Walter Unger

Algorithmische Kryptographie Kapitel 19

Zusammenfassung 2

Walter Unger

Lehrstuhl f¨ur Informatik 1

3. Februar 2009

Wie arbeitet das Geburtstagsprotokoll

Wie geht der Schl¨usselaustausch nach Diffie Hellman Wie kann man den Austausch noch verbessern

Wie ist die Idee zur Zufallszahlengenerierung Wie ist die Idee zur Kartenverteilung

Wie ist die Idee zur Kartenverteilung

Welche Protokolle zur Vergesslichen ¨Ubertragung gibt es Wie mache ich eine vergessliche ¨Ubertragung

Wie kaufe ich eins von zwei Geheimnisen

Welche Protokolle zum Bit Commitment gibt es Wie geht Bit Commitment mit quadratischem Rest Wie geht Bit Commitment mit diskreten Logarithmus Wie sicher sind diese Verfahren

Gibt es gleichzeitige perfekte Sicherheit f¨ur beide Parteien beim Bit Commitment Wie geht das Identifikationsverfahren von Shamir

Wie geht ein Betrug beim Identifikationsverfahren von Shamir ZKP

Wie ist die formale Definition eines ZKP Wie geht ein ZKP f¨ur: Graphisomorphismus Wie geht ein ZKP f¨ur: Independent Set

Wie geht ein ZKP f¨ur: Hamilton Kreis Wie geht ein ZKP f¨ur: 3-F¨arbung

Wie geht der ZPK nach Shamir

Wie geht der ZPK Beweis f¨ur Fiat-Shamir Welche Sicherheit hat der Verifizierer

F¨ur welche Probleme aus NPC gibt es ZKP

Ist die Parallelausf¨uhrung eines ZKP auch wieder ZKP Ist die Seriellausf¨uhrung eines ZKP auch wieder ZKP Wie macht man eine Identifikation mit ZKP als Basis Wie arbeitet Fiat-Shamir

Wie macht man eine Unterschrift mit ZKP als Basis Wahlen

Welche einfachen Wahlprotokolle gibt es Welche einfachen Wahlprotokolle gibt es

Wie geht das Protokoll mit vertrauensunw¨urdigem Legitimator Wie wird einfach mit mehreren Mischern gemischt

Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Wozu dient die phi Funktion beim W¨ahlen mit Mischern

Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) Wie geht der ZPK beim zweiten Protokoll mit Mischern

Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)

Welche Idee wird genutzt, um eine Wahl zu machen, bei der die W¨ahler nicht erpressba Wo benutzt man die Lagrange Interpolation

Wozu dient eine Homomorphe Verschl¨usselung Wozu dient ein Threshold-Scheme

Wie baut man ein Threshold-Scheme

Was ist die Idee des Homomorphen Wahlverfahrens Wie beweisen die Ausz¨ahler die Korrektheit ihrer Werte Wie beweisen die Ausz¨ahler die Korrektheit ihrer Werte

Wie ist die Idee des gemeinsamen Aufbau eines Verschl¨usselungsverfahrens Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme

Geld

Wie ist die Idee einer Elektronischen Brieftasche nach Even Was ist die Idee bei fairem Elektronischen Geld (on-line)

Wie erfolgt die R¨uckverfolgung beim fairem Elektronischen Geld (on-line) Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line)

Wie arbeitet das Geburtstagsprotokoll (19:1) Walter Unger ^Z

Frage 1:

Wie arbeitet das Geburtstagsprotokoll?

A: i,1 6 i 6 100, EA,DA,s B: j,1 6 j 6 100, EA,s

x := zuf¨allige Zahl (x > s) k := EA(x)

F¨ur 1 6 u 6 100: j^′

¾

′ := k − j yu := DA(j^′ + u) = DA(k − j + u)

Beachte: y_j = x (aber A weiß es nicht)

p := Primzahl mit p < s zu := yu mod p mit

|zu − zu^′| > 2 f¨ur 1 6 u^′ 6 100 und 0 < zu < p − 1

Falls u 6 i: zu := zu, Falls u > i: zu := zu + 1

Beachte: z_j ≡ y_j (mod p)) ⇐⇒ i > j zu,p

1 6 u 6

-

′′ := zj mod p

Teste, ob j^′′ ≡ x (mod p) Falls ja : i > j

Ergebnis

¾

Wie geht der Schl¨usselaustausch nach Diffie Hellman (19:2) Walter Unger ^Z

Frage 2:

Wie geht der Schl¨usselaustausch nach Diffie Hellman?

A: p,g B: p,g

W¨ahlt a (0 6 a 6 p − 2) c := g^a mod p

c

-

W¨ahlt b (0 6 b 6 p − 2) d := g^b mod p

k := c^b = (g^a)^b d

¾

k := d^a = (g^b)^a

Wie kann man den Austausch noch verbessern (19:3) Walter Unger ^Z

Frage 3:

Wie kann man den Austausch noch verbessern?

A: p,g,EA,DA,EB,E^sym,D^sym B: p,g,EB,DB,EA,E^sym,D^sym W¨ahlt a 0 6 a 6 p − 2

c := g^a mod p

c

-

W¨ahlt b 0 6 b 6 p − 2 d := g^b mod p

k := c^b = g^ab s := DB(g^a ◦ g^b) d,E_k^sym(s)

¾

k := d^a = (g^b)^a

g^a ◦ g^b =^? EB(D_k^sym(E_k^sym(s))) s^′ := DA(g^a ◦ g^b)

E_k^sym(s^′)

-

g^a ◦ g^b =^? EA(D_k^sym(E_k^sym(s)))

Wie ist die Idee zur Zufallszahlengenerierung (19:4) Walter Unger ^Z

Frage 4:

Wie ist die Idee zur Zufallszahlengenerierung?

A: p,q = zuf¨allige Primzahlenˆ B:

n := p · q n

-

n 2} z

¾

2 mod n

Berechne Quadratwurzeln ±x, ±y mit:

(±x)² ≡ z mod n; (±y)² ≡ z mod n x^′ := min{+x,−x}; y^′ := min{+y,−y} mit Position i, die x^′,y^′ unterscheidet, d.h.

x^′ = w0w^′, y^′ = w1w^′′ mit |w| = i

W¨ahle r ∈ {0,1} (d.h. w¨ahle x ∈ {x^′,y^′})

A r¨at, ob x die von B geratene war. i,

-

¾

ir{0,1}^⋆ Teste x^′,y^′,u,e

p,

-

Teste p,q

Teste n = p · q

Wie ist die Idee zur Kartenverteilung (19:5) Walter Unger ^Z

Frage 5:

Wie ist die Idee zur Kartenverteilung?

◮ A w¨urfelt an B 5 Karten.

◮ Nur B kennt seine 5 Karten.

◮ Aus den verbleibenden 47 Karten w¨urfelt B an A 5 Karten.

◮ Nur A kennt seine 5 Karten.

◮ A und B machen eine Spielrunde.

◮ A und B legen die Daten der obigen Protokolle offen.

◮ A und B testen die Protokolle.

Wie ist die Idee zur Kartenverteilung (19:6) Walter Unger ^Z

Frage 6:

Wie ist die Idee zur Kartenverteilung?

A: n_i,p_i,q_i, ^tij

ni

!

, B: ^tij

ni

! ,x_i Mischt die Karten

F¨ur i ∈ {1, . . . ,52} bestimme:

Primzahlen p_i,q_i mit p_i ≡ q_i ≡ 3 mod 4 n_i = p_i · q_i

T_i = (t₁ⁱt₂ⁱ . . .t₆ⁱ) mit ^tij

ni

!

= 1

und t_jⁱ ∈ QR_ni ⇐⇒ Bit j in bin(i) ist 1

n_i,1 6 i 6 52 t_jⁱ,1 6 j 6 6

-

W¨urfeln x_i 1 6 i 6 52

- -

nur B kennt die x_i kann x_i nicht w¨ahlen w¨ahlt I ⊂ {1, . . . ,52}

mit |I| = 5 x_i² mod n_i,

“xi ni

”

f¨ur i 6∈ I x_k² mod n_k,−“

nkxk

”

f¨ur i ∈ I

¾

Bestimmt x_i^′ : x_i^′2 ≡ x_i² (mod n_i)

x_i^′,

„x′ i ni

«

= “_xi

ni

”

f¨ur i 6∈ I x_i^′,

„x′ i ni

«

= −“_xi

ni

” f¨ur i ∈ I

-

faktorisiert n_j f¨ur j ∈ I Bestimmt Karten f¨ur j ∈ I aus t_l^j,1 6 l 6 6

Welche Protokolle zur Vergesslichen ¨Ubertragung gibt es (19:7) Walter Unger ^Z

Frage 7:

Welche Protokolle zur Vergesslichen ¨Ubertragung gibt es?

◮ Mit gegebener Wahrscheinlichkeit ¨ubertragen.

◮ Ein Geheimnis kaufen.

Wie mache ich eine vergessliche ¨Ubertragung (19:8) Walter Unger ^Z

Frage 8:

Wie mache ich eine vergessliche ¨Ubertragung?

A: p,q,n = p · q B: n

x := Zufallszahl

¾

2 mod n Bestimme x,x^′ mit

(±x)² ≡ y mod n (±x^′) ≡ y mod n

w¨ahle z ∈ {x,x^′} z

-

Fall a: z ≡ ±x (mod n) Fall b: z 6≡ ±x (mod n)

Nur im Fall b kann n faktorisiert werden

Wie kaufe ich eins von zwei Geheimnisen (19:9) Walter Unger ^Z

Frage 9:

Wie kaufe ich eins von zwei Geheimnisen?

A: s0,s1 B: i ∈ {0,1} zuf¨allig

w¨ahlt x : 0 6 x 6 p − 2 βi = g^x mod p

β0, β1

¾

x)⁻¹ mod p Teste β0 · β1

≡? c f¨ur j ∈ {0,1}:

yj ∈ {0, . . . , p − 2}

αj := g^yj γj := β_j^yj

rj := sj ⊕ γj αj,rj 0 6 j 6 1

-

α^x_i ≡ g^xyi ≡ β_i^yi =: γi (mod p) si := γi ⊕ ri

Welche Protokolle zum Bit Commitment gibt es (19:10) Walter Unger ^Z

Frage 10:

Welche Protokolle zum Bit Commitment gibt es?

◮ Mit quadratischem Rest.

◮ Mit diskreten Logarithmus

Wie geht Bit Commitment mit quadratischem Rest (19:11) Walter Unger ^Z

Frage 11:

Wie geht Bit Commitment mit quadratischem Rest?

P: b ∈ {0,1} V:

w¨ahlt p,q große Primzahlen n := p · q

w¨ahlt v ∈ QNRn⁺¹

w¨ahlt r ∈ ZZ^∗_n

c := r²v^b mod n n,c,v

Commit(b)

-

p,q,r,b Open(b)

-

Teste p,q Primzahlen Teste n = p · q

Teste r ∈ ZZ^∗n

Teste v ∈ QNRn⁺¹

Teste c ≡^? r²v^b (mod n)

Wie geht Bit Commitment mit diskreten Logarithmus (19:12) Walter Unger ^Z

Frage 12:

Wie geht Bit Commitment mit diskreten Logarithmus?

P: m ∈ {0, . . . ,q − 1} V:

w¨ahle r ∈ {0, . . . , q − 1}

c := g^rv^m mod p

c

-

r,m

-

≡? g^rv^m (mod p)

Wie sicher sind diese Verfahren (19:13) Walter Unger ^Z

Frage 13:

Wie sicher sind diese Verfahren?

Verfahren mit diskreten Logarithmus:

Die Box kann nicht ge¨offnet werden, die Sicherheit ergab sich durch die nicht-L¨osbarkeit von quadratischen Resten.

Es gab keine Aussage, das die Box nicht ver¨andert werden konnte.

Verfahren mit quadratischen Resten:

Die Box kann nicht ver¨andert werden, die Sicherheit ergab sich durch die nicht-L¨osbarkeit vomdiskreten Logarithmus.

Es gab keine Aussage, das die Box nicht unbefugt ge¨offnet werden konnte.

Gibt es gleichzeitige perfekte Sicherheit f¨ur beide Parteien beim Bit Commitment (19:14) Walter Unger ^Z

Frage 14:

Gibt es gleichzeitige perfekte Sicherheit f¨ur beide Parteien beim Bit Commitment?

1. Angenommen es gibt einen deterministischen Algorithmus C mit

C : {0,1}ⁿ × {0,1} → {0,1}^s, der eine solche Lockable Box sicherstellt.

2. Wenn nun P ein Commitment c = C(r,b) macht, dann k¨onnte nun V mit ausreichender Rechenleistung b bestimmen.

3. Um dies zu verhindern, muß es r^′ geben mit c = C(r^′,1 − b).

4. Damit ist aber nun P in der Lage mit ausreichender Rechenleistung die Box sowohl f¨ur b als auch f¨ur 1 − b zu ¨offnen.

Wie geht das Identifikationsverfahren von Shamir (19:15) Walter Unger ^Z

Frage 15:

Wie geht das Identifikationsverfahren von Shamir?

P: n,p,q,x,y V: n,x

w¨ahlt r ∈ ZZ^∗_n zuf¨allig

a := r² a

-

e

¾

b := ry^e b

-

Test b^{2 ?}≡ ax^e (mod n)

Wie geht ein Betrug beim Identifikationsverfahren von Shamir (19:16) Walter Unger ^Z

Frage 16:

Wie geht ein Betrug beim Identifikationsverfahren von Shamir?

P: n,p,q,x,y V: n,x

w¨ahlt r ∈ZZ^∗_n zuf¨allig

a := r² a

-

b := ry^e

¾

b

-

P’: n,x V: n,x

w¨ahlt r ∈ ZZ^∗n zuf¨allig w¨ahlt e^′ ∈ {0,1} zuf¨allig

a := r²x^−e′ a

-

e

¾

b := r b

-

Test b^{2 ?}≡ ax^e (mod n)

Wie ist die formale Definition eines ZKP (19:17) Walter Unger ^Z

Frage 17:

Wie ist die formale Definition eines ZKP?

Definition

Ein interaktives System ist Zero-Knowledge, falls gilt:

◮ Es gibt einen probabilistischen Simulator S(V,x) mit:

◮ S bestimmt ein akzeptierendes Transscript t in polynomieller Zeit.

◮ t und trP,V(x) sind statistisch (algorithmisch) nicht zu unterscheiden.

Wie geht ein ZKP f¨ur: Graphisomorphismus (19:18) Walter Unger ^Z

Frage 18:

Wie geht ein ZKP f¨ur: Graphisomorphismus?

P: G1,G2,e : G1 ∼=^e G2 V: G1 = (V,E),G2 = (V^′,E^′) w¨ahlt Isomorphismus e^′

bestimmt Gα : Gα ∼=e^′ G1 Gα

-

w¨ahlt x ∈ {1,2}

x

¾

falls x = 1 : f := e^′

falls x = 2 : f := e^′ ◦ e f

-

testet: Gα ∼=f Gx

Wie geht ein ZKP f¨ur: Independent Set (19:19) Walter Unger ^Z

Frage 19:

Wie geht ein ZKP f¨ur: Independent Set?

P: G = (V,E), |V| = t,I ⊂ V : |I| = k mit: V: G,t und k

∀a,b ∈ I : {a,b} 6∈ E bestimmt B1, . . . ,Bt mit:

δ(B1, . . . ,Bt) = V

bestimmt I^′ = {i | δ(Bi) ∈ I} bestimmt Bij,1 6 i < j 6 t mit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈ E

Bij,Bi 1 6 i < j 6

-

x

¾

Falls x = 0, dann machen beide δ(Bi), δ(Bij)

1 6 i 6 t i < j 6 t

-

Falls x = 1, dann machen beide δ(Bij)

{i,j} ⊂ I^′

-

′

Wie geht ein ZKP f¨ur: Hamilton Kreis (19:20) Walter Unger ^Z

Frage 20:

Wie geht ein ZKP f¨ur: Hamilton Kreis?

P: G = (V,E), |V| = t und H mit: V: G = (V,E), |V| = t H = (V,F) ∼= Ct

bestimmt B1, . . . ,Bt mit:

δ(B1, . . . ,Bt) = V

bestimmt Bij,1 6 i < j 6 t mit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈ E F^′ = {{i,j} | {δ(Bi), δ(Bj)} ∈ F}

Bij,Bi 1 6 i < j 6

-

x

¾

Falls x = 0, dann machen beide δ(Bi), δ(Bij)

1 6 i 6 t i < j 6 t

-

Falls x = 1, dann machen beide δ(Bij)

i < j {i,j} ∈ F

-

Wie geht ein ZKP f¨ur: 3-F¨arbung (19:21) Walter Unger ^Z

Frage 21:

Wie geht ein ZKP f¨ur: 3-F¨arbung?

P: G = (V,E),|V| = t V: G = (V,E)

kennt c : V → {1,2,3} mit: ∀(a,b) ∈ E : c(a) 6= c(b)

bestimmt Bi,B_i^c,Bij (1 6 i,j 6 3t):

∀(v,c) ∈ V × {1,2,3} : ∃j : δ(B_j) = v_j ∧ δ(B_j^c) = c δ(B_ij) = 1 ⇐⇒ (δ(B_i), δ(B_j)) ∈ E∧

δ(B_i^c) = c(δ(B_i))∧ δ(B_j^c) = c(δ(B_j)) Bi,B_i^c,Bij 1 6 i,j 6 3t

-

x

¾

Falls x = 0, dann machen beide δ(Bi), δ(Bij)

1 6 i,j 6 3t

-

isolierte Knoten Falls x = 1, dann machen beide δ(B_i^c), δ(Bij)

1 6 i,j 6 3t δ(B_i^c) = δ(B_j^c)

-

Wie geht ein ZKP f¨ur: 3-SAT (19:22) Walter Unger ^Z

Frage 22:

Wie geht ein ZKP f¨ur: 3-SAT?

P: F V: F

Bestimmt

Bijk,Bi,B_i^T Bijk,Bi,B_i^T

-

x

¾

falls x = 0 δ(Bi) und δ(Bijk)

-

falls x = 1 δ(B_i^T) und

δ(Bijk) mit (∗)

-

alle ge¨offneten Bijk m¨ussen 0 enthalten (d.h. keine Klausel ist false)

Dabei bedeutet (∗): Jeder Index ist

entweder von der Form x und δ(B_x^T) = false oder von der Form x und δ(B_x^T) = true.

Wie geht der ZPK nach Shamir (19:23) Walter Unger ^Z

Frage 23:

Wie geht der ZPK nach Shamir?

P: n,p,q,x,y V: n,x

w¨ahlt r ∈ ZZ^∗n zuf¨allig

a := r² mod n a

-

e

¾

b := ry^e mod n b

-

Test b^{2 ?}≡ ax^e (mod n) Falls e = 0 b = r Test r^{2 ?}≡ a (mod n) Falls e = 1 b = ry Test r²y² ≡^? ax (mod n)

Wie geht der ZPK Beweis f¨ur Fiat-Shamir (19:24) Walter Unger ^Z

Frage 24:

Wie geht der ZPK Beweis f¨ur Fiat-Shamir?

Beweis.

Transscript der Kommunikation:

tr(n) = {(a,e,b) ∈ QRn × {0,1} × ZZ^∗n | b² ≡ ax^e (mod n)}

Simulator (V,x):

while true do

1. w¨ahle e^′ ∈ {0,1}, b ∈ ZZ^∗n gleichverteilt 2. a := b²x^−e′

3. e := V(a)

4. falls e = e^′ return (a,e^′,b)

Welche Sicherheit hat der Verifizierer (19:25) Walter Unger ^Z

Frage 25:

Welche Sicherheit hat der Verifizierer?

Satz

Wenn der Prover im Shamir-Protokoll mit Wahrscheinlichkeit > 1/2 betr¨ugen kann, dann kann er die Quadratwurzel bestimmen.

Beweis.

1. Betr¨uger kennt b1 und b2 mit: b1² = a und b2² = ax.

2. Damit kann er bestimmen: y = b2/b1, d.h. die Wurzel von x.

F¨ur welche Probleme aus NPC gibt es ZKP (19:26) Walter Unger ^Z

Frage 26:

F¨ur welche Probleme aus NPC gibt es ZKP?

Alle.

Ist die Parallelausf¨uhrung eines ZKP auch wieder ZKP (19:27) Walter Unger ^Z

Frage 27:

Ist die Parallelausf¨uhrung eines ZKP auch wieder ZKP?

P: f ,X V:

v

¾

Falls v = 1:

w¨ahlt α ∈ {0,1}ⁿ α

-

n

Testet f (αβ) =^? γ

¾

Geheimnis X

-

Falls v = 2:

α

¾

n

w¨ahlt β ∈ {0,1}ⁿ β,f(αβ)

-

Ist die Seriellausf¨uhrung eines ZKP auch wieder ZKP (19:28) Walter Unger ^Z

Frage 28:

Ist die Seriellausf¨uhrung eines ZKP auch wieder ZKP?

Satz

Falls ein Protokoll Zero-Knowledge ist, dann ist die Hintereinanderausf¨uhrung des Protokolls auch Zero-Knowledge.

Beweis.

◮

tr

( n ) [ tr

( n

)] Transscript des 1. [2.] Zero-Knowledge-Proofs.

◮

Dann ist tr

( n ) ◦ tr

( n

) Transscript der Hintereinanderausf¨uhrung.

◮

Sei S

[ S

] Simulator f¨ur den 1. [2.] Zero-Knowledge-Proofs.

◮

Sei weiter t

Ausgabe von Simulator S

( i ∈ {1 , 2}).

◮

Dann ist t

◦ t

statistisch (algorithmisch) nicht von tr

( n ) ◦ tr

( n

) zu unterscheiden.

◮

Dann ist S

◦ S

Simulator f¨ur die Hintereinanderausf¨uhrung.

Wie macht man eine Identifikation mit ZKP als Basis (19:29) Walter Unger ^Z

Frage 29:

Wie macht man eine Identifikation mit ZKP als Basis?

P: i(P) = (c1, . . . ,ck) V: pi(P) = (d1, . . . ,dk) pi(P) = (d1, . . . , dk)

F¨ur alle 1 6 j 6 k gilt dabei:

djc_j² ≡ ±1 mod n w¨ahle r ∈ IN

w¨ahle x ∈ {±r² mod n} x

-

S

¾

j∈S cj mod n y

-

Teste: x ≡ ±y² Q

j∈S dj (mod n) Beachte: y² Q

j∈S dj ≡ r² Q

j∈S c_j²dj ≡ ±r² ≡ ±x (mod n).

Betrugsm¨oglichkeit: Rate S und sende

±r² Q

j∈S dj mod n als x und y = r als Antwort.

Wie arbeitet Fiat-Shamir (19:30) Walter Unger ^Z

Frage 30:

Wie arbeitet Fiat-Shamir?

P: n,p,q,x,y V: n,x

mit: y = (y1, . . . ,yt) und x = (y₁², . . . ,y_t²) und n = p · q

w¨ahlt r ∈ ZZ^∗n zuf¨allig

a := r² a

-

w¨ahlt e ∈ {0,1}^t e

¾

i=1y_i^ei b

-

2 ?≡ aQt

i=1x_i^ei (mod n)

Wie macht man eine Unterschrift mit ZKP als Basis (19:31) Walter Unger ^Z

Frage 31:

Wie macht man eine Unterschrift mit ZKP als Basis?

◮ Unterschrift erzeugen:

1. W¨ahle zuf¨allig ( r

, . . . , r

) ∈ (Z Z

)

mit a

:= r

f¨ur 1 6 j 6 k . 2. Bestimme e :=( e

)

= h ( m ◦ a

◦ a

◦ . . . ◦ a

).

3. b

:= r

Q

i=1

y

f¨ur 1 6 j 6 k 4. b = ( b

, . . . , b

)

5. s = ( b, e ) ist die Unterschrift von P unter m .

◮ Test der Unterschrift:

1. Setze a

:= b

Q

i=1

x

f¨ur 1 6 j 6 k .

2. Akzeptiere die Unterschrift, falls e = h ( m ◦ a

◦ a

◦ . . . ◦ a

).

Welche einfachen Wahlprotokolle gibt es (19:32) Walter Unger ^Z

Frage 32:

Welche einfachen Wahlprotokolle gibt es?

◮ Mit Ausz¨ahler und Verifizierer

◮ Mit Mischern

◮ Ohne Erpressbarkeit

Welche einfachen Wahlprotokolle gibt es (19:33) Walter Unger ^Z

Frage 33:

Welche einfachen Wahlprotokolle gibt es?

Aj: EL,EC L: EL,DL,EC

Identifikation Protokoll

- -

bestimmt i(Aj) i(Aj)

¾

stimmt ab, d.h. w¨ahlt v(Aj) ∈ K bestimmt Geheimnis s(Aj)

Wj = EL(EC((i(Aj),v(Aj),s(Aj)))) Wj

-

Vj = DL(Wj) C: EL,DL,EC L: EL,DL,EC

kennt i(Aj) (1 6 j 6 t)

kennt Vj = EC((i(Aj),v(Aj),s(Aj))) bestimmt I = {i(Aj) | 1 6 j 6 n}

I,V

¾

bestimmt f¨ur x ∈ K

Sx = {t | ∃y ∈ V ∧ z ∈ I : y = (z,x,t)}

ver¨offenlicht die Sx.

Wie geht das Protokoll mit vertrauensunw¨urdigem Legitimator (19:34) Walter Unger ^Z

Frage 34:

Wie geht das Protokoll mit vertrauensunw¨urdigem Legitimator?

Aj: L:

bestimmt tx,1 6 x 6 n^k bestimmt S und f

Identifikation Protokoll

- -

w¨ahlt i ∈ {1, . . . ,n^k}

ti

kauft dies geheim

¾ ¾

bestimmt s ∈ S y := f (s)

w¨ahlt v v,y,ti

anonym

-

testet: ∃x ∈ {1, . . . ,n^k} : tx = ti

bestimmt s^′ ∈ S y^′ := f (s^′)

w¨ahlt neu v^′ v^′,f (s^′),ti,s

anonym

-

testet: ∃x ∈ {1, . . . ,n^k} : tx = ti

testet: f (s) =^? y

Wie wird einfach mit mehreren Mischern gemischt (19:35) Walter Unger ^Z

Frage 35:

Wie wird einfach mit mehreren Mischern gemischt?

ϕ(g^{bi·a1·a2·...·ak})

◮ bi Stimme f¨ur Kandidat ϕ(. . .bi . . .).

◮ g^bi Verschl¨usselte Stimme

◮ g^{bi·a1·a2·...·ak} Verschl¨usselte Stimme und k-mal gemischte Stimme

◮ ϕ(g^{bi·a1·a2·...·ak}) durch bi gew¨ahlter Kandidat.

◮ Damit braucht der W¨ahler: ϕ und g^{a1·a2·...·ak}

◮ Systemaufbau: g,q, ϕ

◮ Mischer Si bestimmt ai.

◮ Mischer bestimmen g^{a1·a2·...·ak}

◮ W¨ahler w¨ahlt und ver¨offentlicht: g^bi.

◮ Mischer bestimmen g^{bi·a1·a2·...·ak}

◮ Ausz¨ahlung der ϕ(g^{bi·a1·a2·...·ak})

Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:36) Walter Unger ^Z

Frage 36:

Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)?

C: B:

bestimmt p grosse Primzahl

bestimmt g Generator in Z_q^∗ mit q = p^k

bestimmt Funktion ϕ : Z_q^∗ 7→ K C,q,g, ϕ

-

S_i: B:

w¨ahlt a_i ∈ZZ^∗_q mit ggT(a_i,q − 1) = 1 bestimmt also: f_i(x) = x^ai mod q

bestimmt c_i = g^ai S_i,c_i

-

S₁: B:

sei z₀ = g

bestimmt z₁ = f₁(z₀) S₁,z₀,z₁

-

S_i: (i 6 2) B:

bestimmt z_i = f_i(z_i−1) S_i−1,z_i−2,z_i−1

¾

-

S_i: C:

c_i = g^ai

∃a_i : c_i = g^ai ∧ z_i = z_i^ai

−1

Zero-Knowledge-Proof

- -

−1

(C,z₀,z_k)

Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:37) Walter Unger ^Z

Frage 37:

Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)?

A_i: B:

(C,q,g, ϕ) (S_i,c_i)

(S_i,z_i−1,z_i) getestet r¨at solange ein b_i bis ϕ(z_k^bi) = K_i (C,z₀,z_k)

setzt v_i = g^bi (A_i,v_i)

-

C: B:

Testet die (A_i,v_i)’s A_i,v_i(1 6 i 6 n)

¾

Falls Fehler/Betrug vorliegt A_i,v_i, ung¨ultig

-

C: B:

X₀ = SORT{v_l|1 6 l 6 n} A_i,v_i(1 6 i 6 n)

¾

-

S_i: B:

X_i = SORT{(w_lⁱ⁻¹)^ai|1 6 l 6 n} X_i−1 = (w₁ⁱ⁻¹,w₂ⁱ⁻¹, . . . ,w_nⁱ⁻¹)

¾

X_i = (w₁ⁱ,w₂ⁱ, . . . ,w_nⁱ)

-

C: B:

E_x = |{w ∈ X_k | ϕ(w) = x}| X_k = (w₁^k,w₂^k, . . . ,w_n^k)

¾

-

Wozu dient die phi Funktion beim W¨ahlen mit Mischern (19:38) Walter Unger ^Z

Frage 38:

Wozu dient die phi Funktion beim W¨ahlen mit Mischern?

◮ Kandidaten auf grossen Wertebereich abbilden.

◮ Umgehen des L¨osen des Diskreten Logarithmus.

Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) (19:39) Walter Unger ^Z

Frage 39:

Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf)?

◮ Erzeuge Wahlzettel (Tokens)

◮ Vermische Tokens, Beweis per ZKP

◮ gebe gemischtes Token den W¨ahlern

◮ Vermische Tokens, Beweis per ZKP

◮ W¨ahler w¨ahlt

◮ Entmische Tokens, Beweis per ZKP

◮ Ausz¨ahlung der Stimmen

Wie geht der ZPK beim zweiten Protokoll mit Mischern (19:40) Walter Unger ^Z

Frage 40:

Wie geht der ZPK beim zweiten Protokoll mit Mischern?

P : q , a, g , c = g

, x , y = f (x ) = x

V : q, g , c , x , y w¨ahlt i und j m

¾ m

= x

g

w¨ahlt l

m

= m

g

m

= f ( m

) m

, m

- testet m

=

x

g

i , j

¾

l -

testet m

=

m

g

testet m

=

y

g

Beachte: m

= f ( m

) = f ( x

g

g

) = ( f ( x ))

( f ( g ))

= y

( g

)

.

◮

Bekannt sind zwei Listen x

, x

, . . . , x

und y

, y

, . . . , y

.

◮

Zeige per Zero-Knowledge-Proof, dass es eine Permutatione π gibt

mit: f (x

) = y

.

Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:41) Walter Unger ^Z

Frage 41:

Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)?

C: B:

bestimmt q große Primzahl

bestimmt g Generator in Z_q^∗ C,q,g

-

S_i: B:

w¨ahlt a_i ∈ZZ^∗_q mit ggT(a_i,q −1) = 1 (C,q,g) bestimmt also: f_i(x) = x^ai mod q

bestimmt c_i = g^ai S_i,c_i

-

C: B:

bestimmt t ≫ n Tokens:

{x_j,0 | 1 6 j 6 t} (x_1,0,x_2,0, . . . ,x_t,0)

-

S_i: B:

bestimmt Permutation π_i

bestimmt x_j,i = (x_π(j),i−1)^ai (x_1,i,x_2,i, . . . ,x_t,i)

-

C: A_j:

w¨ahlt t_j und Token x_tj,k x_tj,k

-