Algorithmische Kryptographie Kapitel 13 Zero-Knowledge

(1)

Algorithmische Kryptographie Kapitel 13

Zero-Knowledge

Walter Unger

Lehrstuhl f¨ur Informatik 1

30. Januar 2009

(2)

Einf¨uhrung

Anschauliches Beispiel

Zero-Knowledge-Proof f¨ur die 3-F¨arbung eines Graphen Weitere Beispiele

Kenntnis der Faktoren, 3-F¨arbung

Graphenisomorphismus und Graphennichtisomorphismus Unabh¨angige Mengen und Hamilton-Kreis

3-SAT

Formale Definition, Varianten und Beweisstruktur Idee zur Beweisf¨uhrung

Definition von Zero-Knowledge Verfahren von Shamir

Verfahren von Shamir ist Zero-Knowledge Protokolle

Aussagen und Anwendungen

Zero-Knowledge-Proof und Komplexit¨atsklassen Komposition von Zero-Knowledge-Proofs Identifikation mit Zero-Knowledge-Proofs Unterschriften mit Zero-Knowledge-Proofs

(3)

Einf¨uhrung Weitere Beispiele Formale Definition, Varianten und Beweisstruktur Aussagen und Anwendungen

(13:1) Walter Unger Z

Einleitung

I

Beteiligt sind P und V .

I

P , der Prover, m¨ ochte Behauptung beweisen.

I

V , der Verifizierer, will Beweis sehen.

I

P m¨ ochte keine Information preisgeben.

I

V m¨ ochte aber trotzdem ¨ uberzeugt werden.

(4)

Anschauliches Beispiel (13:2) Walter Unger Z

Einfaches Beispiel

Biologie/ChemiePhysik/ChemieMathematikInformatik

” Bekanntlich“ gibt es nur

I

6 Edelgase

I

3 Wilson-Primzahlen

I

20 Aminos¨ auren

I

4 Farben

Jemand (Peter) behauptet: Es gibt

I

ein weiteres Edelgas

I

eine weitere Wilson-Primzahl

I

eine weitere Aminos¨ aure

I

eine weitere Farbe Nun muss Peter seine Behauptung beweisen.

I

Wenn Peter ein neues Objekt kennt, dann kann er dessen Existenz beweisen.

I

Eine L¨ uge von Peter soll erkannt werden.

I

Peter will aber keine weitere Information preisgeben.

I

L¨ osung: Zero-Knowledge-Proof

(5)

Idee

I

Vera und Peter haben viele Kugeln mit 4 Farben.

^v^v^v^v

I

Peter hat Kugel mit weiterer Farbe.

^v

I

Vorhanden sind zwei verschließbare K¨ asten mit Trichter.

I

Nur Peter hat den Schl¨ ussel zu den K¨ asten.

@@

!

@@

! s

s

s s

s

s s

s

Peter

s

Peter

(6)

Das Protokoll (Betrugsversuch)

1. Peter verschließt K¨ asten und f¨ ullt verdeckt Kugeln ein.

2. Vera f¨ ullt verdeckt Kugeln ein.

3. Verdeckt vertauscht Vera ggf. die K¨ asten.

4. Peter ¨ offnet die K¨ asten und sagtr¨ at, ob ein Austausch vorliegt.

@@

!

@@

! s

s

s s

s

s s

s

Peter

s

Peter

y y y y y y y

y

y y y y

y y

y y y y y

yy y y yyy y

yyy yy yyy y

y y

y yy yy

y y

y y y

y y y y

y y

y y y y

y y

yyy yy yyyy y y y

y y

y y y

y y y y

y y

y y y y

y y

y

y y y y

y y

y y y y y

yy y y yyy y

yyy yy yyy y

y y

y y y y y y y

y

y y y y

y y

y y y y y

yy y y yyy y

yyy yy yyy y

y y

y yy yy

y y

y y y

y y y y

y y

y y y y

y y

(7)

Einführung Weitere Beispiele Formale Definition, Varianten und Beweisstruktur Aussagen und Anwendungen Zero-Knowledge-Proof für die 3-Färbung eines Graphen (13:5) Walter Unger Z

Muster beim Zero-Knowledge-Proof

Phase 1: Commitment (Hinterlegung) Phase 2: Challenge (Herausforderung) Phase 3: Response (Antwort)

P: kennt W und x V: kennt W

w¨ ahlt Co Co

_-

a w¨ ahlt a bestimmt Re

_Co,a

Re

_Co,a

-

Testet (Co, a, Re

_Co,a

, W )

Wiederhole zum Verkleinern der Betrugswahrscheinlichkeit.

(8)

ZKP f¨ ur die 3-F¨ arbung eines Graphen G = (V , E )

u

u u

Z Z Z Z ZZ

\

\\

XX

XX XX XX XX X

u u

u

u u

I

V = {1, 2, · · · , n} Menge der Knoten

I

E ⊆ P

²

(V ) Menge der Kanten

I

Es gibt eine 3-F¨ arbung der Knoten:

∃col : V → {1, 2, 3} : ∀{a, b} ∈ E : col (a) 6= col(b)

I

Peter will nun beweisen, dass er eine 3-F¨ arbung f¨ ur G kennt.

(9)

ZKP f¨ ur die 3-F¨ arbung eines Graphen G = (V , E )

H HH HH H

H HH HH H HH

HH HH

HH HH HH

XX XX XX XX XX X

XX XX XX XX XX X XX XX XX XX XX X

XX XX XX XX XX X

\

\\

\

\\

\

\\

\

\\

H HH HH H

\

\\

XX

XX XX XX XX X

1

2

3

4 5 1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

I

Verschließbare K¨ asten f¨ ur Knoten

I

Verschließbare K¨ asten f¨ ur Farben in allen Kombinationen

I

Verschließbare K¨ asten f¨ ur alle m¨ oglichen Kanten

I

Im Protokoll werden die K¨ asten ungeordnet ¨ ubertragen.

(10)

ZKP f¨ ur die 3-F¨ arbung eines Graphen G = (V , E )

H HH HH H

H HH HH H HH

HH HH

HH HH HH

XX XX XX XX XX X

\

\\

\

\\

\

\\

\

\\

1 2 3 4 5

H HH HH H

\

\\

XX

XX XX XX XX X

Zwei m¨ ogliche Anfragen: 1. Fall

1. Peter erzeugt alle verschließbaren Boxen

2. Vera fragt: Zeige mir den Graphen G = (V , E )

3. Peter ¨ offnet alle Knotenk¨ asten und alle Kantenk¨ asten

(11)

ZKP f¨ ur die 3-F¨ arbung eines Graphen G = (V , E )

H HH HH H

H HH HH H HH

HH HH

HH HH HH

XX XX XX XX XX X

\

\\

\

\\

\

\\

\

\\

u u u u u

Zwei m¨ ogliche Anfragen: 2. Fall

1. Peter erzeugt alle verschließbaren Boxen

2. Vera fordert einen Beweis der korrekten F¨ arbung

3. Peter ¨ offnet alle Farbenboxen und Kantenboxen zwischen

gleichen Farben

(12)

Betrugsversuch bei der 3-F¨ arbung eines Graphen

1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

1

^u

2

^u

3

^u

4

^u

5

^u

\

\\

XX XX XX XX XX X

4 1. Peter gibt Kante {3, 4} an und Vera will Graph sehen.

4 2. Peter verschweigt Kante {3, 4} und Vera will F¨ arbungsbeweis.

8 3. Peter gibt Kante {3, 4} an und Vera will F¨ arbungsbeweis.

8 4. Peter verschweigt Kante {3, 4} und Vera will Graph sehen.

Jeder 2. Betrug ist erfolgreich.

(13)

3-F¨ arbung eines Graphen

I P kennt die 3-F¨arbung eines GraphenG = (V,E) mit|V|=t.

I Zur Erinnerung: Ein GraphG = (V,E) heisst 3-f¨arbbar, wenn c:V → {1,2,3}mit∀(a,b)∈E:c(a)6=c(b) I P bereitet folgende Boxen vor:

I B_i,16i 63t,enth¨alt Knoten, wobeiδ(B_i) den Inhalt der Box angibt

I B_i^c,16i63t,enth¨alt eine Farbe, d.h. δ(B_i^c)∈ {1,2,3}

I F¨ur jedes Paar (v,c) mitv∈V,c∈ {1,2,3}gibt es einen Indexj mit δ(Bj) =v undδ(B_j^c) =c.

I Bij,16i 6j63t,enth¨alt eine Kante, d.h.δ(Bij) = 1 :⇐⇒

(δ(Bi), δ(Bj))∈E undδ(Bi^c) =c(δ(Bi)) undδ(Bj^c) =c(δ(Bj)).

(14)

3-F¨ arbung eines Graphen

P:G= (V,E),|V|=t V:G = (V,E),t

kenntc:V→ {1,2,3}mit:∀(a,b)∈E:c(a)6=c(b)

bestimmtBi,B_i^c,Bij (16i,j63t):

∀(v,c)∈V× {1,2,3}:∃j:δ(B_j) =v_j∧δ(B_j^c) =c δ(B_ij) = 1⇐⇒(δ(B_i), δ(B_j))∈E∧

δ(B^c_i) =c(δ(B_i))∧δ(B^c_j) =c(δ(B_j)) Bi,B_i^c,Bij 16i,j63t-

x ^w¨^ahlt^x ^{∈ {0,}^1}

Fallsx = 0, dann machen beide δ(Bi), δ(Bij)

16i,j63t- ^testet^G ^{und 2t} isolierte Knoten Fallsx = 1, dann machen beide δ(B_i^c), δ(Bij)

16i,j63t δ(B^c_i) =δ(B_j^c)

- testet: keine Kante sichtbar

(15)

Kenntnis der Faktoren, 3-F¨arbung (13:13) Walter Unger Z

Kenntnis der Faktoren

P will V davon ¨uberzeugen, dass erpundqkennt, aberpundq sollen geheim bleiben.

P:p,q,n=p·q V:n

w¨ahltx∈IN y ^y ^:=^x

4modn Berechnet Wurzelnx1undx2

d.h.xi²≡y (modn),i∈ {1,2}

Bestimmtx mitx²≡xi (modn) f¨ur eini

±x² -

Testet Wert

(16)

Graphenisomorphismus und Graphennichtisomorphismus (13:14) Walter Unger Z

Einleitung

Definition

Zwei Graphen G = (V , E ) und G

⁰

= (V

⁰

, E

⁰

) heissen isomorph, gdw:

1. ∃e : V 7→ V

⁰

mit 2. e ist Bijektion und

3. ∀a, b ∈ V : {a, b} ∈ E ⇐⇒ {e (a), e(b)} ∈ E

⁰

Schreibweise: G ∼ = G

⁰

bzw. G ∼ =

e

G

⁰

D.h. G und G

⁰

sind bis auf die Knotennamen nicht zu

unterscheiden.

(17)

Graphenisomorphismus

P kennt einen Graphenisomorphismus zwischenG1undG2 und willV von der Kenntnis ¨uberzeugen.

P:G1,G2,e:G1∼=e G2 V:G1= (V,E),G2= (V⁰,E⁰) w¨ahlt Isomorphismuse⁰

bestimmtGα:Gα∼=e⁰G1 Gα

-

w¨ahltx∈ {1,2}

x fallsx = 1 :f :=e⁰

fallsx = 2 :f :=e⁰◦e f -

testet:Gα∼=f Gx

(18)

Nicht-Isomorphismus

P kennt Unterschied zwischenG1undG2 und willV von der Kenntnis

¨uberzeugen.

P:G1= (V,E),G2= (V⁰,E⁰) V:G1= (V,E),G2= (V⁰,E⁰) w¨ahlti1, . . . ,ik∈ {1,2}

bestimmtHj∼=Gi_j

Hj

16j6k ^f¨^{ur 1}6j6k bestimmtxj:Hj∼=Gx_j

f¨ur 16j6k xj

16j6-k

testetxj

=? ijf¨ur 16j6k

Frage: welche Rechenleistung k¨onnen/m¨ussenPundV haben.

(19)

Unabh¨angige Mengen und Hamilton-Kreis (13:17) Walter Unger Z

Independent Set

Definition

Ein Graph G = (V , E) hat eine unabh¨ angige Menge (independet set) der Gr¨ oße k, gdw. es existiert I ⊂ V , |I| = k mit:

∀a, b ∈ I : {a, b} 6∈ E .

F¨ ur gegebenes k und Graphen G festzustellen, ob G eine

unabh¨ angige Menge der Gr¨ oße k hat, ist NP-vollst¨ andig.

(20)

Independent Set (Idee)

a b

c d

e f

Q

Q Q Q Q Q

T T T T T T T T T T

PP PP PP PP PP PP

Q Q Q Q Q Q

PP PP PP PP PP PP

(21)

Independent Set

P:G= (V,E),|V|=t,I ⊂V :|I|=kmit: V:G = (V,E),k

∀a,b∈I:{a,b} 6∈E bestimmtB1, . . . ,Bt mit:

δ(B1, . . . ,Bt) =V

bestimmtI⁰={i |δ(Bi)∈I} bestimmtBij,16i <j6tmit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈E

Bij,Bi 16i<j6-t

x ^w¨^ahle^x ^{∈ {0,}^1}

16i6t i<j6t

- ^testet^G Fallsx = 1, dann machen beide δ(Bij)

{i,j} ⊂I-⁰ ^testet^I

0

(22)

Hamilton-Kreis

Definition

Ein Graph G = (V , E) hat einen Hamilton-Kreis, gdw. es existiert H = (V , {{v

₁

, v

₂

}, {v

₂

, v

₃

}, . . . , {v

_n

, v

₁

}}) ∼ = C

_|V_|

als Teilgraph von G.

Das Problem, festzustellen, ob G = (V , E ) einen Hamilton-Kreis hat, ist NP-vollst¨ andig.

Beachte: C

_k

ist ein Kreis der L¨ ange k (mit k Knoten).

(23)

Hamilton-Kreis (Idee)

a b c d

e f g h

i j k l

T

T T T T T T T T T

Q Q Q Q Q Q

T T T T T T T T T T

Q Q Q Q Q Q

PP PP PP PP PP PP

T T T T T T T T T T

Q Q Q Q Q Q

PP PP PP PP PP PP

Q

Q Q Q Q Q

Q Q Q Q Q Q

PP PP PP PP PP PP

Q Q Q Q Q Q

PP PP PP PP PP PP

(24)

Hamilton-Kreis

P:G = (V,E),|V|=tundH mit: V:G= (V,E),t H= (V,F)∼=Ct

bestimmtB1, . . . ,Bt mit:

δ(B1, . . . ,Bt) =V

bestimmtBij,16i<j6t mit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈E F⁰={{i,j} | {δ(Bi), δ(Bj)} ∈F}

Bij,Bi 16i<j6-t

x ^w¨^ahle^x^{∈ {0,}^1}

Fallsx= 0, dann machen beide δ(Bi), δ(Bij)

16i6t i<j6t

- ^testet^G Fallsx= 1, dann machen beide δ(Bij)

i<j {i,j} ∈F⁰

- ^testet^C^t

(25)

3-SAT (13:23) Walter Unger Z

3-SAT

Definition

Eine Boolesche FormelF ist in Exact-3-KNF:

F(x₁,x₂, ...,xr) = Vm i=1c_i

(Klauseln) c_i = (l_i¹∨l_i²∨l³_i) ∀16i6m (Literale) l_i^j =

 ¬x_k oder

x_k f¨ur eink: 16k6r

ff ∀16i6mund

∀16j63

Eine Belegung ist eine FunktionW :{x1,x2, ...,xr} 7→ {0,1}.

Es ist NP-vollständig, festzustellen, ob es fürF eine erfüllende Belegung gibt.

(26)

3-SAT Idee: Aufbau

i 1 2 3 4 5 6 7 8 9 10 11 12

B

_i

x

₁

x

₂

x

₃

x

₄

x

₅

x

₆

x

₁

x

₂

x

₃

x

₄

x

₅

x

₆

B

_i^T

0 0 0 0 0 0 1 1 1 1 1 1

δ(B

3,4,8

) = 1 F = . . . ∧ (x

₃

∨ x

₄

∨ x

₂

) ∧ . . .

W (x

3

) = 0 ∧ W (x

4

) = 0 ∧ W (x

2

) = 1

δ(B

_3,4,8

) = 1 F = . . . ∧ (x

₃

∨ x

₄

∨ x

₂

) ∧ . . .

(27)

3-SAT Idee: Anfrage nach Erf¨ ullung

i 1 2 3 4 5 6 7 8 9 10 11 12

B

_i

x

1

x

2

x

3

x

4

x

5

x

6

x

1

x

2

x

3

x

4

x

5

x

6

B

_i^T

0 0 0 0 0 0 1 1 1 1 1 1

Nicht ¨ offnen: δ(B

3,4,8

) = 1 F = . . . ∧ (x

3

∨ x

4

∨ x

2

) ∧ . . .

Nur ¨ offnen: δ(B

_3,4,2

)

Dann sollte gelten: δ(B

_3,4,2

) = 0

(28)

3-SAT (Idee)

I Die FormelF haber Variablen, d.h. 2r Literale.

I W :{x1,x2, ...,xr} 7→ {0,1}ist erf¨ullende Belegung.

I 2r K¨astenBi, mit 16i 62r undδ(Bi)∈ {x1,x2, . . . ,xr}.

I 2r K¨astenB_i^T, mit 16i62r undδ(B_i^T)∈ {0,1}.

I Mit∀x∈ {x1,x2, . . . ,xr},w ∈ {0,1}:∃i :δ(Bi) =x∧δ(B_i^T) =w. I (4r)³K¨astenBijk miti,j,k∈ {1, . . . ,2r,1, . . . ,2r}und

I δ(Bi⁰j⁰k⁰) = 1 ⇐⇒ F enth¨alt zugeh¨orige Klausel ( ˜vi,v˜j,v˜k):

I i⁰=i∧δ(Bi) =vi∧δ(B_i^T) =W(vi)∧v˜i =vi.

I j⁰ =j∧δ(B_j) =v_j∧δ(B_j^T) =W(v_j)∧v˜_j =v_j.

I k⁰=k∧δ(Bk) =vk ∧δ(B_k^T) =W(vk)∧v˜k =vk.

I k⁰=k∧δ(Bk) =vi∧δ(B_k^T) =W(vk)∧v˜k =vk.

(29)

3-SAT

P:F V:F

Bestimmt

Bijk,Bi,Bi^T Bijk,Bi,B_i^T -

x ^w¨^ahle^x ^{∈ {0,}^1}

fallsx = 0 δ(Bi) undδ(Bijk)

- teste die Darstellung der FormelF fallsx = 1 δ(B_i^T) und

δ(Bijk) mit (∗)- teste auf korrekte Wahrheitsbelegung, d.h.

alle ge¨offnetenBijk m¨ussen 0 enthalten (d.h. keine Klausel istfalse)

Dabei bedeutet (∗): Jeder Index ist entweder von der Formxundδ(B^T_x) =false oder von der Formxundδ(B_x^T) =true.

(30)

Idee zur Beweisf¨uhrung (13:28) Walter Unger Z

R¨ uckblick

I Wenn Peter das Geheimnis kennt, kann er den Beweis f¨uhren.

I Wenn Peter das Geheimnis nicht kennt, dann wird er mit hoher Wahrscheinlichkeit ¨uberf¨uhrt.

I Es ist noch zu zeigen: Das Geheimnis von Peter ist sicher.

I D.h. durch die Teilnahme am Protokoll wird nichts verraten.

I Man kann die Nachrichten einesanalogenProtokolls erzeugen:

1. Vera kann Simone bitten, viele Durchl¨aufe zu versuchen.

2. Nur ca. 50% der Durchl¨aufe sind korrekt.

3. Die korrekten Versuche gleichen den Durchl¨aufen von Peter.

4. Aus den korrekten Versuchen ergibt sich einanalogesProtokoll.

I Durch die Teilnahme von Peter wird sein Geheimnis nicht verraten.

(31)

Definition von Zero-Knowledge (13:29) Walter Unger Z

Grundlagen

Seien im Folgenden P und V Algorithmen (Turingmaschinen) mit:

I

polynomieller Laufzeit

I

k¨ onnen probabilistisch sein

I

gemeinsames x als Eingabe

I

k¨ onnen gemeinsam ¨ uber Kan¨ ale (B¨ ander) kommunizieren

I

P sendet die Nachrichten m

1

, m

3

, m

5

, · · · , m

n

.

I

V sendet die Nachrichten m

2

, m

4

, m

6

, · · · , m

n−1

. Das Transscript der Kommunikation zwischen V und P ist:

tr

_P,V

(x) = (m

₁

, m

₂

, m

₃

, m

₄

, m

₅

, · · · , m

_n

).

Dies wird ein interaktives System genannt.

(32)

Definition von Zero-Knowledge (13:30) Walter Unger Z

Formale Definition, die Anforderungen

Definition

Ein interaktives System ist Zero-Knowledge, falls gilt:

I Es gibt einen probabilistischen SimulatorS(V,x) mit:

I S bestimmt ein akzeptierendes Transscriptt in polynomieller Zeit.

I t undtrP,V(x) sind statistisch (algorithmisch) nicht zu unterscheiden.

Motivation:

V kann ohneP mitS(V,x) ein akzeptierendes Transscript erzeugen und damit ggf. an das Geheimnis vonP kommen.

Wichtig: Es mussV (ggf. betr¨ugerisch) verwendet werden.

(33)

Verfahren von Shamir (13:31) Walter Unger Z

Verfahren von Shamir

Kenntnis einer Quadratwurzel

I

Sei im Folgenden n = p · q, p 6= q Primzahlen,

I

QR

n

die quadratischen Reste in Z Z

^∗_n

QR

n

= {a ∈ Z Z

^∗_n

| ∃b ∈ Z Z

^∗_n

: b

²

mod n = a}.

I

Sei x ∈ QR

_n

und x = y

²

mod n, d.h. y die Wurzel von x.

P: n, p , q, x, y V: n, x w¨ ahlt r ∈ Z Z

^∗_n

zuf¨ allig

a := r

²

mod n a

_-

e w¨ ahlt e ∈ {0, 1} zuf¨ allig b := ry

^e

mod n b

_-

Test b

^{2 ?}

≡ ax

^e

(mod n)

Falls e = 0 b = r Test r

^{2 ?}

≡ a (mod n)

Falls e = 1 b = ry Test r

²

y

²

≡

^?

ax (mod n)

(34)

Verfahren von Shamir (13:32) Walter Unger Z

Verfahren von Shamir (Betrugsversuch)

I

Sei im Folgenden n = p · q, p 6= q Primzahlen,

I

QR

n

die quadratischen Reste in Z Z

^∗_n

QR

n

= {a ∈ Z Z

^∗_n

| ∃b ∈ Z Z

^∗_n

: b

²

mod n = a}.

I

Sei x ∈ QR

n

und x = y

²

mod n, d.h. y die Wurzel von x.

P: n, x V: n, x

w¨ ahlt zuf¨ allig:

r ∈ Z Z

^∗_n

und e

⁰

∈ {0, 1}

a := r

²

x

^−e⁰

mod n a

_-

e w¨ ahlt e ∈ {0, 1} zuf¨ allig

b := r b

_-

Test b

^{2 ?}

≡ ax

^e

(mod n)

x

^e⁰

a ≡ r

²

(mod n) b

²

≡ ax

^e⁰

≡

^?

ax

^e

(mod n)

(35)

Verfahren von Shamir ist Zero-Knowledge (13:33) Walter Unger Z

Verfahren von Shamir

Satz

Das Shamir-Protokoll ist ein Zero-Knowledge-Protokoll.

Beweis.

Transscript der Kommunikation:

tr(n) ={(a,e,b)∈QRn× {0,1} ×ZZ^∗_n |b²≡ax^e (modn)}

Simulator (V,x):

while true do

1. w¨ahlee⁰∈ {0,1},b∈ZZ^∗n gleichverteilt 2. a:=b²x^−e⁰

3. e:=V(a)

4. fallse=e⁰ return (a,e⁰,b)

Wichtig: Es mussV (ggf. betr¨ugerisch) verwendet werden.

(36)

Bemerkungen

Simulator (V,x):

while true do

1. w¨ahlee⁰∈ {0,1},b∈ZZ^∗_ngleichverteilt 2. a:=b²x^−e⁰

3. e:=V(a)

4. fallse=e⁰return (a,e⁰,b)

1. Die a Werte sind zuf¨ allig gew¨ ahlte Quadratische Reste in QR

n

. 2. Die e Werte sind in beiden Transscripten gleich verteilt.

3. Die b Werte sind zuf¨ allig gew¨ ahlte Quadratwurzeln.

4. Der Simulator wird erwartungsgem¨ ass in jedem zweiten Durchlauf ein Tripple erzeugen.

5. Wichtig: Es muss V (ggf. betr¨ ugerisch) verwendet werden.

(37)

Uberzeugung ¨

Satz

Wenn der Prover im Shamir-Protokoll mit Wahrscheinlichkeit

> 1/2 betr¨ ugen kann, dann kann er die Quadratwurzel bestimmen.

Beweis.

1. Betr¨ uger kennt b

1

und b

2

mit: b

₁²

= a und b

₂²

= ax .

2. Damit kann er bestimmen: y = b

2

/b

1

, d.h. die Wurzel von x.

(38)

Zusammenfassung

1. Der Prover kann mit Kenntnis der Quadratwurzel immer

¨ uberzeugen.

2. Wenn der Verifier mit Wahrscheinlichkeit > 1 − 2

^k

uberzeugt ¨ ist, dann kennt der Prover auch mit Wahrscheinlichkeit

> 1 − 2

^k

die Quadratwurzel.

3. Das Protokoll ist ein Zero-Knowledge-Protokoll.

(39)

Protokolle (13:37) Walter Unger Z

3-F¨ arbung eines Graphen

P:G= (V,E),|V|=t V:G = (V,E),t

kenntc:V→ {1,2,3}mit:∀(a,b)∈E:c(a)6=c(b)

bestimmtBi,B_i^c,Bij (16i,j63t):

∀(v,c)∈V× {1,2,3}:∃j:δ(B_j) =v_j∧δ(B_j^c) =c δ(B_ij) = 1⇐⇒(δ(B_i), δ(B_j))∈E∧

δ(B^c_i) =c(δ(B_i))∧δ(B^c_j) =c(δ(B_j)) Bi,B_i^c,Bij

16i,j63t- ^w¨^ahlt^x ^{∈ {0,}^1}

x

16i,j63t- ^testet^G ^{und 2t} isolierte Knoten Fallsx = 1, dann machen beide δ(Bi^c), δ(Bij)

16i,j63t δ(B^c_i) =δ(B_j^c)

- testet: keine Kante sichtbar

Ist ZKP Protokoll.

(40)

Kenntnis der Faktoren

P will V davon ¨uberzeugen, dass erpundqkennt, aberpundq sollen geheim bleiben.

P:p,q,n=p·q V:n

w¨ahltx∈IN Berechnet Wurzelnx1undx2 y

^y ^:=^x

4modn d.h.x_i²≡y (modn),i∈ {1,2}

Bestimmtx mitx²≡xi (modn) f¨ur eini ±x²

- Testet Wert

Ist kein ZKP Protokoll.

(41)

Nicht-Isomorphismus

P kennt Unterschied zwischenG1undG2 und willV von der Kenntnis

¨uberzeugen.

P:G1= (V,E),G2= (V⁰,E⁰) V:G1= (V,E),G2= (V⁰,E⁰) w¨ahlti1, . . . ,ik∈ {1,2}

Hj

16j6k ^bestimmt^H^j^∼⁼^Gⁱj f¨ur 16j6k bestimmtxj:Hj∼=Gx_j

f¨ur 16j6k xj

16j6-k ^testet^x^j

=? ijf¨ur 16j6k

Ist kein ZKP Protokoll.

(42)

Graphenisomorphismus

P kennt einen Graphenisomorphismus zwischenG1undG2 und willV von der Kenntnis ¨uberzeugen.

P:G1,G2,e:G1∼=e G2 V:G1= (V,E),G2= (V⁰,E⁰) w¨ahlt Isomorphismuse⁰

bestimmtGα:Gα∼=e⁰G1 Gα

- ^w¨^ahlt^x^{∈ {1,}^2}

fallsx = 1 :f :=e⁰ x

fallsx = 2 :f :=e⁰◦e f - ^testet:^G^α^∼⁼^f ^G^x

Ist ZKP Protokoll.

(43)

Independent Set

P:G= (V,E),|V|=t,I ⊂V :|I|=kmit: V:G = (V,E),k

∀a,b∈I:{a,b} 6∈E bestimmtB1, . . . ,Bt mit:

δ(B1, . . . ,Bt) =V

bestimmtI⁰={i |δ(Bi)∈I} bestimmtBij,16i <j6tmit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈E Bij,Bi 16i<j6-t

x ^w¨^ahle^x ^{∈ {0,}^1}

16i6t i<j6t

- ^testet^G Fallsx = 1, dann machen beide δ(Bij)

{i,j} ⊂I-⁰ ^testet^I

0

Ist ZKP Protokoll.

(44)

Hamilton-Kreis

P:G = (V,E),|V|=tundH mit: V:G= (V,E),|V|=t H= (V,F)∼=Ct

bestimmtB1, . . . ,Bt mit:

δ(B1, . . . ,Bt) =V

bestimmtBij,16i <j6tmit:

δ(Bij) = 1 ⇐⇒ {δ(Bj), δ(Bi)} ∈E

F⁰={{i,j} | {δ(Bi), δ(Bj)} ∈F} Bij,Bi 16i<j6-t

x ^w¨^ahle^x^{∈ {0,}^1}

Fallsx= 0, dann machen beide δ(Bi), δ(Bij)

16i6t i<j6t

- ^testet^G Fallsx= 1, dann machen beide δ(Bij)

i<j {i,j} ∈F

- ^testet^C^t

Ist ZKP Protokoll.

(45)

3-SAT

P:F V:F

Bestimmt

Bijk,Bi,Bi^T Bijk,Bi,B_i^T

- ^w¨^ahle^x ^{∈ {0,}^1}

x

fallsx = 0 δ(Bi) undδ(Bijk)

- teste die Darstellung der FormelF fallsx = 1 δ(Bi^T) und

δ(Bijk) mit (∗)- teste auf korrekte Wahrheitsbelegung, d.h.

alle ge¨offnetenBijk m¨ussen 0 enthalten (d.h. keine Klausel istfalse)

Dabei bedeutet (∗): Jeder Index ist entweder von der Formxundδ(B^T_x) =false oder von der Formxundδ(B_x^T) =true.

Ist ZKP Protokoll.

(46)

Zero-Knowledge-Proof und Komplexit¨atsklassen (13:44) Walter Unger Z

Zero-Knowledge-Proofs und Komplexit¨ atsklassen

Definition

Die Sprachklasse ZK ist wie folgt definiert:

F¨ ur alle Sprachen L ∈ ZK und f¨ ur jedes x ∈ L gibt es einen Zero-Knowledge-Proof.

Satz

Falls es Ein-Weg-Funktionen gibt, dann gilt: N P ⊆ ZK.

Beweis.

Zero-Knowledge-Proof f¨ ur 3-SAT und

Polynomialzeit-Reduktionen

(47)

Zero-Knowledge-Proof und Komplexit¨atsklassen (13:45) Walter Unger Z

Beweis

I

Sei x Instanz einer Sprache P ∈ NPC .

I

Es gibt Reduktion von 3-SAT auf P .

I

Es gibt Funktion r : Σ

P

7→ Σ

₃

-

SAT

mit:

x ∈ P ⇐⇒ r(x) ∈ 3-SAT .

I

F¨ uhre folgendes Protokoll aus:

P:x∈ P V:P

Bestimmtb=r(x)

KodiertbinBi (16i 6t) Bi 16i6t -

x ^w¨^ahle^x^{∈ {0,}^1}

fallsx = 0 δ(Bi)

- teste die Darstellung der Formelb

fallsx = 1 δ(Bi) und

ipassend gew¨ahlt- teste auf korrekte Wahrheitsbelegung

(48)

Komposition von Zero-Knowledge-Proofs (13:46) Walter Unger Z

Kompositionen I

Satz

Falls ein Protokoll Zero-Knowledge ist, dann ist dieHintereinanderausf¨uhrung des Protokolls auch Zero-Knowledge.

Beweis.

I tr1(n) [tr2(n⁰)] Transscript des 1. [2.] Zero-Knowledge-Proofs.

I Dann isttr1(n)◦tr2(n⁰) Transscript der Hintereinanderausf¨uhrung.

I SeiS1[S2] Simulator f¨ur den 1. [2.] Zero-Knowledge-Proofs.

I Sei weiterti Ausgabe von SimulatorSi (i ∈ {1,2}).

I Dann istt1◦t2statistisch (algorithmisch) nicht vontr1(n)◦tr2(n⁰) zu unterscheiden.

I Dann istS1◦S2Simulator f¨ur die Hintereinanderausf¨uhrung.

(49)

Kompositionen II

Satz

Falls ein Protokoll Zero-Knowledge ist, dann ist dieParallelausf¨uhrungdes Protokolls nicht notwendigerweiseZero-Knowledge.

Beweis.

I Analoges Vorgehen wie bei der seriellen Ausf¨uhrung von Zero-Knowledge-Proofs gehtnicht.

(50)

Kompositionen II

Satz

Es gibt ein Protokoll, welches Zero-Knowledge ist, aber dessen Parallelausf¨uhrungistnichtZero-Knowledge.

Seif :{0,1}^2·n→ {0,1}ⁿZufallsfunktion:

P:f,X V:

v ^w¨^ahlt^v ^{∈ {1,}^2}

Fallsv= 1:

w¨ahltα∈ {0,1}ⁿ α - ^w¨^ahlt^{β, γ}^{∈ {0,}^1}

n

Testetf(αβ)=^? γ β, γ

Geheimnis X- Fallsv= 2:

α ^w¨^ahlt^α^{∈ {0,}^1}

n

w¨ahltβ∈ {0,1}ⁿ β,f(αβ) -

(51)

Kompositionen III

Satz

F¨ur jede Sprache ausN P gibt es ein Protokoll, welches Zero-Knowledge ist, und auch dessen Parallelausf¨uhrung ist Zero-Knowledge.

Satz

F¨ur jede Sprache ausN P gibt es ein Protokoll, welches Zero-Knowledge ist und konstante Rundenzahl hat.

(52)

Identifikation mit Zero-Knowledge-Proofs (13:50) Walter Unger Z

Einleitung

I

Ziel: Stelle sicher, dass nach einem Protokoll keiner die Identit¨ at des anderen annehmen kann.

I

Als Idee bietet sich an, eine ¨ offentliche und eine geheime Identit¨ at zu verwenden.

I

Erstes Beispiel: Allen bekannt ist dabei n = p · q, wobei p und

q mit p, q ≡ 3 mod 4 durch eine vertrauensw¨ urdige Person

bestimmt wurden.

(53)

Beispiel 1

n=p·q p,q≡3 mod 4

P:i(P) = (c1, . . . ,ck) V: pi(P) = (d1, . . . ,dk) pi(P) = (d1, . . . ,dk)

F¨ur alle 16j6k gilt dabei:

djcj²≡ ±1 modn w¨ahler∈IN

w¨ahlex ∈ {±r²modn} x-

S ^w¨ahle TeilmengeS⊂ {1, . . . ,k}

y :=rQ

j∈Scjmodn y

-

Teste:x≡ ±y²Q

j∈Sdj (modn)

Beachte:y²Q

j∈Sdj≡r²Q

j∈Sc_j²dj≡ ±r²≡ ±x (modn).

Betrugsm¨oglichkeit: RateS und sende

±r²Q

j∈Sdjmodnalsx undy=r als Antwort.

(54)

Bemerkungen:

n=p·q p,q≡3 mod 4 P:i(P) = (c₁, . . . ,c_k),p_i(P) = (d₁, . . . ,d_k) V: p_i(P) = (d₁, . . . ,d_k)

F¨ur alle 16j6kgilt dabei:

d_jc²_j ≡ ±1 modn

w¨ahler∈IN, w¨ahlex∈ {±r²modn} x

- ^w¨ahle TeilmengeS⊂ {1, . . . ,k}

y:=rQ

j∈Sc_jmodn S

y

- ^{Teste, ob}^x^{≡ ±y}²

Q

j∈Sd_j(modn)

1. r ist notwendig, denn sonst k¨onnte V durch die Wahl vonS={j}den Wert voncjerfahren.

2. durch die Wahl vonpundqwird sichergestellt, dass diedj-Nummern alle Werte mit“_d

j n

”

=±1 annehmen k¨onnen, sodass diecj auch existieren.

3. Zur Sicherheit: Es sollteggT(cj,n) = 1 gelten. Die Berechnung von Quadratwurzeln ist ein schweres Problem.

4. M¨oglichkeit f¨ur Betrug: RateS und sende±r²Q

j∈Sdjmodnalsx und

y =rals Antwort. Die Erfolgswahrscheinlichkeit betr¨agt hierf¨ur nacht Runden allerdings nur noch 2^−kt.

(55)

Identifikation

Identifikation durch die Kenntnis eines Geheimnisses (Fiat-Shamir) Idee: ¨ Ubertrage Shamir-Verfahren auf einen Vektor.

P: n, p, q, x, y V: n, x mit: y = (y

₁

, . . . , y

_t

)

und x = (y

₁²

, . . . , y

_t²

) und n = p · q

w¨ ahlt r ∈ Z Z

^∗_n

zuf¨ allig

a := r

²

a

_-

w¨ ahlt e ∈ {0, 1}

^t

e e = (e

₁

, . . . , e

_t

) zuf¨ allig

b := r Q

_t

i=1

y

_i^eⁱ

b

_-

Test b

^{2 ?}

≡ a Q

_t

i=1

x

_i^eⁱ