第21讲--身份识别和零知识证明(密码学).ppt

第九章身份识别和零知识证明  一、身份证明技术 传统的身份证明： 一般是通过检验“物”的有效性来确认持该物的人身份。徽章、工作证、信用卡、驾驶执照、身份证、护照等，卡上含有个人照片(易于换成指纹、视网膜图样、牙齿等)。 信息系统常用方式： 用户名和口令 交互式证明 两方参与 示证者P(Prover)，知道某一秘密，使V相信自己掌握这一秘密； 验证者V(Verifier)，验证P掌握秘密；每轮V向P发出一询问，P向V做应答。V检查P是否每一轮都能正确应答。 交互证明与数学证明的区别 数学证明的证明者可自己独立的完成证明 交互证明由P产生证明，V验证证明的有效性来实现，双方之间要有通信 交互系统应满足 完备性：如果P知道某一秘密，V将接收P的证明 正确性：如果P能以一定的概率使V相信P的证明，则P知道相应的秘密 身份识别方案的要求 假设A和B是通信的双方，当A与B进行通信时， A首先要向B证明自己的身份。 一个安全的身份识别方案至少应该满足以下两 个要求： (1)A能向B证明自己的确是A (2)当A向B证明了自己的身份后，B得不到任何用于模仿A的有用信息，B无法向第三方声称自己是A. Guillou-Quisquater身份识别方案 Guillou-Quisquater身份识别方案的安全 性主要是基于RSA公钥密码体制的安全性. Guillou-Quisquater身份识别方案需要一 个可信当局，简称TA. Guillou-Quisquater身份识别方案 参数的选取： (1)TA选取两个大素数p和q，计算n=pq,p和q必威体育官网网址，而n公开. (2)TA选取一个大素数b作为安全参数,b公开，b所起的作用相当于RSA公钥密码体制中的加密密钥，可以防止攻击者模仿A. (3)TA选取一个Hash函数和一个签名方案. 假设TA的必威体育官网网址的签名算法为SigTA 。公开的签名验 证算法为VerTA .TA在对一个消息进行签名之前，首先 对消息做Hash变换，然后对Hash变换后的消息进行 签名。 Guillou-Quisquater身份识别方案 在Guillou-Quisquater身份识别方案中，用户A需要一个证书，证书中包含了经由TA签名的有关A的身份的一些信息，用户A的证书由TA颁发.证书是公开的，TA向用户A颁发证书的协议如下： (1)TA建立用户A的身份并产生一个表示A身份的字符串ID(A) (2)A秘密选取一个与n互素的整数u(0≤u≤n-1).A计算 v=(u-1)b modn,并将v传送给TA (3)TA产生签名 s=SigTA(ID(A),v)， 并将证书C(A)=(ID(A),v,s)传送给A Guillou-Quisquater身份识别方案 当A要向B证明自己的身份时，A和B执行下面的协议： (1)A随机选取整数k(0≤k≤n-1)，然后A计算 r=kb modn (2)A将其证书C(A)=(ID(A),v,s)和r传送给B (3)B利用TA公开的签名验证算法来检验s是否为TA对 (ID(A),v)的签名 (4)B随机选取整数t (0≤t≤b-1)，B将t传送给A (5)A计算 y=kut modn,A将y传送给B (6)B验证 r=vt yb modn是否成立.如果上式成立则B接受A的身份证明；否则拒绝A的身份证明. 二、零知识证明 最小泄露证明和零知识证明： 以一种有效的数学方法，使V可以检验每一步成立，最终确信P知道其秘密，而又能保证不泄露P所知道的信息。 零知识证明的基本协议 例[Quisquater等1989] 。 零知识证明的基本协议 (1) V站在A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P从左边出来，或从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行 (1)～(5)共n次。 若P不知咒语，则在B点，只有50 %的机会猜中V的要求，协议执行n次，则只有2-n的机会完全猜中，若n=16，则若每次均通过V的检验，V受骗机会仅为1/65 536 零知识证明的基本协议 说明： 在上述协议的执行过程中，V没有得到关于 咒语的任何信息，因此上述协议是一