2)計(jì)算

bn=b1

b2…bn-1spasswordpasswordFlawedN個(gè)消息塊組合在一起才能恢復(fù)秘密

s

(不健全)5秘密共享有缺陷的秘密共享方案passwordpasswo59門限秘密共享

方案

假設(shè)

Coca-Cola公司的董事會(huì)想保護(hù)可樂的配方.該公司總裁應(yīng)該能夠在需要時(shí)拿到配方，但在緊急的情況下，12位董事會(huì)成員中的任意3位就可以揭開配方。

這可以通過一個(gè)秘密共享方案實(shí)現(xiàn)t=3、

n=15,其中3股給總統(tǒng)，1股給其他每個(gè)董事會(huì)成員

安全問題機(jī)密性:抵抗任何不當(dāng)行為強(qiáng)健性：對(duì)任何可能出現(xiàn)的錯(cuò)誤的可靠性

6門限秘密共享方案60(t,n)

秘密共享(t<n)秘密K被拆分為n個(gè)份額的共享秘密利用任意t（2≤t≤n）個(gè)或更多個(gè)共享份額就可以恢復(fù)秘密K任何m–1或更少的共享份額是不能得到關(guān)于秘密SK的任何有用信息強(qiáng)健性：暴露一個(gè)份額或多到m–1個(gè)份額都不會(huì)危及密鑰，且少于m–1個(gè)用戶不可能共謀得到密鑰，同時(shí)若一個(gè)份額被丟失或損壞，還可恢復(fù)密鑰

Shamir秘密共享,Blakley

秘密共享根據(jù)t和n的選擇，權(quán)衡安全性和可靠性。高

t，提供高安全性，低可靠性低t，提供低安全性，高可靠性門限秘密共享7(t,n)秘密共享(t<n)門限秘密共享61Shamir秘密共享

(t,n)秘密共享秘密信息

K

把一個(gè)信息（秘密地秘方，發(fā)射代碼等）分成n部分(P1,…,Pn)，每部分叫做它的“影子”或共享使用

t-1次任意系數(shù)的隨機(jī)多項(xiàng)式Step1.構(gòu)造多項(xiàng)式：交易商選擇了一個(gè)共享秘密,K

(<p:隨機(jī)素?cái)?shù))為常數(shù)項(xiàng)，

F(x)=K+a1x+a2x2+…+ak-1xt-1modp為t-1

次任意系數(shù)的隨機(jī)多項(xiàng)式。Step2.秘密分割：分配

F(i)(i=1,…,n)

安全共享

Pi。Step3.秘密恢復(fù)：當(dāng)

t

共享

=(K1,K2,…,Kt)其中t是給定的,使用拉格朗日差值多項(xiàng)式方案恢復(fù)K。

8Shamir秘密共享(t,n)秘密共享62例如：(3,5)秘密共享

K=11,p=17構(gòu)造

2次隨機(jī)多項(xiàng)式

F(x)=K+a1x+a2x2modpa1=8,a2=7F(x)=11+8x+7x2mod17秘密分割

K1=F(1)=712+81

+119mod17K2=F(2)=722+82

+114mod17K3=F(3)=732+83

+1113mod17K4=F(4)=742+84

+112mod17K5=F(5)=752+85

+115mod17（K1,K2,K3,K4,K5

）=(P1,…,P5)Shamir秘密共享9例如：Shamir秘密共享63

解方程恢復(fù)秘密：

由

K2,K3,K4,我們可以得到

K=11

a

22+b2

+K

4mod17 a

32+b3

+K

13mod17 a

42+b4

+K

2mod17

解

3個(gè)變量的多項(xiàng)式方程

獲得

K.利用拉格朗日插值

For=(K1,K2,K3)Shamir秘密共享10解方程恢復(fù)秘密：For=(K1,K2,K64可驗(yàn)證的秘密共享

如何知道你共享的秘密是正確的

?Feldman的可驗(yàn)證秘密共享

(VSS)承諾系數(shù)驗(yàn)證其共享份額的正確性

f(i)11可驗(yàn)證的秘密共享如何知道你共享的秘密是正確的?承諾系65在同一平面的兩平行線相交于同一點(diǎn)

.不在同一平面三非平行線在空間相交于同一點(diǎn)

.更一般地，任何n維超平面相交于一個(gè)特定的點(diǎn)

秘密可能被編碼作為任何一個(gè)坐標(biāo)交點(diǎn)。

Blakley秘密共享12在同一平面的兩平行線相交于同一點(diǎn).Blakley秘密共66門限密碼閾值加密方案

一個(gè)消息是使用公鑰加密為了解密密文，需要超過閾值的共享份額合作來解密

門限簽名方案

為了簽名，需要超過閾值的共享份額合作來簽名

.簽字可以使用公鑰驗(yàn)證公布公鑰，但相應(yīng)的私鑰在多方共享

.13門限密碼閾值加密方案公布公鑰，但相應(yīng)的私鑰在多方共享67時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。版權(quán)或?qū)＠麪?zhēng)端即是誰有產(chǎn)生爭(zhēng)議的工作的最早的副本，誰就將贏得官司。對(duì)于紙上的文件，公證人可以對(duì)文件簽名，律師可以保護(hù)副本。如果產(chǎn)生了爭(zhēng)端，公證人或律師可以證明某封信產(chǎn)生于某個(gè)時(shí)間。在數(shù)字世界中，事情要復(fù)雜得多。沒有辦法檢查竄改簽名的數(shù)字文件。他們可以無止境地復(fù)制和修改而無人發(fā)現(xiàn)。14時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存68時(shí)間戳服務(wù)仲裁解決方法Alice將文件的副本傳送給TrentTrent將他收到文件的日期和時(shí)間記錄下來，并妥善保存文件的副本存在問題沒有保密性數(shù)據(jù)庫本身將是巨大的存在潛在錯(cuò)誤。傳送錯(cuò)誤或Trent的中央計(jì)算機(jī)中某些地方的電磁炸彈引爆可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣誠(chéng)實(shí)15時(shí)間戳服務(wù)仲裁解決方法69時(shí)間戳服務(wù)改進(jìn)的仲裁解決方法Alice產(chǎn)生文件的單向Hash值。Alice將Hash值傳送給Trent。Trent將接收到Hash值的日期和時(shí)間附在Hash值后，并對(duì)結(jié)果進(jìn)行數(shù)字簽名。Trent將簽名的散列和時(shí)間標(biāo)記送回給Alice。存在問題可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣誠(chéng)實(shí)16時(shí)間戳服務(wù)改進(jìn)的仲裁解決方法70時(shí)間戳服務(wù)鏈接協(xié)議:將Alice的時(shí)間標(biāo)記同以前由Trent產(chǎn)生的時(shí)間標(biāo)記鏈接起來。由于Trent預(yù)先不知道他所接收的不同時(shí)間標(biāo)記的順序，Alice的時(shí)間標(biāo)記一定發(fā)生在前一個(gè)時(shí)間標(biāo)記之后。并且由于后面來的請(qǐng)求是與Alice的時(shí)間標(biāo)記鏈接，那么她必須出現(xiàn)在前面。Alice的請(qǐng)求正好夾在兩個(gè)時(shí)間之間。如果有人對(duì)Alice的時(shí)間標(biāo)記提出疑問，她只需要和她的前后文件的發(fā)起者In-1和In+1接觸就行了17時(shí)間戳服務(wù)鏈接協(xié)議:將Alice的時(shí)間標(biāo)記同以前由Tre71時(shí)間戳服務(wù)分布式協(xié)議:人死后，時(shí)間標(biāo)記就會(huì)丟失。在時(shí)間標(biāo)記和質(zhì)詢之間很多事情都可能發(fā)生，以至Alice不可能得到In-1的時(shí)間標(biāo)記的副本，這個(gè)問題可以通過把前面10個(gè)人的時(shí)間標(biāo)記嵌入Alice的時(shí)間標(biāo)記中得到緩解，并且將后面10個(gè)人的標(biāo)識(shí)都發(fā)給Alice。這樣Alice就會(huì)有更大的機(jī)會(huì)找到那些仍有他們的時(shí)間標(biāo)記的人。18時(shí)間戳服務(wù)分布式協(xié)議:人死后，時(shí)間標(biāo)記就會(huì)丟失。在時(shí)間標(biāo)閾下信道閾下信道是指在基于公鑰密碼技術(shù)的數(shù)字簽名、認(rèn)證等應(yīng)用密碼體制的輸出密碼數(shù)據(jù)中建立起來的一種隱蔽信道，除指定的接收者外，任何其他人均不知道密碼數(shù)據(jù)中是否有閾下消息存在。72閾下信道閾下信道是指在基于公鑰密碼技術(shù)的數(shù)字簽名、認(rèn)證等應(yīng)用73閾下信道假設(shè)Alice和Bob被捕入獄。他將去男牢房，而她則進(jìn)女牢房?？词豔alter愿意讓Alice和Bob交換消息，但他不允許他們加密。Walter認(rèn)為他們可能會(huì)商討一個(gè)逃跑計(jì)劃，因此，他想能夠閱讀他們說的每個(gè)細(xì)節(jié)。Alice和Bob建立一個(gè)閾下信道，即完全在Walter視野內(nèi)的建立的一個(gè)秘密通信信道。通過交換完全無害的簽名的消息，他們可以來回傳送秘密信息，并騙過Walter，即使Walter正在監(jiān)視所有的通信。20閾下信道假設(shè)Alice和Bob被捕入獄。他將去男牢房，而74閾下信道簡(jiǎn)易的閾下信道（缺點(diǎn)是無密鑰）可以是句子中單詞的數(shù)目。句子中奇數(shù)個(gè)單詞對(duì)應(yīng)“1”，而偶數(shù)個(gè)單詞對(duì)應(yīng)“0”?？梢允且环?。如一棵蘋果樹，蘋果的個(gè)數(shù)代表一定的約定GustavusSimmons發(fā)明了傳統(tǒng)數(shù)字簽名算法中閾下信道的概念。Walter看到來回傳遞的簽名的無害消息，但他完全看不到通過閾下信道傳遞的信息。21閾下信道簡(jiǎn)易的閾下信道（缺點(diǎn)是無密鑰）75使用閾下信道的基本過程（1）Alice產(chǎn)生一個(gè)無害消息，最好隨機(jī)；（2）用與Bob共享的秘密密鑰，Alice對(duì)這個(gè)無害信息這樣簽名，她在簽名中隱藏她的閾下信息；（3）Alice通過Walter發(fā)送簽名消息給Bob；（4）Walter讀這份無害的消息并檢查簽名，沒發(fā)現(xiàn)什么問題，他將這份簽了名的消息傳遞給Bob；（5）Bob檢查這份無害消息的簽名，確認(rèn)消息來自于Alice；（6）Bob忽略無害的消息，而用他與Alice共享的秘密密鑰，提取閾下消息。22使用閾下信道的基本過程（1）Alice產(chǎn)生一個(gè)無害消息，76閾下信道的用途閾下信道的最顯見的應(yīng)用是在間諜網(wǎng)中。用一個(gè)閾下信道，Alice可以在受到威脅時(shí)安全地對(duì)文件簽名。她可以在簽名文件時(shí)嵌入閾下消息，說“我被脅迫”。別的應(yīng)用則更為微妙，公司可以簽名文件，嵌入閾下信息，允許它們?cè)谖臋n整個(gè)文檔有效期內(nèi)被跟蹤。政府可以“標(biāo)記”數(shù)字貨幣。惡意的簽名程序可能泄露其簽名中的秘密信息。其可能性是無窮的。23閾下信道的用途閾下信道的最顯見的應(yīng)用是在間諜網(wǎng)中。77EIGamal簽名方案的閾下信道公鑰：p:素?cái)?shù)，

g<p（p,g可由一組用戶共享）

y=gx(modp)私鑰：x<p簽名：k:隨機(jī)選取，與p-1互素，a（簽名）=gkmodp，b（簽名）滿足

M=(xa+kb)mod(p-1)(即有：b=(M-xa)k-1mod(p-1))驗(yàn)證：如果yaab(modp)=gM(modp)，則簽名有效。24EIGamal簽名方案的閾下信道公鑰：p:素?cái)?shù)，g<p78控制單向函數(shù)的輸出比特搜索選擇適當(dāng)?shù)膋，使得a=gkmodp中的某些位為閾下信息。EIGamal簽名方案的閾下信道25控制單向函數(shù)的輸出比特EIGamal簽名方案的閾下信道79RSA數(shù)字簽名的閾下信道簽名者取兩個(gè)隨機(jī)大素?cái)?shù)p和q（保密），計(jì)算公開的模數(shù)r=pq(公開)，計(jì)算秘密的歐拉函數(shù)(r)=（p-1）(q-1)（保密）。隨機(jī)選取整數(shù)e，滿足gcd(e,(r))=1(公開e，驗(yàn)證密鑰)計(jì)算d，滿足de≡1(mod(r))(簽名密鑰)簽名：y=H(x)d(modr),把x||y發(fā)送給驗(yàn)證者驗(yàn)證：檢查下式是否成立yd=H(x)(modr).選擇x的不同表達(dá)方式，使得H(x)中的某些位為閾下信息26RSA數(shù)字簽名的閾下信道簽名者取兩個(gè)隨機(jī)大素?cái)?shù)p和q（80RSA數(shù)字簽名的閾下信道27RSA數(shù)字簽名的閾下信道比特承諾比特承諾(BitCommitment，BC)是密碼學(xué)中的重要基礎(chǔ)協(xié)議，其概念最早由1995年圖靈獎(jiǎng)得主Blum提出?？捎糜跇?gòu)建零知識(shí)證明、可驗(yàn)證秘密分享、硬幣投擲等協(xié)議，同時(shí)和茫然傳送一起構(gòu)成安全雙方計(jì)算的基礎(chǔ)，是信息安全領(lǐng)域研究的熱點(diǎn)。81比特承諾比特承諾(BitCommitment，BC)是密碼82比特承諾Alice，這位令人驚異的魔術(shù)天才，正表演關(guān)于人類意念的神秘技巧。Alice將在Bob選牌之前猜中Bob將選的牌！Alice在一張紙上寫出她的預(yù)測(cè)。Alice很神秘地將那張紙片裝入信封中并封上。Alice將封好的信封隨機(jī)地遞給一觀眾。“取一張牌，Bob，任選一張”。他看了看牌而后將之出示給Alice和觀眾。是方塊7?，F(xiàn)在Alice從觀眾那里取回信封，并撕開它。在Bob選牌之先寫的預(yù)測(cè)，也是：方塊7！全場(chǎng)歡呼！

29比特承諾Alice，這位令人驚異的魔術(shù)天才，正表演關(guān)于83比特承諾這個(gè)魔術(shù)的要點(diǎn)在于，Alice在戲法的最后交換了信封。然而，密碼協(xié)議能夠提供防止這種花招的方法。承諾方案:Alice想對(duì)Bob承諾一個(gè)預(yù)測(cè)（即1bit或bit序列），但直到某個(gè)時(shí)間以后才揭示她的預(yù)測(cè)。而另一方面，Bob想確信在Alice承諾了她的預(yù)測(cè)后，她沒有改變她的想法。

30比特承諾這個(gè)魔術(shù)的要點(diǎn)在于，Alice在戲法的最后交換84基本思想 承諾者Alice向接收者Bob承諾一個(gè)消息，承諾過程要求，Alice向Bob承諾時(shí)，Bob不可能獲得關(guān)于被承諾消息的任何信息；經(jīng)過一段時(shí)間后，Alice能夠向Bob證實(shí)她所承諾的消息，但是Alice無法欺騙Bob。

.

協(xié)議Alice把消息m放在一個(gè)箱子里并鎖?。ㄖ挥蠥lice有鑰匙可以打開箱子）送給Bob；當(dāng)Alice決定向Bob證實(shí)消息時(shí)，Alice會(huì)把消息m及鑰匙給Bob；Bob能夠打開箱子并驗(yàn)證箱子里的消息與Alice出示的消息相同，并且Bob確信箱子里的消息在他的保管期間沒有被篡改。

比特承諾31基本思想比特承諾85比特承諾方案具有兩個(gè)重要性質(zhì)隱蔽性:即接收者不能通過接收的箱子來確定承諾值m約束性:發(fā)送者不能改變箱子中的承諾值m

構(gòu)造比特承諾使用單向函數(shù):哈希函數(shù),公鑰加密比特承諾32比特承諾方案具有兩個(gè)重要性質(zhì)比特承諾86比特承諾Alice承諾b（使用對(duì)稱密碼算法）（1）Bob產(chǎn)生一個(gè)隨機(jī)比特串R，并把它發(fā)送給Alice。（2）Alice生成一個(gè)由她想承諾的比特b組成的消息（b實(shí)際上可能是幾個(gè)比特），以及Bob的隨機(jī)串。她用某個(gè)隨機(jī)密鑰K對(duì)它加密，并將結(jié)果EK（R，b）送回給Bob。Alice揭示b當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice發(fā)送密鑰給Bob；（2）Bob解密消息以揭示比特。他檢測(cè)他的隨機(jī)串以證實(shí)比特的有效性。33比特承諾Alice承諾b（使用對(duì)稱密碼算法）87比特承諾Alice承諾b（使用單向函數(shù)的比特承諾）（1）Alice產(chǎn)生兩個(gè)隨機(jī)比特串，R1和R2。（2）Alice產(chǎn)生消息，該消息由她的隨機(jī)串和她希望承諾的比特組成。（R1，R2，b）。（3）Alice計(jì)算消息的單向函數(shù)值，將結(jié)果以及其中一個(gè)隨機(jī)串發(fā)送給Bob。H（R1，R2，b），R1。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice將原消息發(fā)給Bob。（R1，R2，b）；（2）Bob計(jì)算消息的單向函數(shù)值，并將該值及R1與原先第（3）步收到的值及隨機(jī)串比較。如匹配，則比特有效。34比特承諾Alice承諾b（使用單向函數(shù)的比特承諾）88比特承諾Alice承諾（使用偽隨機(jī)序列發(fā)生器的比特承諾）（1）Bob產(chǎn)生隨機(jī)比特串RB，并送給Alice。（2）Alice為偽隨機(jī)比特發(fā)生器生成一個(gè)隨機(jī)種子。然后，對(duì)Bob隨機(jī)比特串中的每一比特，她回送Bob下面兩個(gè)中的一個(gè)：(a)如果Bob比特為0，發(fā)生器的輸出；(b)如果Bob的比特為1，發(fā)生器輸出與她的承諾比特的異或。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：（1）Alice將隨機(jī)種子送給Bob；（2）Bob確認(rèn)Alice的行動(dòng)是合理的。35比特承諾Alice承諾（使用偽隨機(jī)序列發(fā)生器的比特承諾89拋硬幣游戲

假設(shè)

Alice和Bob要離婚，討論誰得到什么...并且倆人誰也不想見誰...在誰擁有車這個(gè)問題上有爭(zhēng)議。最后他們決定拋硬幣…

問題:

如果他們相互不信任，又如何能在電話里拋硬幣決定？

Head,AliceTail,Bob36拋硬幣游戲假設(shè)Head,AliceTail,90公平的硬幣拋擲首先，Bob確定一個(gè)比特，將它寫在紙上，并裝入信封中。Alice公布她選的比特。Alice和Bob從信封中取出Bob的比特并計(jì)算隨機(jī)比特。只要至少一方誠(chéng)實(shí)地執(zhí)行協(xié)議，這個(gè)比特的確是真正隨機(jī)的。應(yīng)用：擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨機(jī)會(huì)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果。37公平的硬幣拋擲首先，Bob確定一個(gè)比特，將它寫在紙上，并91公平的硬幣拋擲利用比特承諾協(xié)議（1）Alice利用比特承諾方案，對(duì)一個(gè)隨機(jī)比特承諾。（2）Bob試圖去猜測(cè)這個(gè)比特。（3）Alice出示這個(gè)比特給Bob，如果Bob正確地猜出這個(gè)比特，他就贏得了這次拋幣。38公平的硬幣拋擲利用比特承諾協(xié)議92公平的硬幣拋擲采用單向函數(shù)的拋幣協(xié)議（1）Alice選擇一個(gè)隨機(jī)數(shù)x，她計(jì)算y=f（x），這里f（x）是單向函數(shù)；（2）Alice將y送給Bob；（3）Bob猜測(cè)x是偶數(shù)或奇數(shù)，并將猜測(cè)結(jié)果發(fā)給Alice；（4）如果Bob的猜測(cè)正確，拋幣結(jié)果為正面;如果Bob的猜測(cè)錯(cuò)誤，則拋幣的結(jié)果為反面。Alice公布此次拋幣的結(jié)果，并將x發(fā)送給Ｂob；（5）Bob確信y=f（x）。39公平的硬幣拋擲采用單向函數(shù)的拋幣協(xié)議93公平的硬幣拋擲公開密鑰密碼拋幣協(xié)議要求加密算法滿足交換律(如RSA)。(1)Alice和Bob都產(chǎn)生一個(gè)公開/私鑰密鑰對(duì)。(2)Alice產(chǎn)生兩個(gè)消息，其一指示正面，另一個(gè)指示反面。這些消息中包含有某個(gè)唯一的隨機(jī)串，以便以后能夠驗(yàn)證其在協(xié)議中的真實(shí)性。Alice用她的公開密鑰將兩個(gè)消息加密，并以隨機(jī)的順序把他們發(fā)給Bob(3)Bob隨機(jī)地選擇一個(gè)。他用他的公開密鑰加密并回送給Alice(4)Alice用她的私鑰解密并回送給Bob，即(5)Bob用他的私鑰解密消息，得到拋幣結(jié)果。他將解密后的消息送給Alice。(6)Alice讀拋幣結(jié)果，并驗(yàn)證隨機(jī)串的正確性。(7)Alice和Bob出示他們的密鑰對(duì)以便雙方能驗(yàn)證對(duì)方?jīng)]有欺詐40公平的硬幣拋擲公開密鑰密碼拋幣協(xié)議94公平的硬幣拋擲擲幣入井協(xié)議注意到在所有這些協(xié)議中，Alice和Bob不能同時(shí)知道擲幣的結(jié)果。每個(gè)協(xié)議有一個(gè)點(diǎn)，在這個(gè)點(diǎn)上其中一方知道擲幣結(jié)果，但不能改變它。然而，這一方能推遲向另一方泄露結(jié)果。這被稱作擲幣入井協(xié)議。設(shè)想一口井，Alice在井的旁邊，而Bob遠(yuǎn)離這口井。Bob將幣扔進(jìn)井里去，幣停留在井中，現(xiàn)在Alice能夠看到井中的結(jié)果，但她不能到井底去改變它。Bob不能看到結(jié)果，直到Alice讓他走到足夠近時(shí)，才能看到結(jié)果。這個(gè)協(xié)議的實(shí)際應(yīng)用是會(huì)話密鑰生成。擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨機(jī)會(huì)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果41公平的硬幣拋擲擲幣入井協(xié)議95智力撲克Alice與Bob想通過網(wǎng)絡(luò)玩牌Alice與Bob互不信任他們?nèi)绾喂降匕l(fā)牌?42智力撲克Alice與Bob想通過網(wǎng)絡(luò)玩牌96智力撲克(1)Alice生成52個(gè)消息M1，M2，，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開密鑰加密，然后回送給Alice。(3)Alice解密消息并回送給Bob。(4)Bob解密以確定他的一手牌。然后，Bob隨機(jī)地選擇第(1)步剩下的47個(gè)消息中的另外5個(gè)消息，并發(fā)給Alice。(5)Alice解密它們，變成她的一手牌。在游戲結(jié)束時(shí)，Alice和Bob雙方出示他們的牌和密鑰對(duì)使得任意一方確信另一方?jīng)]有作弊。已經(jīng)證明，如果使用RSA算法，那么這些撲克協(xié)議會(huì)泄漏少量的信息(可標(biāo)記牌)43智力撲克(1)Alice生成52個(gè)消息M1，M2，97智力撲克AB5255544智力撲克AB5255598三方智力撲克(1)Alice生成52個(gè)消息M1，M2，，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開密鑰加密，然后回送給Alice,Bob將余下的47張牌EA(Mn)送給Carol。(3)Carol隨機(jī)選取5張牌，用她的公開密鑰加密，然后回送給Alice(