Lesung 13

(1)

Lesung ¹³

Steffen Reith

2.2.17

(2)

FÄHIG

^ui

^{Das Fiat}

^.

^Shamir ^Protokoll

1

¥11

^"

Sei

mpg

^, ^wobei

p

^und ^q

große ^Primzahlen

^,

i, Sei AE

Zu

1209 _, dann hat ^x

!

_amodn _entweder

vier

Lösungen (

^a

_heißt quadratischen ^Rest

^, ^kurz ^: ^GR

)

oder

keine ( quadratisch

^er ^Nicht

rest

_, _kurz _q ^NR

)

.

ii ,

Das Berechnen

von

Quadratwurzeln

in Kn ist

etwa

genauso sehr wie die ^Fahtori

Sierung

^von ⁿ ^.

Initial _isioung

_- ^: ^"^würfelt ^/ ^wählt ^"

i_,

Alice berechnet Primzahlen pundg ^und

berechnet

ⁿ ⁼ _pg

(3)

ii ,

Alice

wählt

SEIT zufällig

^und ^berechnet ²

v =-3 modn .

Öffentlich

^: ^lo _, ^u

)

Geheim ^: ^S ^,^, ^Quadrat ^wurzel ^von ^v

"

Behauptung

^von Âlice ^" Îch ^kenne ^die ^Quadrat ^wurzel ^von ô

^!

"

Protokolle

ⁱ_,

^Alice

^wählt

^einreiht zufällig

^,

^berechnet

x ^±

Pnodu

und Schicht × ^an

Bob

.

( Commitment )

ii_,

Bob

würfelt

ein

Bit behalte

^* und schickt

es ^an Alice

( _Challenge )

(4)

iii _, Alice

berechnet yzrsbmodn

^und ^schickt ³

y

^an ^Bob ^C

^Response ⁾

iv_,

Bob prüft

^, ^ob

^g

^?^± ^x.

^vbmodn ⁽ Verifikation ⁾

BEI

^Alice ^kennt ^die ^Quadrat ^Wurzel ^s ^nicht , dann kann sie

in 50% der Fälle

betrügen

• Alice vermutet

, dass Bob ^b. ⁰ ^wählt

⇒ Alice arbeitet normal weiter

, denn s wird nicht

benötigt

• Alice vermutet _, _dass Bob b- ¹ wählt

⇒ Alice

berechnet Xt

^± ^x. ^o ^" ^modn ^und ^schickt ^x ^'

statt x an Bob

(5)

In der

Response

^-

^Phase

^schickt ^sie ^r ⁴

⇒ Während der

Verifikation

^s

phase gilt

^:

r ?

± x. o ± x. ötv modn , Also

akzeptiert ^Bob

Also

kann

^Alice

• mit

Wahrscheinlichkeit hz betrügen

.

Bob branch

mehrere

Runden

^um

überzeugt

^zu

sein

Fehlerwahrscheinlichkeit

^: 2- ^t bei t Runden

•

Bob

_muss _das

Bit

b

zufällig

^wählen

(6)

Sank ^Das

^Fiat ^- ^Shamir

Protokoll

ist

durchführbar

^, ⁵

korrekt und hat die Zero ^-

Knowledge Eigenschaft

^.

Beweise Durchführbarkeit

^:

^Kennt

^Alice ^die ^Quadrat ^-

Wurzel S

, dann kann sie immer

richtig ^antworten

^, ^da

y2± ⁽ ^rsb ⁾

^? ⁼ ^Ps ^" ^± ^× ^.

^vbmodn

Korrektheit

^Kennt ^Alice ^die

^Quadratur

^rzel

nicht

_,

so kann _sie _nicht beide

Fragen beantworten

Annahme ^: ^Sie kann es doch

, dann berechnet

sie ( _rs

)

^r ^" ⁼ ^s ^modn

^§

^denn ^dann ^könnte

(7)

Sie Quadratwurzeln ⁱⁿ

Zu ^berechnen

^und ^dies ^ist ⁶

ein schweres

Problem

LE in der

Praxis unmöglich

^, ^NP ^-

hart

• Zero ^-

knowledge

^-

Eigenschaft

^: ^Ein ^Simulator ^S ^arbeitet ^wie

folgt

^:

i, S wählt

rezia

^und ^ein

^Bit

^ceho.is

zufällig

Er schicht X ^±

Piemodu

an

Bob

ii ,

Bob

^wählt

zufällig

^ein

^beho.is

iii , Ist bac _, ^so kann _der _Simulator

korrekt

antworten

_, er schickt _ran

Bob

, denn

pzx.vba.ir?vic.vbmodn

⇒

korrekte Runde

iv_,

Ist b

# ^c _, so wird ^die Runde

gelöscht

^.

^#

(8)

7

-

Ende ^der _Vorlesung

^-

Lesung 13

Lesung 13

Steffen Reith

FÄHIG

Das Fiat

Shamir Protokoll

¥11

mpg

p

große Primzahlen

Zu

!

Lösungen (

heißt quadratischen Rest

)

keine ( quadratisch

rest

)

Das Berechnen

Quadratwurzeln

etwa

Sierung

Initial isioung

Alice berechnet Primzahlen pundg und

berechnet

Alice

SEIT zufällig

Öffentlich

)

Behauptung

!

Protokolle

Alice

einreiht zufällig

berechnet

Pnodu

Bob

( Commitment )

Bob

würfelt

Bit behalte

( Challenge )

berechnet yzrsbmodn

y

Response )

Bob prüft

g

vbmodn ( Verifikation )

BEI

betrügen

benötigt

berechnet Xt

Response

Phase

Verifikation

phase gilt

akzeptiert Bob

kann

Wahrscheinlichkeit hz betrügen

Bob branch

Runden

überzeugt

Fehlerwahrscheinlichkeit

Bob

Bit

zufällig

Sank Das

Protokoll

durchführbar

Knowledge Eigenschaft

Beweise Durchführbarkeit

Kennt

richtig antworten

y2± ( rsb )

vbmodn

Korrektheit

Quadratur

nicht

Fragen beantworten

)

Lesung ¹³

^{Das Fiat}

^Shamir ^Protokoll

große ^Primzahlen

_heißt quadratischen ^Rest

Initial _isioung

Alice berechnet Primzahlen pundg ^und

^!

^Alice

^einreiht zufällig

^berechnet

( _Challenge )

^Response ⁾

^g

^vbmodn ⁽ Verifikation ⁾

^Phase

akzeptiert ^Bob

Sank ^Das

^Kennt

richtig ^antworten

y2± ⁽ ^rsb ⁾

^vbmodn

^Quadratur

^§

Zu ^berechnen

^Bit

^beho.is

^#

Ende ^der _Vorlesung