第四十六个知识点 在Sigma协议中,正确性,公正性和零知识性意味着什么
第四十六个知识点 在Sigma协议中,正确性,公正性和零知识性意味着什么
Sigma协议
Sigma协议是Alice想要向Bob证明一些东西的协议(Alice知道一些秘密)。他们有下面的一般范式:Alice知道一个秘密,Alice和Bob都分享了一些相同的信息。因此:
- Alice给Bob发送了一个值,这个值叫做承诺(commitment)。
- Bob均匀的随机选择一个挑战(challenge)发送给Alice。
- Alice计算一个回应(response)发送给Bob。
- Bob检查回应,接受或者拒绝Alice的解释。
传说中,如果你把上面的过程画成一个图,这个图看起来像sigma(\(\sigma\)),所以这个协议就叫Sigma协议。(原来是这样啊2333)
在密码学中,我希望Sigma协议有下面的属性:
- 正确性,如果每个人都做了他们应该做的,Bob应该接受。
- 公正性,如果Alice撒谎了,Bob可以知道(Alice不能欺骗Bob让他接受错误的结果)。
- 零知识性,如果Alice说真话了,那么Bob不能知道她的秘密输入是什么。
一个更一般的理解
在提供了一个粗略的概述之后,我们现在根据David的[博士论文]https://www.cs.bris.ac.uk/~bernhard/thesis.pdf提供了一个更正式的处理方法。
定义Sigma协议
让\(k\)是一个域。我们对一个线性函数感兴趣\(f:W \rightarrow X\),从\(k\)维空间到另一个空间的映射,其中Alice和Bob都知道一些公共的\(x \in X\)。同时Alice也知道一个秘密\(w \in W\),使得\(f(w) = x\)。Alice想要给Bob证明她知道\(x\)的原像。
如果很多密码学都在椭圆曲线上完成。椭圆曲线是一组\(P=(x,y)\)形式的点和一个特殊的点“在无穷远处”,它是曲线的一个特别的成员。这些点都满足一些方程,最重要的是椭圆线中的加法使得椭圆曲线满足群的条件。每次由一个大素数\(p\)开始,在基\(k = F_p\)上计算,同时考虑点\(P\)在\(E_p = E \cap \mathbb F_p \times \mathbb F_p\)。
许多椭圆曲线协议从使用点乘法生成密钥对开始:每个人协商一个共同的公共的基点\(P\)。然后一个人能选择一个密钥\(x \in F_p\)。然后计算相关的公钥\(Y = x \cdot P\)。如果Alice想要在某处注册她的公钥,如果注册员要求她证明她知道相关的密钥,否则她可以将其他人的密钥注册为自己的密钥,这对安全性是有好处的。但是爱丽丝当然不应该把她的秘密钥匙告诉登记员。例如,她可以使用Sigma协议来证明她知道自己声称知道的密钥,而不需要透露。
如果一个人能采取\(W = \mathbb F_p\)作为一个\(k\)维向量,同时\(X = E_p\),点乘固定的基点,特殊的,\(f:W \rightarrow X\),\(w \mapsto w \cdot P\)是一个线性函数。矩阵乘积函数也是如此。假设Alice有一个密钥\(x\)有一个公钥\(Y = x \cdot P\),同时有人给她发送了一个ElGamal密文\((C,D)\)。她想要解密,然后证明她已经成功的解密了,一种方式就是计算一个解密\(S = x \cdot C\)。解密就是\(D-S\),任何人都能从\((C,D)\)和\(S\)计算出来。因此ALice想要展示她知道\(x\),\(Y = x \cdot P\)和\(S = x \cdot C\)。因此我们设置\(W = k,X = E_p \times E_p\),同时\(f(x)=(x \cdot P,x \cdot C)\)线性函数\(f:W \rightarrow X.\)
Sigma协议\(f:W->X\)就是下面的结构。Alice知道\((x,w) \in X \times W\),\(f(w) = x\),Bob知道\(x\)。
1.Alice选择\(r \in W\)随机的。设置\(A = f(r)\),然后把\(A\)发送给Bob。这就是承诺(Alice对\(r\)进行承诺)。
2.Bob选择一个\(c \in k\)随机的,然后发送给Alice。这就是挑战。
3.Alice计算\(s = r+c \cdot w\)。然后发送\(s\)给Bob。
4.如果\(f(s) = A+c \cdot x\)成立,Bob接受。
让我们来看Sigma协议的性质。
正确性
在刚才的协议中,正确性意味着如果每个人都遵守协议,那么协议按部就班的进行。在Sigma协议的上下文中,这意味着Alice和Bob这么做,Bob最后应该接受状态。这是对的因为\(f\)是线性的。
公平性
公平性意味着Alice不能证明一个错误的陈述。大多数人都会很迷惑因为这是他们首先知道的是Schnoor协议,证明\(y = x \cdot P\),因此Alice证明这样的\(x\)存在。但是这是显而易见的!(Alice也证明了她知道\(x\),虽然很有趣,但这是另一个属性了。)让我们看看例子,Alice证明\(S\)是正确的在公钥\(Y\)下对\(C\)的解密。因此,Alice证明\(x\)存在,使得\(Y = x \cdot P\)和\(S = x \cdot C\)。这里说的就是函数\(f\)的原像是二维k-向量空间\(X\)的一维子空间。在我们的表示中,公平性意味着Bob不会接收(除非以可忽略概率)不是\(f\)原像的\(x\)。
Sigma协议是公平的。实际上,协议的属性不止于此,它存在的性质叫做特殊公平性。非正式的,考虑Alice已经发送给Bob的承诺\(A\)。针对哪个\(c\)(Bob提供的),Alice能找到一个\(r\)使得Bob接受?如果Alice存在\(1/|K|\)的可能让Bob接受(\(|K|\)是指数空间大的)。特殊公平性就是说,如果Alice能让Bob从\(|K|\)个挑战中找到两个挑战,那么这两个挑战分别是\((c,s)\)和\((c^{'},s^{'})\)。通过代数计算我们就有\(d = (c-c^{'})^{-1},w = d \cdot (s-s^{'})\)。这样计算出\(w\)那么只能满足其中一个等式。
零知识性
这个协议是公平的,Bob很高兴。但是Alice仍然需要知道Bob不能从协议中知道\(w\)的值。实际上Alice要的更多,尽管Alice向Bob证明的秘密,但是Bob不应该能向Charlie证明Bob知道这个秘密。零知识说得更多,Bob从协议中什么也没学到,除了Alice知道\(w\)。
这个Sigma协议的零知识证明......并不存在!与人们在课本零知识一章中学习Sigma协议后可能会猜测的相反,Sigma协议通常不是零知识,而密码学的初学者在考试时最好记住这一点。(他们满足了一个较弱的要求,称为诚实验证者零知识。)
然而,在零知识的背景下讨论Sigma协议并不是完全武断的:人们可以通过几种方式使它们成为零知识,其中最实用的是使它们成为非交互的。但这是下周的话题……