Bilginin kanıtı - Proof of knowledge

İçinde kriptografi, bir bilginin kanıtı bir etkileşimli kanıt Atasözünün bir doğrulayıcıyı, kanıtlayanın bir şeyler bildiğine 'ikna etmeyi' başardığı. Bir için ne anlama geliyor makine 'bir şeyi bilmek', hesaplama açısından tanımlanır. Makineye girdi olarak verilen bu bir şey hesaplanabiliyorsa, makine 'bir şeyler bilir'. Atasözünün programı mutlaka bilginin kendisini tükürmek zorunda değildir ( sıfır bilgi kanıtları^[1]) Bu fikri yakalamak için bilgi çıkarıcı adı verilen farklı bir programa sahip bir makine tanıtıldı. Çoğunlukla neyin kanıtlanabileceğiyle ilgileniyoruz polinom zamanı sınırlı makineler. Bu durumda, bilgi unsurları kümesi, bazılarının bir dizi tanığıyla sınırlıdır. dil içinde NP.

İzin Vermek ${displaystyle x}$ bir dil ifadesi olmak ${displaystyle L}$ NP'de ve ${displaystyle W (x)}$ ispatta kabul edilmesi gereken x için tanık seti. Bu, aşağıdaki ilişkiyi tanımlamamıza izin verir: ${displaystyle R = {(x, w): xin L, kazan W (x)}}$ .

İlişki için bir bilgi kanıtı ${displaystyle R}$ bilgi hatası ile ${displaystyle kappa}$ kanıtlayıcı ile iki taraflı bir protokoldür ${displaystyle P}$ ve bir doğrulayıcı ${displaystyle V}$ aşağıdaki iki özelliğe sahiptir:

Tamlık: Eğer ${R olarak displaystyle (x, w)}$ , sonra atasözü ${displaystyle P}$ kim tanığı bilir ${displaystyle w}$ için ${displaystyle x}$ doğrulayıcıyı ikna etmeyi başarır ${displaystyle V}$ bilgisinin. Daha resmi: ${displaystyle Pr (P (x, w) leftrightarrow V (x) ightarrow 1) = 1}$ yani kanıtlayıcı P ile doğrulayıcı V arasındaki etkileşim göz önüne alındığında, doğrulayıcının ikna olma olasılığı 1'dir.
Geçerlilik: Geçerlilik, bir bilgi çıkarıcının başarı olasılığının ${displaystyle E}$ tanığı çıkarırken, muhtemelen kötü niyetli bir kanıtlayıcıya oracle erişimi verildiğinde ${displaystyle {ilde {P}}}$ , en az kanıtlayanın başarı olasılığı kadar yüksek olmalıdır ${displaystyle {ilde {P}}}$ Doğrulayıcıyı ikna etmede. Bu Mülk, tanığı tanımayan hiçbir kanıtlayanın doğrulayıcıyı ikna etmede başarılı olamayacağını garanti eder.

Tanımla ilgili ayrıntılar

Bu daha kesin bir tanımdır Geçerlilik:^[2]

İzin Vermek ${displaystyle R}$ tanıklık ilişkisi olmak, ${displaystyle W (x)}$ kamusal değer için tüm tanıkların seti ${displaystyle x}$ , ve ${displaystyle kappa}$ bilgi hatası Bilginin bir kanıtı ${displaystyle kappa}$ -bir polinom zaman makinesi varsa geçerlidir ${displaystyle E}$ , Oracle'a erişim verildi ${displaystyle {ilde {P}}}$ öyle ki her biri için ${displaystyle {ilde {P}}}$ durum budur ${displaystyle E ^ {{ilde {P}} (x)} (x) W (x) fincan {ot}}$ ve ${displaystyle Pr (E ^ {{ilde {P}} (x)} (x) in W (x)) geq Pr ({ilde {P}} (x) leftrightarrow V (x) ightarrow 1) -kappa (x ).}$

Sonuç ${displaystyle ot}$ Turing makinesinin ${displaystyle E}$ bir sonuca varmadı.

Bilgi hatası ${displaystyle kappa (x)}$ doğrulayıcının olasılığını gösterir ${displaystyle V}$ kabul edebilir ${displaystyle x}$ atasözü aslında bir tanık tanımasa bile ${displaystyle w}$ . Bilgi çıkarıcı ${displaystyle E}$ bir bilginin ne anlama geldiğini ifade etmek için kullanılır Turing makinesi. Eğer ${displaystyle E}$ ayıklayabilir ${displaystyle w}$ itibaren ${displaystyle {ilde {P}}}$ bunu söylüyoruz ${displaystyle {ilde {P}}}$ değerini bilir ${displaystyle w}$ .

Geçerlilik özelliğinin bu tanımı, içindeki geçerlilik ve güçlü geçerlilik özelliklerinin bir kombinasyonudur.^[2] Küçük bilgi hataları için ${displaystyle kappa (x)}$ ör. ${displaystyle 2 ^ {- 80}}$ veya ${displaystyle 1 / mathrm {poli} (| x |)}$ daha güçlü olarak görülebilir sağlamlık sıradan etkileşimli provalar.

Genel etkileşimli provalarla ilişki

Belirli bir bilgi kanıtını tanımlamak için, yalnızca dili değil, aynı zamanda doğrulayıcının bilmesi gereken tanıkların da tanımlanması gerekir. Bazı durumlarda, bir dilde üyeliği kanıtlamak kolay olabilirken, belirli bir tanığı hesaplamak zor olabilir. Bu, en iyi bir örnekle açıklanır:

İzin Vermek ${displaystyle langle gangle}$ olmak döngüsel grup jeneratör ile ${displaystyle g}$ çözerken ayrık logaritma sorunun zor olduğuna inanılıyor. Dilin üyeliğine karar verilmesi ${görüntü stili L = {xmid g ^ {w} = x}}$ her şey gibi önemsiz ${displaystyle x}$ içinde ${displaystyle langle gangle}$ . Ancak tanığı bulmak ${displaystyle w}$ öyle ki ${displaystyle g ^ {w} = x}$ tutmalar, ayrık logaritma problemini çözmeye karşılık gelir.

Protokoller

Schnorr protokolü

Bilginin en basit ve en sık kullanılan kanıtlarından biri olan bir bilginin kanıtı ayrık logaritma, Schnorr'a bağlı.^[3] Protokol, bir döngüsel grup ${displaystyle G_ {q}}$ düzenin ${displaystyle q}$ jeneratör ile ${displaystyle g}$ .

Bilgisini kanıtlamak için ${displaystyle x = log _ {g} y}$ kanıtlayıcı, doğrulayıcıyla şu şekilde etkileşime girer:

İlk turda kanıtlayıcı kendini rastgeleliğe adar ${displaystyle r}$ ; bu nedenle ilk mesaj ${displaystyle t = g ^ {r}}$ böyle de adlandırılır taahhüt.
Doğrulayıcı, bir meydan okuma ${displaystyle c}$ rastgele seçilmiş.
Ulaştıktan sonra ${displaystyle c}$ , atasözü üçüncü ve son mesajı ( tepki) ${görüntü stili s = r + cx}$ grubun düzenini azalttı.

Doğrulayıcı, eğer ${displaystyle g ^ {s} = ty ^ {c}}$ .

Bunun geçerli bir bilgi kanıtı olduğunu görebiliriz çünkü aşağıdaki gibi çalışan bir çıkarıcıya sahiptir:

Kanıtlayıcıyı çıktıya benzet ${displaystyle t = g ^ {r}}$ . Atasözü şimdi eyalette ${displaystyle Q}$ .
Rastgele değer üret ${displaystyle c_ {1}}$ ve bunu kanıtlayıcıya girin. Çıktılar ${displaystyle s_ {1} = r + c_ {1} x}$ .
Atasözü duruma geri sarın ${displaystyle Q}$ . Şimdi farklı bir rastgele değer oluştur ${displaystyle c_ {1}}$ ve bunu kanıtlayıcıya girerek ${displaystyle s_ {2} = r + c_ {2} x}$ .
Çıktı ${displaystyle (s_ {1} -s_ {2}) (c_ {1} -c_ {2}) ^ {- 1}}$ .

Dan beri ${displaystyle (s_ {1} -s_ {2}) = (r + c_ {1} x) - (r + c_ {2} x) = x (c_ {1} + c_ {2})}$ çıkarıcının çıktısı tam olarak ${displaystyle x}$ .

Bu protokol şöyle olur: sıfır bilgi Ancak, bu özellik bir bilgi kanıtı için gerekli değildir.

Sigma protokolleri

Yukarıdaki üç hamleli yapıya (taahhüt, meydan okuma ve yanıt) sahip olan protokoller sigma protokolleri^{[kaynak belirtilmeli ]}. Yunan mektubu ${displaystyle Sigma}$ protokolün akışını görselleştirir. Sigma protokolleri, ayrık logaritmalarla ilgili olanlar gibi çeşitli ifadeleri kanıtlamak için mevcuttur. Bu ispatları kullanarak, kanıtlayıcı yalnızca ayrık logaritmanın bilgisini kanıtlamakla kalmaz, aynı zamanda ayrık logaritmanın belirli bir biçimde olduğunu da kanıtlayabilir. Örneğin, iki logaritmanın kanıtlanması mümkündür. ${displaystyle y_ {1}}$ ve ${displaystyle y_ {2}}$ bazlara göre ${displaystyle g_ {1}}$ ve ${displaystyle g_ {2}}$ eşittir veya diğerini yerine getirir doğrusal ilişki. İçin a ve b unsurları ${displaystyle Z_ {q}}$ , kanıtlayanın bilgisini kanıtladığını söylüyoruz ${displaystyle x_ {1}}$ ve ${displaystyle x_ {2}}$ öyle ki ${displaystyle y_ {1} = g_ {1} ^ {x_ {1}} arazi y_ {2} = g_ {2} ^ {x_ {2}}}$ ve ${displaystyle x_ {2} = ax_ {1} + b}$ . Eşitlik özel duruma karşılık gelir a = 1 ve b = 0. As ${displaystyle x_ {2}}$ olabilir önemsiz bir şekilde -den hesaplandı ${displaystyle x_ {1}}$ bu, bir bilginin kanıtlanmasına eşdeğerdir. x öyle ki ${displaystyle y_ {1} = g_ {1} ^ {x} arazi y_ {2} = {(g_ {2} ^ {a})} ^ {x} g_ {2} ^ {b}}$ .

Bu, aşağıdaki notasyonun arkasındaki sezgidir^[4], genellikle bir bilgi kanıtıyla tam olarak neyin kanıtlandığını ifade etmek için kullanılır.

{displaystyle PK {(x): y_ {1} = g_ {1} ^ {x} land y_ {2} = {(g_ {2} ^ {a})} ^ {x} g_ {2} ^ {b }},}

atasözünün bildiğini belirtir x yukarıdaki ilişkiyi yerine getiren.

Başvurular

Bilgi kanıtları, tanımlama protokollerinin ve bunların etkileşimli olmayan varyantlarında imza şemalarının oluşturulması için yararlı bir araçtır. Bu tür planlar şunlardır:

Schnorr imzası

Ayrıca yapımında kullanılırlar. grup imzası ve anonim dijital kimlik bilgisi sistemleri.

Ayrıca bakınız

Referanslar

^ Shafi Goldwasser, Silvio Micali, ve Charles Rackoff. Etkileşimli ispat sistemlerinin bilgi karmaşıklığı. Hesaplama Teorisi 17. Sempozyum BildirileriProvidence, Rhode Island. 1985. Taslak. Genişletilmiş özet
^ ^a ^b Mihir Bellare Oded Goldreich: Bilgi Kanıtlarının Tanımlanması Üzerine. KRİPTO 1992: 390–420
^ C P Schnorr, Akıllı kartlar için verimli tanımlama ve imzalar, G Brassard, ed. Kriptolojideki Gelişmeler - Kripto '89, 239–252, Springer-Verlag, 1990. Bilgisayar Bilimleri Ders Notları, nr 435
^ https://www.researchgate.net/publication/243300730_Efficient_Group_Signature_Schemes_for_Large_Groups

Dış bağlantılar

Helger Lipmaa'nın kriptoloji ipuçları

[1] Shafi Goldwasser, Silvio Micali, ve Charles Rackoff. Etkileşimli ispat sistemlerinin bilgi karmaşıklığı. Hesaplama Teorisi 17. Sempozyum BildirileriProvidence, Rhode Island. 1985. Taslak. Genişletilmiş özet

[odpk-2] Mihir Bellare Oded Goldreich: Bilgi Kanıtlarının Tanımlanması Üzerine. KRİPTO 1992: 390–420

[3] C P Schnorr, Akıllı kartlar için verimli tanımlama ve imzalar, G Brassard, ed. Kriptolojideki Gelişmeler - Kripto '89, 239–252, Springer-Verlag, 1990. Bilgisayar Bilimleri Ders Notları, nr 435

[4] ttps://www.researchgate.net/publication/243300730_Efficient_Group_Signature_Schemes_for_Large_Groups

[1]

[2]

[3]

[4]