第5讲零知识证明.pptVIP

零知识证明;概念;1）A要向B证明自己拥有某个房间的钥匙，假设该房间只能用钥匙打开锁，而其他任何方法都打不开。这时有2个方法：（一）A把钥匙出示给B，B用这把钥匙打开该房间的锁，从而证明A拥有该房间的正确的钥匙。（二）B确定该房间内有某一物体，A用自己拥有的钥匙打开该房间的门，然后把物体拿出来出示给B，从而证明自己确实拥有该房间的钥匙。后面这个方法属于零知识证明。好处在于在整个证明的过程中，B始终不能看到钥匙的样子，从而避免了钥匙的泄露。;零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。零知识证明必须包括两个方面，一方为证明者P，另一方为验证者V。证明者试图向验证者证明某个论断是正确的，或者证明者拥有某个知识，却不向验证者透露任何有用的消息。零知识证明目前在密码学中得到了广泛的应用，尤其是在认证协议、数字签名方面。 ;在Goldwasser等人提出的零知识证明中，证明者和验证者之间必须进行交互，这样的零知识证明被称为“交互零知识证明”。80年代末，Blum等人进一步提出了“非交互零知识证明”的概念，用一个短随机串代替交互过程并实现了零知识证明。非交互零知识证明的一个重要应用场合是需要执行大量密码协议的大型网络。大量事实证明，零知识证明在密码学中非常有用。;Quisquater-Guillon零知识协议;分隔与选择（cut and choose）协议;A;;在上述协议中，如果P不知道秘密口令，他只能从来路返回到B点，而不能走另外一条路。此外， P每一次猜对V要求他走哪一条路的概率是1/2。因此，每一轮协议P能够欺骗V的概率是1/2。执行n轮协议后，P成功欺骗V的概率是1/2n。嘉定n=16，则执行16轮协议后，P 成功欺骗V的概率是1/216=1/65536。于是，如果P能够16次按V的要求路线返回，V即能证明P确实知道秘密口令。同时，V无法从上述证明过程中获取丝毫有关P的秘密口令的消息。所以，这是一个零知识协议。;Hamilton回路零知识协议;;;协议执行完后，V 无法获得任何信息使自己可以构造图 G 的哈密尔顿回路，因此该协议是零知识证明协议。事实上，如果 P 向 V 证明图 G 和图 W 同构，这个结论对 V 并没有意义，因为构造图 G的哈密尔顿回路和构造图 W 的哈密尔顿回路同样困难。如果 P向 V指出图 W 的一条哈密尔顿回路，这一事实也无法向 V提供任何帮助，因为求两个图之间的同构并不比求一个图的哈密尔顿回路容易。在协议的每一轮中，P都随机地构造一个与图 G同构的新图，因此不论协议执行多少轮，V 都得不到任何有关构造图 G 的哈密尔顿回路的信息。 ;Goldwasser等人提出的零知识证明是交互式的，也就是证明者和验证者之间必须进行双向对话，才能实现零知识性，因而称为交互零知识证明。 ;在交互零知识证明的研究中，目前受到关注的有两种基本模型。一种是GMR模型，在这种模型中，证明者具有无限的计算能力，验证者具有多项式时间的计算能力。需要证明的是语言成员问题，即输入I是否是语言L中的一个成员。 GMR模型不是真正的零知识证明，这是因为在证明中，证明者向验证者揭露了有关知识的1比特信息，即I∈ L是否成立。但除此之外，再没有其他任何附加的信息泄露给验证者，通常称这种交互零知识证明为成员零知识证明或定理零知识证明。;;; Feige-Fiat-Shamir 身份识别协议;简化的 Feige-Fiat-Shamir 身份鉴别方案 ;;;;Feige-Fiat-Shamir 身份鉴别方案;其他身份识别???议;;;Schnorr 鉴别协议 ;;;;;;;;攻击身份的零知识证明例子;