第11章密码协议辩析.ppt

* * 五、电子现金支付 顾客使用一个电子现金时，询问值/回答值为(x,y)。顾客使用另一个电子现金时，询问值/回答值为(u,v)。于是商家获得了两个方程： y=mx+b(modp-1)； v=mu+b(modp-1)； (m, b)容易解出。 因此，顾客要想大量地使用电子现金，就要准备大量的身份秘密信息。这是不现实的。这也是Schnorr支付协议的致命缺陷之一。 * * 五、电子现金支付 Schnorr支付协议的分析结果五：顾客的原始欺骗无法防止。顾客在申请电子现金时，完全可以选择无关紧要的信息(m, b)作为“身份秘密信息”，然后计算对应的“身份公开信息” (c, n)，将(c, n)发送给银行。如果银行认可，并发放电子现金，则当顾客重复使用电子现金时，所揭露的“身份秘密信息”(m, b)并不能使该顾客受到惩罚。 * * 五、电子现金支付 那么，在顾客申请电子现金时，银行怎样确认顾客的身份信息？这里有两个相互矛盾的要求： （1）银行不能获得顾客的身份秘密信息，只能获得顾客提交的身份公开信息。 （2）银行从顾客提交的身份公开信息中，能够辨别顾客是否隐含了真正的身份秘密信息。 * * 六、密码技术的其它应用 信息隐藏 信息隐藏是一个庞大而繁杂的工程。信息隐藏比信息加密有更强的要求： 信息加密要求信息“变形”，从可懂变为不可懂； 信息隐藏要求信息“消失”，从可见变为不可见。 信息隐藏技术的应用非常广泛，包括隐匿通信，数字产品的版权保护，叛逆者追踪等。 信息隐藏的核心技术有两个，一个是密码技术，另一个是信息处理技术。 * aaa * * 四、零知识证明 零知识证明： P使用一种证明方法，让V相信他知道该秘密，又能保证不泄露该秘密。 即 (1) P无法欺骗V。这就是说， P只有真的知道该秘密，才能使V相信他知道该秘密。 (2) V无法欺骗P。这就是说，在验证/证明过程中，无论V怎样努力都只知道“P知道该秘密”，除此以外一无所获。特别是， V不可能向其他人证明P知道该秘密。 * * 四、零知识证明 一般的公钥加解密不是零知识证明 设P公布公钥，他想让V相信他知道私钥。 V随机地取一个明文m用公钥加密，将密文c送给P。如果P能够将c正确解密，则V相信P知道私钥。 当V将一个明文m用公钥加密得到密文c 时，他实际上已经获得了私钥的一条知识：“私钥对c解密会得到m”。当然这条知识不足为患，但绝对破坏了零知识证明的前提条件。 * * 四、零知识证明 关于零知识证明的若干说明 ①验证/证明过程不能由P决定，而应该由V决定。V提问（challenge），P回答（reply）。因此零知识证明是一个交互证明过程。 ②每一次V向P提问，若P知道秘密则可正确回答V的提问；若P不知道秘密，则对提问给出正确回答概率仅为1/2。V以足够多的提问就可推定P是否知道秘密。 ③要保证这些提问及其相应的回答不会泄露秘密。 * * 四、零知识证明 零知识证明的基本协议 例[Quisquater等1989] 。 A 设P知道咒语，可打开C和 D之间的秘密门，不知道者 B 都将走向死胡同中。 C D * * 四、零知识证明 协议1： (1) V站在洞口A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P：(a)从左边出来，或(b)从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行 (1)～(5)共n次。 若A不知咒语，则在B点，只有50 %的机会满足B的要求。协议执行n次，则只有2-n的机会完全满足，若n=16，则若每次均通过B的检验，B受骗机会仅为1/65536。 * * 四、零知识证明 此协议又称作分割和选择(Cut and Choose)协议，是一个实现公平分享的经典协议。即其功能等价于 协议 2： (1) A将东西切成两半； (2) B选其中之一； (3) A拿剩下的一半。 显然，A为了自己的利益