零知识证明ppt下载

这是零知识证明ppt，包括了身份证明技术，交互式证明，交互证明与数学证明的区别，身份识别方案的要求，Guillou-Quisquater身份识别方案，零知识证明，哈米尔顿回路等内容，欢迎点击下载。

零知识证明ppt是由红软PPT免费下载网推荐的一款课件PPT类型的PowerPoint.

第九章身份识别和零知识证明  一、身份证明技术 传统的身份证明： 一般是通过检验“物”的有效性来确认持该物的人身份。徽章、工作证、信用卡、驾驶执照、身份证、护照等，卡上含有个人照片(易于换成指纹、视网膜图样、牙齿等)。 信息系统常用方式： 用户名和口令 交互式证明 两方参与 示证者P(Prover)，知道某一秘密，使V相信自己掌握这一秘密； 验证者V(Verifier)，验证P掌握秘密；每轮V向P发出一询问，P向V做应答。V检查P是否每一轮都能正确应答。 交互证明与数学证明的区别 数学证明的证明者可自己独立的完成证明 交互证明由P产生证明，V验证证明的有效性来实现，双方之间要有通信 交互系统应满足 完备性：如果P知道某一秘密，V将接收P的证明 正确性：如果P能以一定的概率使V相信P的证明，则P知道相应的秘密 身份识别方案的要求 假设A和B是通信的双方，当A与B进行通信时， A首先要向B证明自己的身份。 一个安全的身份识别方案至少应该满足以下两 个要求： (1)A能向B证明自己的确是A (2)当A向B证明了自己的身份后，B得不到任何用于模仿A的有用信息，B无法向第三方声称自己是A. Guillou-Quisquater身份识别方案 Guillou-Quisquater身份识别方案的安全 性主要是基于RSA公钥密码体制的安全性. Guillou-Quisquater身份识别方案需要一 个可信当局，简称TA. Guillou-Quisquater身份识别方案 参数的选取： (1)TA选取两个大素数p和q，计算n=pq，p和q保密，而n公开. (2)TA选取一个大素数b作为安全参数，b公开，b所起的作用相当于RSA公钥密码体制中的加密密钥，可以防止攻击者模仿A. (3)TA选取一个Hash函数和一个签名方案. 假设TA的保密的签名算法为SigTA 。公开的签名验 证算法为VerTA .TA在对一个消息进行签名之前，首先 对消息做Hash变换，然后对Hash变换后的消息进行 签名。 Guillou-Quisquater身份识别方案 在Guillou-Quisquater身份识别方案中，用户A需要一个证书，证书中包含了经由TA签名的有关A的身份的一些信息，用户A的证书由TA颁发.证书是公开的，TA向用户A颁发证书的协议如下： (1)TA建立用户A的身份并产生一个表示A身份的字符串ID(A) (2)A秘密选取一个与n互素的整数u(0≤u≤n-1).A计算 v=(u-1)b modn，并将v传送给TA (3)TA产生签名 s=SigTA(ID(A)，v)， 并将证书C(A)=(ID(A)，v，s)传送给A Guillou-Quisquater身份识别方案 当A要向B证明自己的身份时，A和B执行下面的协议： (1)A随机选取整数k(0≤k≤n-1)，然后A计算 r=kb modn (2)A将其证书C(A)=(ID(A)，v，s)和r传送给B (3)B利用TA公开的签名验证算法来检验s是否为TA对 (ID(A)，v)的签名 (4)B随机选取整数t (0≤t≤b-1)，B将t传送给A (5)A计算 y=kut modn，A将y传送给B (6)B验证 r=vt yb modn是否成立.如果上式成立则B接受A的身份证明；否则拒绝A的身份证明. 二、零知识证明 最小泄露证明和零知识证明： 以一种有效的数学方法，使V可以检验每一步成立，最终确信P知道其秘密，而又能保证不泄露P所知道的信息。 零知识证明的基本协议 例[Quisquater等1989] 。 零知识证明的基本协议 (1) V站在A点； (2) P进入洞中任一点C或D； (3) 当P进洞之后，V走到B点； (4) V叫P从左边出来，或从右边出来； (5) P按要求实现(以咒语，即解数学难题帮助)； (6) P和V重复执行 (1)～(5)共n次。 若P不知咒语，则在B点，只有50 %的机会猜中V的要求，协议执行n次，则只有2-n的机会完全猜中，若n=16，则若每次均通过V的检验，V受骗机会仅为1/65 536 零知识证明的基本协议 说明： 在上述协议的执行过程中，V没有得到关于 咒语的任何信息，因此上述协议是一个零知 识证明协议. 零知识证明的基本协议 哈米尔顿回路 图论中有一个著名问题，对有n个顶点的全连通图G，若有一条通路可通过且仅通过各顶点一次，则称其为哈米尔顿回路。Blum[1986] 最早将其用于零知识证明。当n大时，要想找到一条Hamilton回路，用计算机做也要好多年，它是一种单向函数问题。若A知道一条回路，如何使B相信他知道，且不告诉他具体回路？ 哈米尔顿回路 (1) A将G进行随机置换，对其顶点进行移动，并改变其标号得到一个新的有限图H。因 ，故G上的Hamilton回路与H上的Hamilton回路一一对应。已知G上的Hamilton回路易于找出H上的相应回路； (2)A将H的复本给B； (3) B向A提出下述问题之一：(a) 出示证明G和H同构，(b) 出示H上的Hamilton回路； (4) A执行下述任务之一：(a) 证明G和H同构，但不出示H上的Hamilton回路，(b) 出示H上的Hamilton回路但不证明G和H同构； (5) A和B重复执行 (1)～(4)共n次。 零知识证明 设p和q是两个大素数，n=pq.假设P知道n的因 子.如果P想让V相信他知道n的因子，并且P不 想让V知道n的因子，则P和V可以执行怎样的 协议？ 零知识证明 (1) V随机选取一个大整数x，计算 y=x4 modn V将结果y告诉P (2) P计算 Z= modn P将结果z告诉V (3)V验证 z=x2 modn 是否成立. 上述协议可以重复执行多次，如果P每次都能正确地计 算 modn，则V就可以相信P知道n的因子p和q. 零知识证明 说明： 计算 modn等价于对n进行因子分解.如果P不知道n的因子p和q，则计算 modn是一个困难的问题.因此，如果P不知道n的因子，则在多次重复执行上述协议的情况下，P每次都能正确地计算 modn的概率是非常小的。显然，在上述协议中，V没有得到关于n的因子p和q的任何信息，因此上述协议是一个零知识证明协议.2V0红软基地