信息安全-知識的零知識證明.doc

我們表示知識的零知識證明是一個證明者通過使一個論述的P 滿足于 PoK(a1,a2.an)|P(a1,.an)使得一個核實者信服。這個概念是從Camenish和Stadler上汲取過來的（修改他們的理論使得PoK代替PK）。B、主要的架構我們把知識的零知識證明當做是在構造塊以及以單獨的模塊來描述它們。知識的零知識證明顯示這里的非交互式證明在隨機預言模塊是安全的。在這個安全的證明里，我們表示這些協(xié)議的交互式模式的使用是不需要依靠隨機預言模塊并且能夠使零知識使用協(xié)議的正常執(zhí)行，這也就意味著零知識證明的順序執(zhí)行。當交互式的知識的零知識證明用Fiat-Shamir 啟發(fā)式理論在隨機預言模式下實例化和協(xié)議在同時執(zhí)行時，我們的證明就因為技術的原因被瓦解了，但是我們任然將我們的證明當做是為了執(zhí)行的安全兒做的啟發(fā)式的證明。構建（spk,ssk,）服務器在Zq集合中選擇x,y,z以及使得X=gx,Y=gy,Z=gz.這個服務公共秘鑰是spk=(q，G，GT，g, X，Y，Z)，服務的私有秘鑰是ssk=(x,y,z).服務器的狀態(tài)是由一對集合組成。它們初始化狀態(tài)下是為NULL。就像這樣=（，）。我們把第一個組件成為.cur以及第二個組件稱為.next.在所有的組件中，cur=|.cur|,next=|.next|。注冊：（，sk）1、 客戶端選擇從Zq處選擇d,r.用它們來構建M=(gd)*(Zr)并且將他們送到服務器端。2、 這個客戶端以證明著的角色以及服務器端以核實者的角色存在與知識的零知識證明。 PoK（d,r）|M=(gd)*(Zr). 如果上述證明失敗，則注冊失敗。3、服務器端從Zq*產生一個a值，并且使得A=ga.然后它形成了這個注冊號s=(A,B=Ay,Zb=Zay(=Bz),C=(Ax)*(Maxy)并且將產生的注冊號返回給客戶端。4、客戶端通過以下公式驗證收到的是否是為合法的注冊號： A！=1，e(g,B)=e(Y,A),e(g,ZB)=e(Z,B),e(g,C)=e(X,A)*e(X,B)d*e(X,ZB)r.否則，RegC輸出。5. 客戶端設置sk=(s,d,r).登陸（，cur）,）1、客戶端利用它的私有秘鑰（s=(A,B,ZB,C),d,r）來創(chuàng)建一個不知情的注冊號。這個客戶端選擇從Zq*中選擇r1,r2,并且創(chuàng)建盲注冊名s=(A,B,ZB,C),使得A=Ar1,B=Br1,ZB=ZBr1,C=Cr1r2.2、客戶端利用Yd(t)=gT(1/(d+t)創(chuàng)建登錄號。3、客戶端提交s,Yd(t)到服務器端。4、如果Yd(t).cur，則登錄失敗。5.否則，服務器通過如下方程進行驗證： e(g,B)=e(Y,A),e(g,ZB)=e(Z,B)如果不符合上述等式，則登錄失敗。6. 服務器端和客戶端分別進行如下計算： v=e(g,C) vx=e(X,A) vxy=e(X,B) vxy=e(X,ZB)7、客戶端以證明者的身份并且服務器端以核實者的身份存在于知識的零知識證明當中。PoK=（d,r,r）|vr=(vx)(vxy)d(vxy)rYd(t)=gT(1/(d+t).(這個客戶端利用的r=1/r2)如果證明失敗，則登錄失敗。8、 服務器端設置=（.curYd(t),.next）. 連接：（,next）,） (Re-UpS(ssk,next,t),Re-UpC(sk,spk,t) 1、客戶端利用sk=(s,d,r)提交Yd(t)=gT(1/(d+t),Yd(t+1)=gT(1/(d+t+1)到服務器端。 2、服務器端驗證收到的Yd(t).cur并且Yd(t+1).next.如果不是，則連接失敗。 3、客戶端以證明者的身份并且服務器端以核實者的身份存在于知識的零知識證明當中。PoKd|Yd(t)=gT(1/(d+t)Yd(t+1)=gT(1/(d+t+1).如果證明失敗，則連接失敗 4、這個服務器端增加Yd(t+1)到.next.。下一個響應時間：（，cur,next）EndEpoch(,cur,next)=(.next,). 接下來的證明能夠在這個論文的全部的版本下找到。 理論（健全性）：如果LRSW的假設支持G,那么上面的構建方法是健全的。 理論（匿名性）：如果DDHI的假設支持G，那么上面的構建方法是匿名的。 C、有效的改進我們的協(xié)議包含了幾個已經(jīng)進行了有效改進的基礎原始協(xié)議，它用到的方法是：改進了的CL注冊：這個基礎的CL注冊包含了第五個元素：Az=ZA在我們的概念中，這個A是客戶端sk的一部分和zssk.ZA,一個盲版本的ZA是客戶把它發(fā)送到注冊的知識的證明當中，能夠減少注冊有效性的再次構建的檢查。所以不再需要下面的等式進行驗證：e(A,Z)=e(g,ZA),e(ZA,Y)=e(g,ZB)上述等式用來證明ZA和ZB是正確的形成的，我們排除了ZA和前者的檢查，對于后者我們檢查 e（B，Z）=e(g,ZB)上式用來證明ZB的正確形成，去除這些元素減少了兩對的操作,這兩對操作分別是服務器驗證對這個元素正確形成的的檢查。這兩對操作占登陸的主要計算代價，所以這些刪除時非常重要的。一個服務器的登陸操作包括八對以及GT的六個指數(shù)。經(jīng)過測量我們知道了一對操作平均需要1950s,一個GT指數(shù)操作平均需要232s（從第五章中可以看到完整的關于對數(shù)以及指數(shù)的計算所需要的時間的介紹），這樣，我們理想狀態(tài)下在服務器中登陸可以通過減少1.2s的時間以提高效率。同步登陸和連接：一些我們的應用程序涉及到在當前時間點進行連接的時候能夠迅速的連接到下一個時間點。在這種情況下我們改變了這個協(xié)議以提高效率。我們能夠減少在不同的連接中出現(xiàn)的重復的指數(shù)計算所造成的代價：一個登陸使用的Y(t)以及在不同的登陸下連接序列Y(t)To Y(t+1),Y(t+1) to Y(t+2),Y(t+n-1) to Y(t+n )以及連接操作重復Y（t+1）.Y(t+n-1)的指數(shù)操作，這兩個操作的時間在客戶端從2566s減少到1393s 而在服務器端從1412s減少到921s。這是分別是1.8和1.5的改進。但是這個全部時間仍然是以登陸的書劍占主要。 D、知識的零知識證明 我們展示的知識的零知識證明是在隨機預言模式下是安全的，這個協(xié)議在匿名協(xié)議下被執(zhí)行： 注冊PoK：PoK（d,r）|M=(gd)*Zr 證明者：1、 在Zq中選擇rd,rr,計算R=Grd*Zrr.2、 使得c=H(g,Z,M,R)3、 發(fā)送（R，ad=cd+rd,ar=cr+rr）至核實者核實者：1、 計算c=H(g,Z,M,R)2、 檢查McR=gad*Zar登陸PoK：PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT(1/(d+t)我們重寫PoK（d,r,r）|vr=(vx)(vxy)d(vxy)rY(t)=gT*Y(t)(-t) 證明者：1、 在Zq中選擇rd,rr,rr,然后計算R1=vrr*(vxy)rd*(vxy)rr以及R2=Y（t）rd2、 設置c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)3、 發(fā)送（R1，ar=c*r+rr,ad=-cd+rd,ar=-cr+rr,R2）給驗證者驗證者：1、 計算c=H(v,vx,vxy,vxy,R1,gT,Y(t),R2)2、 檢查vxcR1=var*vxyad*vxyar和(gT*Y(t)(-t)(-c)*R2=Y(t)ad 連接PoK：PoKd|Y(t)=gT(1/d+t) Y(t+1)= gT(1/d+t+1) 我們重寫上式得到： PoKd|Y(t)d=gT*Y(t)(-t) Y(t+1)d= gT*Y(t+1)(-t-1)證明者：1、 在Zq中選擇r,設置Rt=Y(t)r以及R(t+1)=Y(t+1)r2、 設置c=H(gT,Y(t),Y(t+1),Rt,R(t+1)3、 發(fā)送（a=cd+r）給核實者核實者:1、 計算c=H(gT,Y(t),Y(t+1),Rt,R(t+1)2、 檢測（gT*Y(t)(-t)）c*Rt=Y(t)a以及（gT*Y(t+1)(-t-1)）c*R（t+1）=Y(t+1)a 四、設計 這個模塊描述了匿名協(xié)議系統(tǒng)的設計。這個系統(tǒng)是用來在我們在部署的實踐中使我們的協(xié)議實例化。我們在這個系統(tǒng)的各個功能室分隔開的系統(tǒng)里呈現(xiàn)我們的概念上的框架。在匿名協(xié)議系統(tǒng)里有三個主要的塊：客戶認證管理，服務器認證管理以及服務提供者傳輸控制。在我們的這個設計里，我們把這些模塊分別叫做客戶使用者代理，認證服務器以及資源通道。這個客戶使用者代理和認證服務器在密碼學協(xié)議里相當于客戶端以及服務器。這是資源通道使得潛在的服務用了通道，潛在的服務指的是那些給那些身份沒有被認證的用戶而被拒絕的服務。在匿名協(xié)議系統(tǒng)中的會話是時間點的序列，它開始于登陸，結束于用戶停止在此進入。數(shù)字1顯示了匿名協(xié)議系統(tǒng)的主要組件。我們從存在的服務里面描述分布式設置，在這個設置里面三個功能是分別實現(xiàn)的，即使是一個配置能夠合并這些功能。舉個例子，資源通道可能會被卷人早已存在的會話管理的組件當中。我們的系統(tǒng)支持內部和外部的認證服務器。一個內部的認證服務器和一個給自己提供匿名的通道的服務提供者一致。比如說，這個美國時間網(wǎng)站可能以額外的費用提供匿名的通道。一個外部的認證服務器和數(shù)字1一致。這個在認證服務器，資源通道，以及在用戶代理之間的交流是關于客戶和服務的。這個交流被用戶代理發(fā)動，而由認證服務器正是這個身份。這個認證服務器證實成功了這個身份之后又返回一個簽名記號給用戶代理。這個用戶代理傳送這個簽名記號到通道上并傳送這個信息給客戶應用軟件得以應用。這個應用軟件把這個記號作為一個包含它正常請求的cookie。這個通道檢查目前的這個簽名記號在當前的時間點上是不是沒有被使用，接下來代理人將這個鏈接到應用服務器上。這個應用服務器返回請求內容以及通過證實這個連接在返回給客戶端之前是否有效。對于一個實體提供匿名訪問的通道到早已經(jīng)存在的網(wǎng)絡服務。舉個例子來說，一個商業(yè)的匿名網(wǎng)絡代理(像 or )可能提供匿名的服務。我們的系統(tǒng)盡管不是以數(shù)字的形式描述，但是系統(tǒng)也完成了注冊。我們不討論注冊支付部分的協(xié)議。匿名的支付是獨立的和正交的問題?？赡艿慕鉀Q辦法是以電子現(xiàn)金和少量的硬幣的時候支付。 一個可能會允許在很短的時間內多次進入。如果一個用戶應用指導它不需要在短時間的從原來的動作中分割開它的目前的動作，它將會分批次處理這些有價值的能夠再次進入的操作