Zero-Knowledge-Beweis

Zu wissen , unvorsichtig Beweise (eng. Zero-Knowledge – Beweise ) ist eine spezielle Disziplin innerhalb kryptologien , dass eine Partei A zu können beweisen zu einer Partei B die (oft mathematische) Aussage wahr ist, ohne etwas anderes als diese Wahrheit enthüllt.

Eine Analogie in der realen Welt würde zum Beispiel. sein , dass eine Person konnte beweisen , dass er wusste , wer getötet John F. Kennedy , ohne enthüllt , wer der Mörder war.

Für einen Zero-Knowledge – Nachweis kann als gültig angesehen werden , wenn die folgenden drei Bedingungen erfüllt sein müssen:

  • Vollständigkeits : Ist die Aussage wahr, sei ein ehrlicher Empfänger die Antwort von der ehrlichen Absender akzeptieren.
  • Sicherheit : Ist die Aussage falsch, ein ehrlichen keine Beweise akzeptieren erhält , dass es wahr ist, von einem unehrlichen Absender – außer bei sehr geringer Wahrscheinlichkeit.
  • Wissen Gelöst : Ist die Aussage wahr, keine unehrlichen erhalten lernt etwas in diesem Zusammenhang aus dem Beweis des Satzes von dem ehrlichen Sender empfing.

Die ersten beiden Sätze sind allgemein für alle interaktiven Beweissysteme , während der dritte ist , was machtlos Beweise aus anderen Beweis trennt wissen.

Eine mögliche Anwendung des Wissens unvorsichtig Beweise Identifizierung . Das geheime Wissen als handeln könnte Passwort . A muss dann davon überzeugen , B , dass er das Passwort kennt , ohne zu offenbaren , was das Passwort ist. Dies wird als „Zero-Knowledge – Beweis des Wissens“ genannt.

Ein Zero-Knowledge-Beweis ist kein (gültige) mathematischer Beweis, der dann nur gewährleistet, in einem gewissen Spielraum, wie in den folgenden Beispielen gesehen werden wird. Der Zweck ist , einfach um die Wahrscheinlichkeit zu minimieren , dass eine Partei , jemand anderes zu sein vorgibt , – die Möglichkeit , kann nie ausgeschlossen werden. Aber wenn Sie ein Szenario nehmen , wo Angreifer haben eine 50% ige Chance , richtig zu erraten, und Wiederholen dieses Szenario 100 – mal, dann ist die Wahrscheinlichkeit , dass die Angreifer jedes Mal erraten können richtig auf 2 -100 (dh 7,8 * 10 – 31 ), die „gut genug“ für die meisten praktischen Anwendungen, aber mathematisch noch ungewiss.

nachlässig Beweise zu wissen , wurde zum ersten Mal in einem Artikel verwendete Zeit von Goldreich , Micali und Widgerson auf sichere Mehrparteien Berechnung .

Cave-Analogie

Es ist eine bekannte Geschichte , die einige der Prinzipien des Wissens erklärt lösen Hinweise darauf , dass erstmals von Jean-Jacques Quisquater und anderen veröffentlicht in ihrem „Erklären Wissen lösen Beweise für Kinder“ ( „How to Explain Zero-Knowledge – Protokolle Ihrer Kinder“ ) . Es ist üblich , die beiden Seiten eines (wissen aufgelöst) durch interaktiven Beweis zu nennen Peggy und Victor , Peggy ist der Beweis , führenden und Victor ist das Verifizieren.

In dieser Geschichte kennt Peggy ein geheimes Passwort, das eine Tür in einer Höhle öffnet. Die Höhle ist wie ein Kreis geformt, mit dem Eingang an einem Ende und der magischen Türsperrhohlraum in dem anderes. Victor möchte das geheime Passwort von Peggy kaufen, aber nicht, bevor er sicher ist, dass sie wissen, dass es tatsächlich. Peggy wird sagen Victor Passwort nicht, bevor sie das Geld erhalten. Sie machen deshalb ein System, in dem Peggy nachweisen kann, dass sie das Passwort, ohne zu sagen haben. Es sollte nur dann der Sieger muss Peggy zahlen, dann Peggy dann Victor Passwort erzählt.

Erster Victor außerhalb der Höhle wartet, während Peggy betritt. Wir nennen die beiden Wege von den Eingängen A und B nach links bzw. rechts. Sie nimmt Zufall Eingang A oder B. Nachdem sie von einer Eingangsfläche und an dem anderen Ende des Hohlraums eingetreten ist, geht in Victor. Er ruft dann den Namen des Eingangs, die Peggy raus aus – entweder A oder B zufällig ausgewählt. Victor weiß nicht, welchen Weg Peggy gegangen ist. Wenn Peggy hat auf dem Weg A gegangen, und Victor schreit A, so kann sie einfach wieder zurück. Aber wenn Victor B schreit, so sagt sie einfach das geheime Passwort, gehen durch die Tür und bekommen Ebenso aus dem Weg B., wenn sie in die B gegangen war, sie aus beiden Pfaden bekommen konnte. Danach wird wieder Victor, wählen Peggy einen Weg, der Victor zurückkommt und den Namen der Spur rufen, müssen sie raus.

Wenn sie das Passwort nicht wussten, so dass sie (im Durchschnitt) konnten nur jede anderen Zeit raus aus dem Weg, der Victor rief. Sie konnte natürlich glücklich sein, dass sie den gleichen Weg gewählt, dass Victor zufällig schrie, und sie tat dies mehrmals in einer Reihe, aber wenn sie wiederholt dies zum Beispiel 20-mal, dann ist die Wahrscheinlichkeit, dass sie die gleiche wie Victor errät zufällig sehr klein wählen. Denn nur wenn jedes Mal, wenn sie aus dem Weg geht, die Victor schreit, kann Victor darauf vertrauen, dass sie das Passwort kennen. Sie machen nur einen Fehler, er kann ihr nicht trauen.

Sie fragen sich vielleicht, warum sie nicht nur beide in die Höhle gehen, tritt Peggy den Pfad A und kommen aus dem Weg B, während Victor am Eingang wartet und sie sehen kann – es wäre wirklich zu beweisen, dass sie durchkommen konnte. Aber es ist eine Chance für „Abhören“. Victor muss natürlich nicht wissen, das Passwort, bis er bezahlt hat, so durch einen zufälligen Pfad Auswahl, Peggy sicher, dass Victor nicht nach ihrer Liste und das Passwort abfangen, während sie es sagt. Dass sie einen zufälligen Pfad wählen ermöglicht die Enthüllung von Informationen auf ein Minimum beschränkt wird.

NP-Vollständigkeit und wissen machtlos Beweise

Eine mögliche Implementierung des Wissens unvorsichtig Beweise dafür , dass die drei oben genannten Bedingungen erfüllt, ist eine verwenden NP-vollständiges Problem, da das Wissen , dass beide (die ehrliche) Sender und (die ehrliche) Empfänger. Zum Beispiel verwendet das folgende Problem eines Hamilton – Pfad , der in einem gegebenen Graphen vorhanden sein muss. Und verwendete zusätzlich Peggy als Beweis führenden Sender und Victor als die Überprüfung erhalten. Und später, Mallory eingeführt als aktiver Angreifer, die Vergangenheit Victor zu gehen versucht.

Peggy kennt einen Graphen G , in dem alle Knoten benannt und Peggy hat öffentlich gemacht. So kann jemand Peggy fragen für ihre öffentlichen Graph, und sie bekommen G zurückgeführt . In G weiß Peggy einen Hamilton – Pfad . Nur weiß Peggy diesen Hamilton – Pfad (sie kann beispielsweise auch ganze erfolgen G geht davon aus, dass es einen gewissen Hamilton – Pfad drin sein) und dann dem Problem, einen Hamilton – Pfad in einem Graphen zu finden , ist NP-vollständig , kann angenommen werden , unwahrscheinlich , dass eine andere Partei (zB Mallory), können Sie diese Schaltung in einer wahrscheinlichen Zeitraum finden.

Der Rest ist von fehlender enwiki – aber siehe Diskussion um es zu bekommen legte es besser.

Quelle

  • Douglas R. Stinson, Cryptography – Theorie und Praxis . CRC Press, 1995. ISBN 0-8493-8521-0 .