6.857计算机和网络安全
2002年10月22日
讲义13 :钯,零知识
讲师:罗恩·维斯特
抄写员:巴拉兹/ Gavacs /森/苏丹
[这是最初的文士笔记。该网络最终版本会出现更新的科幻居雷什。即,在
科幻居雷什将有较大的字体。 ]
1
概要
- 钯讨论
- 零知识证明
2
钯讨论
维斯特教授:
没有什么人喜欢/不喜欢钯金?
学生:
我认为这是有趣的思考是一个FF阿拉斯的各种其他组织
钯,像好莱坞,等等。
学生:
我不认为钯金将会FL年。他们还没有真正拿出杀手应用程序
的成本将是过高。什么是杀手级应用?电影和音乐发行?
维斯特教授:
难道电影发行是杀手级应用?这真的似乎是自己的驾驶
动机。
学生:
看来,虽然他们可以证明这一举措的唯一途径是,如果他们预想的PC
成为一个家庭影院系统的中心。使用个人电脑来控制DVD播放器,电视等
维斯特教授:
考虑这个问题的一个非常有用的方法是作为一个虚拟的嵌入式机顶盒。
学生:
他们怎么可以使用这个系统, DRM ,如果它不是物理防篡改?可能是由于
在DMCA那将是非法安装的双端口存储器。硬件攻击大概可以
进行数百美元或更小。电影可以被提取,然后分发。
维斯特教授:
此外DRM ,这哪是用来做什么?
学生:
可能是订阅服务,软件许可,或者盗版的控制。
学生:
整个TCPA框架提供了很多功能给企业。
学生:
它好像钯的右手侧不会真的用太大和
是不是强大到足以运行像Word等完整的应用程序
维斯特教授:
这让我想起了我们如何吸引用户和内核空间之间的区别,并
然后用微软的操作系统和插件和播放的人已经能够插入驱动器,
等进入内核空间。现在,所有他们所做的是画另一条线,并敢于外人跨越
该行。过了一会儿,各种代码将发现它的方式进入钯区域,然后
我们怎么办?绘制另一条线,使钯2 ?
0
五月
随意复制的教育或个人使用。
1
2
3
零知识证明
维斯特教授:
关于钯及其应用的任何其他问题。你们有多少人认为
钯金是不会佛罗里达州 ?一对夫妇十几个人举手。为什么不是去佛罗里达州 ?
学生:
没有足够的感知好处科幻吨给用户。我不认为最终用户的欲望存在。缺乏
的动机。也许政府机关和企事业单位会感兴趣。
维斯特教授:
这将是有趣的,看看如何推出:所以的事情钯做一
被烧伤的钥匙。
图1 :钯模型。这里的关系显示的按键实际上是在一个单独的芯片被称为
SSC的。
PK表示机器的身份。我们不一定要签署一切与PK ,因为
这将显示机器特定网络信息可能会危及我们的隐私。有一件事我们可以
做的是创造一个新的PK1和发送PK ,证书( PK ) ,和PK1到CERTI网络美食颁发机构(CA ) 。该
CA然后将返回证书( PK1 ) 。基本CERTI网络美食说,关键就属于钯
机,但没有说是哪一个。我们已经创建了一个别名,并提供匿名。
这种体系结构的问题是,在CA知道所有的映射从PK到PK1 。这
可能是你想要的,但如果没有,你可能真的是后一种方法说服了CA
你有钯机采用了PK / SK和CERTI音响美食,实际上并没有透露这些
项目。
这可怎么办呢?输入零知识( ZK )证明:
3
零知识证明
在一个零知识( ZK )证明,你基本上是试图说服你知道某处某人
没有告诉他那是什么,比如消息的事情
m
对应于一个已知的公共
密文
c.
3.1
一般设置
3
3.1
一般设置
P =证明器
想证明他知道
m
→
←
→
Y =回应
X =随机
挑战
W =见证
V = VERI连接器
要学习,如果P知道
m
测试( C,
w和x ,y)的。
接受,如果OK ,否则拒绝。
我们想要的协议,以满足下列性质:
1.如果
P
不知道
m,
然后
V
总是接受。 (完整性)
2.如果
P
不知道
m,
然后
P
不大可能说服
V
。 (安定性)
稳健性可通过展示被显示,如果
P
准备要到几双FF erent回应
挑战(对于相同的证人),则实际上
P
必须知道(或必须能够很容易地计算)
m.
我们也希望有该协议是
零知识:
在VERI网络连接器学习什么(零) ,
除了这一事实
P
知道
m.
3.2
3 ,着色性示例
我们有一个无向图, 5个顶点。我们可以用颜色的顶点有三种颜色,这样不
两个相邻顶点具有相同的颜色?
一个给定的图形可以有多种可能的色素,只有一个颜色,或者没有色素的。假设
我有一百万个顶点的图,我告诉你,我知道了如何使用3种颜色来颜色故。我想要
说服你,图为3着色瞒着你的色彩是什么。有一些
这样我就可以说服远程计算机,怀疑论者,我知道该怎么做着色不
话说着色是什么?
研究证明者(你的人,谁知道3色)之间的交换之后
在VERI网络连接器(远程计算机您正试图说服) :
对于给定的图着色,有着色的6二FF erent排列成为可能: RGB, RBG ,
BRG , BGR , GBR , GRB 。也就是说,你需要一个着色,只是重排的颜色分配
(例如,从RGB到RBG的,即分别为R的所有顶点都仍然R,其为G的所有顶点现在B等) 。
再次,这仅仅是为一种着色的证明器拾取。我们可以表示每个排列为
纸上的曲线和着色上板(见图4)。
[图4: 6的排列给定的图形3-着色的表示]
Do
t
时间:证明器:选取一个随机一堆( VERI连接器的片(图,着色排列)
不知道哪个堆放证明器选秀权),并把它放在桌子上覆盖了顶点的小贴纸
4
3
零知识证明
图2:具有5个顶点3-着色无向图的
VERI连接器:分2个相邻顶点证明器:将删除顶点VERI连接器选择的两个贴纸:
检查两个顶点具有双FF erent颜色(如果不是
也不行)
输出: OK
这个算法是多项式的曲线图(V + E的大小,其中V是顶点集合和E的
是一组边的) ,假定
t
通过在多项式界
|V |
和
|E|.
什么是该协议的属性?
- 完备性:如果证明器知道着色, VERI连接器始终接受
- 健全性:如果证明器不知道着色,将他赶上了显着的概率。
习题( VERI连接器拾取“坏边” )
≥
1
|E|
1
|E|
1
t
|E|
)
习题( VERI连接器挑选“好缘” )
≤
1
因此,在邻
t
试验:习题(坏的证明者逃脱检测)
≤
(1
≤
e
|E|
t
自
e
x
≥
1 +
x,
这个概率是通过上面界
e
-t / | E |
,这对于
t
=
|E|20
小于
e
20
.
Q:
If
t
is
|E| ×
20 ,你不揭超过图中的边数?
A:
是的,但每次暴露的边缘也可以是来自任何的6桩(在VERI连接器不
知道这堆用户选秀权)
我们将努力表明, VERI连接器并没有学到什么东西,如果这个计划之后。我们的想法是
有对颜色由每边显示之间没有相关性。
Q:
为什么不能证明者按作弊只是表示每对顶点所要求的双FF erent颜色
在VERI网络连接器(也就是揭示它们之前选择正确的顶点颜色和办法保证
3.3
利用离散对数的证明
5
图3 :证明器和VERI连接器之间交换的高级概述
该着色的作品) ?
A:
证明者居然承诺前手着色,因此,所有他能做的就是去除胶粘物
揭露顶点颜色。
Q:
是否证明者需要知道在这个方案中的所有可能的色素?
A:
否(看上面) 。证明者挑选一种着色,只是permutes的颜色分配(这样的
配色方案其实是一样的) 。
我们的非正式的“零知识”的证明:
该VERI网络连接器得到他的谈话与证明者,仅此而已(誊誊
体现了VERI音响器获得的所有信息) 。我们假设证明者采用相同的
的时间量,以应对每一个挑战(因此,举例来说, VERI连接器不能学习额外的东西
基于用于证明器响应所花费的时间) 。
我们从这个协议得到的信息是:
成绩单的这种分布可以通过VERI连接器进行仿真,无需认证装置的帮助。
3.3
利用离散对数的证明
我们现在给出一个零知识协议的另一个例证。该协议的目的是为
证明者说服他知道离散对数的VERI音响器
x
的公共价值(他的公开
键)
y.
全球公共参数:黄金
p,
灌注
q
分
p
1,
g
订单
q.
证明者的公钥:
y
=
g
x
MOD
p
6.857计算机和网络安全
2002年10月22日
讲义13 :钯,零知识
讲师:罗恩·维斯特
抄写员:巴拉兹/ Gavacs /森/苏丹
[这是最初的文士笔记。该网络最终版本会出现更新的科幻居雷什。即,在
科幻居雷什将有较大的字体。 ]
1
概要
- 钯讨论
- 零知识证明
2
钯讨论
维斯特教授:
没有什么人喜欢/不喜欢钯金?
学生:
我认为这是有趣的思考是一个FF阿拉斯的各种其他组织
钯,像好莱坞,等等。
学生:
我不认为钯金将会FL年。他们还没有真正拿出杀手应用程序
的成本将是过高。什么是杀手级应用?电影和音乐发行?
维斯特教授:
难道电影发行是杀手级应用?这真的似乎是自己的驾驶
动机。
学生:
看来,虽然他们可以证明这一举措的唯一途径是,如果他们预想的PC
成为一个家庭影院系统的中心。使用个人电脑来控制DVD播放器,电视等
维斯特教授:
考虑这个问题的一个非常有用的方法是作为一个虚拟的嵌入式机顶盒。
学生:
他们怎么可以使用这个系统, DRM ,如果它不是物理防篡改?可能是由于
在DMCA那将是非法安装的双端口存储器。硬件攻击大概可以
进行数百美元或更小。电影可以被提取,然后分发。
维斯特教授:
此外DRM ,这哪是用来做什么?
学生:
可能是订阅服务,软件许可,或者盗版的控制。
学生:
整个TCPA框架提供了很多功能给企业。
学生:
它好像钯的右手侧不会真的用太大和
是不是强大到足以运行像Word等完整的应用程序
维斯特教授:
这让我想起了我们如何吸引用户和内核空间之间的区别,并
然后用微软的操作系统和插件和播放的人已经能够插入驱动器,
等进入内核空间。现在,所有他们所做的是画另一条线,并敢于外人跨越
该行。过了一会儿,各种代码将发现它的方式进入钯区域,然后
我们怎么办?绘制另一条线,使钯2 ?
0
五月
随意复制的教育或个人使用。
1
2
3
零知识证明
维斯特教授:
关于钯及其应用的任何其他问题。你们有多少人认为
钯金是不会佛罗里达州 ?一对夫妇十几个人举手。为什么不是去佛罗里达州 ?
学生:
没有足够的感知好处科幻吨给用户。我不认为最终用户的欲望存在。缺乏
的动机。也许政府机关和企事业单位会感兴趣。
维斯特教授:
这将是有趣的,看看如何推出:所以的事情钯做一
被烧伤的钥匙。
图1 :钯模型。这里的关系显示的按键实际上是在一个单独的芯片被称为
SSC的。
PK表示机器的身份。我们不一定要签署一切与PK ,因为
这将显示机器特定网络信息可能会危及我们的隐私。有一件事我们可以
做的是创造一个新的PK1和发送PK ,证书( PK ) ,和PK1到CERTI网络美食颁发机构(CA ) 。该
CA然后将返回证书( PK1 ) 。基本CERTI网络美食说,关键就属于钯
机,但没有说是哪一个。我们已经创建了一个别名,并提供匿名。
这种体系结构的问题是,在CA知道所有的映射从PK到PK1 。这
可能是你想要的,但如果没有,你可能真的是后一种方法说服了CA
你有钯机采用了PK / SK和CERTI音响美食,实际上并没有透露这些
项目。
这可怎么办呢?输入零知识( ZK )证明:
3
零知识证明
在一个零知识( ZK )证明,你基本上是试图说服你知道某处某人
没有告诉他那是什么,比如消息的事情
m
对应于一个已知的公共
密文
c.
3.1
一般设置
3
3.1
一般设置
P =证明器
想证明他知道
m
→
←
→
Y =回应
X =随机
挑战
W =见证
V = VERI连接器
要学习,如果P知道
m
测试( C,
w和x ,y)的。
接受,如果OK ,否则拒绝。
我们想要的协议,以满足下列性质:
1.如果
P
不知道
m,
然后
V
总是接受。 (完整性)
2.如果
P
不知道
m,
然后
P
不大可能说服
V
。 (安定性)
稳健性可通过展示被显示,如果
P
准备要到几双FF erent回应
挑战(对于相同的证人),则实际上
P
必须知道(或必须能够很容易地计算)
m.
我们也希望有该协议是
零知识:
在VERI网络连接器学习什么(零) ,
除了这一事实
P
知道
m.
3.2
3 ,着色性示例
我们有一个无向图, 5个顶点。我们可以用颜色的顶点有三种颜色,这样不
两个相邻顶点具有相同的颜色?
一个给定的图形可以有多种可能的色素,只有一个颜色,或者没有色素的。假设
我有一百万个顶点的图,我告诉你,我知道了如何使用3种颜色来颜色故。我想要
说服你,图为3着色瞒着你的色彩是什么。有一些
这样我就可以说服远程计算机,怀疑论者,我知道该怎么做着色不
话说着色是什么?
研究证明者(你的人,谁知道3色)之间的交换之后
在VERI网络连接器(远程计算机您正试图说服) :
对于给定的图着色,有着色的6二FF erent排列成为可能: RGB, RBG ,
BRG , BGR , GBR , GRB 。也就是说,你需要一个着色,只是重排的颜色分配
(例如,从RGB到RBG的,即分别为R的所有顶点都仍然R,其为G的所有顶点现在B等) 。
再次,这仅仅是为一种着色的证明器拾取。我们可以表示每个排列为
纸上的曲线和着色上板(见图4)。
[图4: 6的排列给定的图形3-着色的表示]
Do
t
时间:证明器:选取一个随机一堆( VERI连接器的片(图,着色排列)
不知道哪个堆放证明器选秀权),并把它放在桌子上覆盖了顶点的小贴纸
4
3
零知识证明
图2:具有5个顶点3-着色无向图的
VERI连接器:分2个相邻顶点证明器:将删除顶点VERI连接器选择的两个贴纸:
检查两个顶点具有双FF erent颜色(如果不是
也不行)
输出: OK
这个算法是多项式的曲线图(V + E的大小,其中V是顶点集合和E的
是一组边的) ,假定
t
通过在多项式界
|V |
和
|E|.
什么是该协议的属性?
- 完备性:如果证明器知道着色, VERI连接器始终接受
- 健全性:如果证明器不知道着色,将他赶上了显着的概率。
习题( VERI连接器拾取“坏边” )
≥
1
|E|
1
|E|
1
t
|E|
)
习题( VERI连接器挑选“好缘” )
≤
1
因此,在邻
t
试验:习题(坏的证明者逃脱检测)
≤
(1
≤
e
|E|
t
自
e
x
≥
1 +
x,
这个概率是通过上面界
e
-t / | E |
,这对于
t
=
|E|20
小于
e
20
.
Q:
If
t
is
|E| ×
20 ,你不揭超过图中的边数?
A:
是的,但每次暴露的边缘也可以是来自任何的6桩(在VERI连接器不
知道这堆用户选秀权)
我们将努力表明, VERI连接器并没有学到什么东西,如果这个计划之后。我们的想法是
有对颜色由每边显示之间没有相关性。
Q:
为什么不能证明者按作弊只是表示每对顶点所要求的双FF erent颜色
在VERI网络连接器(也就是揭示它们之前选择正确的顶点颜色和办法保证
3.3
利用离散对数的证明
5
图3 :证明器和VERI连接器之间交换的高级概述
该着色的作品) ?
A:
证明者居然承诺前手着色,因此,所有他能做的就是去除胶粘物
揭露顶点颜色。
Q:
是否证明者需要知道在这个方案中的所有可能的色素?
A:
否(看上面) 。证明者挑选一种着色,只是permutes的颜色分配(这样的
配色方案其实是一样的) 。
我们的非正式的“零知识”的证明:
该VERI网络连接器得到他的谈话与证明者,仅此而已(誊誊
体现了VERI音响器获得的所有信息) 。我们假设证明者采用相同的
的时间量,以应对每一个挑战(因此,举例来说, VERI连接器不能学习额外的东西
基于用于证明器响应所花费的时间) 。
我们从这个协议得到的信息是:
成绩单的这种分布可以通过VERI连接器进行仿真,无需认证装置的帮助。
3.3
利用离散对数的证明
我们现在给出一个零知识协议的另一个例证。该协议的目的是为
证明者说服他知道离散对数的VERI音响器
x
的公共价值(他的公开
键)
y.
全球公共参数:黄金
p,
灌注
q
分
p
1,
g
订单
q.
证明者的公钥:
y
=
g
x
MOD
p
QQ:2880707522 复制
