1、1、密碼協(xié)議，現(xiàn)代密碼學(xué)講座10，內(nèi)容審查，密鑰管理簡(jiǎn)介密鑰分配密鑰協(xié)商PKI和數(shù)字證書秘密共享技術(shù)，3、本章的主要內(nèi)容，密碼協(xié)議概念零知識(shí)驗(yàn)證位承諾公平投擲協(xié)議安全多方計(jì)算。即可從workspace頁(yè)面中移除物件。即可從workspace頁(yè)面中移除物件。即可從workspace頁(yè)面中移除物件。即可從workspace頁(yè)面中移除物件。即可從workspace頁(yè)面中移除物件。密碼協(xié)議的概念，協(xié)議是由兩個(gè)或多個(gè)步驟組成的一系列步驟，旨在完成任務(wù)。通常包含三個(gè)方面的含義。合同需要2個(gè)以上的主體參與。參與者按照一定的順序交替執(zhí)行一系列步驟，在上一階段未完成之前，不能執(zhí)行后續(xù)步驟。參與者必須能夠共同執(zhí)行

2、某項(xiàng)任務(wù)或達(dá)到某種意圖。密碼協(xié)議的概念，密碼協(xié)議的目的是根據(jù)合同中使用的密碼算法執(zhí)行一系列規(guī)定步驟和任務(wù)，最終完成或同意特定任務(wù)。0知識(shí)證明，假設(shè)1: a知道b:哥德巴赫猜想的證據(jù)？如果a把證明過程寫給b，b記住證明，然后以自己的名義發(fā)表，a就會(huì)遭受損失；如果a不給b看證明，b如何確認(rèn)a確實(shí)知道？例2: a:我知道近期股票會(huì)上漲，我們倆合作，你出資，我提供信息嗎？在簽訂合作協(xié)議之前，a顯然沒有透露有關(guān)股票的任何信息；但是，如果b不能肯定自己是正確的，肯定不會(huì)投資。零知識(shí)證明，零知識(shí)證明ZKP(零知識(shí)證明ZKP)被S. Goldwasser等稱為“證明者”，通常用p表示，合同的另一方是驗(yàn)證者，通

3、常用v表示0知識(shí)證明意味著，p試圖讓v相信某個(gè)說法是正確的，但是沒有給v提供有用的信息，或者在p論證過程中v沒有得到有用的信息。揭露秘密做某事，零知識(shí)證明，1990年，L. C. Guillou和J. J. Quisquater提出的例子，零知識(shí)證明，迷宮，c和d之間有門，只有知道秘密密碼才能打開?，F(xiàn)在證明者p想證明證明者v有關(guān)此門的秘密密碼，但p不想向v泄漏密碼。協(xié)議開始，為什么驗(yàn)證者不在b口默化，在a口中，零知識(shí)證明，驗(yàn)證者v開始停留在位置a。證明者p到達(dá)迷宮的深處，隨機(jī)選擇位置c或位置d。如果v看不到p，請(qǐng)轉(zhuǎn)至位置b，命令p從出口返回b。遵循P v的命令，原始路徑返回位置b，或使用秘密密

4、碼打開門后到達(dá)位置b。p和v重復(fù)上述步驟。0知識(shí)證明是，如果p不知道秘密密碼，只能回到原來的長(zhǎng)度，并且第一次推測(cè)p要求v的路徑的概率是0.5，所以第一次協(xié)議p欺騙v的概率是0.5。運(yùn)行倒圓角協(xié)議后，p成功欺騙v的概率是1/2n。反例：足球比賽賭博收到一封電子郵件，說一個(gè)人有準(zhǔn)確推測(cè)足球比賽結(jié)果的高級(jí)數(shù)學(xué)工具，如果有興趣，就購(gòu)買他們的產(chǎn)品。比賽前連續(xù)10次向這個(gè)人發(fā)送了正確的預(yù)測(cè)，這個(gè)人知道是通過真實(shí)和匯款購(gòu)買的，結(jié)果發(fā)現(xiàn)是欺詐。n必須非常大，0知識(shí)證明，用途：id協(xié)議安全id協(xié)議可以向驗(yàn)證者v證明驗(yàn)證者p實(shí)際上是p。證明者p向證明者v證明了自己的身份后，證明者v無(wú)法獲得有關(guān)p的有用信息，因此，

5、v可以假裝為p，向第三方證明v為p。也就是說，p可以向v證明自己的id，不對(duì)v公開p的id信息，安全id協(xié)議必須滿足零知識(shí)證明。零知識(shí)證明，認(rèn)證實(shí)施公開參數(shù)：證明者知道正確的離散日志。1)證明人將被傳遞給可選隨機(jī)數(shù)、計(jì)算和驗(yàn)證人。2)驗(yàn)證者可選隨機(jī)數(shù)，將b傳遞給驗(yàn)證者。3)計(jì)算證明者y=r bx mod(p-1)，將y傳遞給證明者；4)驗(yàn)證器是否驗(yàn)證，如果適用，繼續(xù)5，否則停止；(5)重復(fù)步驟1至4) t。，0知識(shí)證明，不泄露秘密，解方程(1)(2)是用隨機(jī)數(shù)求離散對(duì)數(shù)r。因此，不知道b，y，x的值，0知識(shí)證明，欺騙過程：1)騙子猜測(cè)驗(yàn)證者選擇的隨機(jī)數(shù)，隨機(jī)選擇，計(jì)算2)和y分別傳遞給驗(yàn)證者。

6、假如假設(shè)b是正確的。也就是說，證明人相信騙子知道x，并與自己互動(dòng)是證明人。(1) 4)重復(fù)步驟t，以欺騙欺騙，2 -t，3360欺騙器，即使不知道離散日志x，也假裝是證明者，0知識(shí)證明，Shnorr認(rèn)證協(xié)議是ELGamal協(xié)議，F(xiàn)iat-ss安全性在計(jì)算離散對(duì)數(shù)問題上存在困難。零知識(shí)證明，Shnorr身份驗(yàn)證協(xié)議需要受信任的中心TA。TA為0知識(shí)證明，每個(gè)用戶選擇私鑰s，并為計(jì)算公鑰v的協(xié)議選擇以下參數(shù)：每個(gè)用戶必須在TA中注冊(cè)其公鑰v。確認(rèn)TA用戶id后，將id名稱I分配給每個(gè)用戶。I包括用戶的姓名、性別、生日、職業(yè)、電話號(hào)碼、指紋信息等識(shí)別信息。TA對(duì)(I，v)的簽名為ST(I，v)。驗(yàn)證

7、過程不需要TA介入。0知識(shí)證明，證明者A向證明者B證明自己的身份(Schnorr認(rèn)證協(xié)議)，用A，B，TA的數(shù)字簽名驗(yàn)證A的公鑰，0知識(shí)證明，v中的s，這是無(wú)法計(jì)算的，求離散日志。r和s都是用戶的秘密，偽造者Eve是不能從y獲取用戶的秘密，當(dāng)然也不能偽造證明者a。愛麗絲，比特承諾，生活事例股市預(yù)測(cè)，想向鮑勃承諾比特(也可以是比特序列)，但在沒有向鮑勃公開她的承諾(或公開)之前，她不會(huì)向鮑勃透露她的承諾比特值；與此同時(shí)，鮑勃可以確認(rèn)愛麗絲承諾后沒有改變自己的承諾。比特承諾，示例Alice將消息(約定)放在箱子里(只有Alice有鑰匙)鎖定到bob，Alice決定向Bob確認(rèn)消息，Alice向Bo

8、b打開消息和鑰匙，確保箱子和Alice提出的消息一樣，Bob確信在存檔期間箱子里的消息沒有被篡改。位承諾，基于對(duì)稱密碼算法的位承諾方案如下：Alice和Bob共同選擇了對(duì)稱加密算法。鮑勃給愛麗絲生成隨機(jī)位字符串。Alice隨機(jī)選擇密鑰，生成他要承諾的位字符串(也可以是位)，然后使用對(duì)稱加密算法加密“and”，最后將加密結(jié)果發(fā)送給驗(yàn)證者Bob。當(dāng)愛麗絲需要約會(huì)的時(shí)候，她給鮑勃寄去了鑰匙和約定的節(jié)拍。鮑勃用密鑰解密，用他的隨機(jī)字符串驗(yàn)證比特的有效性。位承諾，利用基于單向函數(shù)的位承諾方案：Alice和Bob一起選擇了單向函數(shù)，如Hash函數(shù)。Alice生成兩個(gè)隨機(jī)數(shù)和承諾位字符串，以計(jì)算單向函數(shù)值，

9、并將結(jié)果(散列值)和其中一個(gè)發(fā)送給Bob。愛麗絲給鮑勃提消息的時(shí)候，她把約會(huì)比特串和其他隨機(jī)數(shù)一起發(fā)給了鮑勃。Bob計(jì)算hash值，并將其與在步驟中收到的值進(jìn)行比較，以確認(rèn)消息的有效性。，公平投擲協(xié)議，分裂蛋糕問題：愛麗絲切蛋糕，Bob優(yōu)先，所以愛麗絲必須盡可能均勻地分割蛋糕：愛麗絲扔幣，如果Bob猜測(cè)是花或字，他同意作弊，公平投擲，無(wú)法見面的兩個(gè)人在網(wǎng)上或電話上完成。Alice和Bob各贏了50%的機(jī)會(huì)；我認(rèn)為一方的欺騙在游戲中失敗了。當(dāng)協(xié)議運(yùn)行結(jié)束時(shí)，Alice和Bob都知道結(jié)果。公平投擲協(xié)議，1) Alice將大素?cái)?shù)p，q的乘積n=p*q發(fā)送到bob.2。bob在中隨機(jī)選擇小于n/2的x

10、，并將其發(fā)送到alice.3。Alice驗(yàn)證是模式n的第二個(gè)剩女，即legend符號(hào)和是否滿足，如果滿足，則是計(jì)算的四個(gè)根。Alice隨機(jī)猜測(cè)Bob選擇了什么，并將0或1發(fā)送給Bob(預(yù)先大的標(biāo)為1，小的標(biāo)為0)。n表示Blum數(shù)，公平投擲合同，4) Bob收到后，收到0或1，2)步驟中選擇的Alice檢查是否發(fā)送，是否隸屬，現(xiàn)在Alice根據(jù)3)步驟和x知道猜測(cè)是否正確，然后p，q值為Bob。bob檢查p，q是否為兩個(gè)不同的小數(shù)，并檢查n=p*q是否成立。然后Bob也知道現(xiàn)在和Alice的游戲最終誰(shuí)贏了。例如：1) Alice選擇p=11、q=19，然后將n=11*19=209發(fā)送到bob.

11、2。bob在中隨機(jī)選擇x=31(209/2)，Alice=125。用3計(jì)算。因此，因?yàn)閍是模式p的第二個(gè)馀數(shù)和模式q的第二個(gè)馀數(shù)，所以Alice驗(yàn)證了a是模式n的第二個(gè)馀數(shù)，如果四個(gè)猜測(cè)Alice向Bob發(fā)送了1，那么，流程投擲合同，4) Bob收到1后，在步驟2)將所選內(nèi)容發(fā)送到Alice.5時(shí)，Alice檢查了x，現(xiàn)在Alice驗(yàn)證了她的也就是說，當(dāng)Alice在游戲中失敗時(shí)，p=11，Q=19發(fā)送到bob . 6)bob檢查p，Q為n=p*q=11*19=219。Bob滿足步驟3)Alice傳遞的值1，并且知道Alice推測(cè)的錯(cuò)誤。安全多方計(jì)算是在沒有可信第三方的情況下安全計(jì)算一個(gè)規(guī)則函數(shù)的值。在一個(gè)安全的多方計(jì)算協(xié)議中，參與者之間通常存在相互不信任，他們各自有一個(gè)不讓其他任何人理解的秘密數(shù)，但是他們必須利用這些秘密數(shù)來求得大家信任的值或答案。特別是安全多方計(jì)算是滿足安全多方計(jì)算三個(gè)條件的密碼協(xié)議，使用每個(gè)人