Tham gia Đăng nhập
Điểm:1
avatar Crypto

Bằng chứng kiến ​​thức về khóa riêng từ trao đổi khóa DH

lá cờ us
David Kester

Đưa ra một nhóm trong đó giả định DiffieâHellman (DH) tính toán nắm giữ và trình tạo g.

Giả sử có một bộ khóa riêng được chọn ngẫu nhiên {a, b, c, d, e,...} và bộ khóa công khai tương ứng {A, B, C, D, E,...} tính như A=aG. Mỗi khóa công khai được liên kết công khai với người dùng/chủ sở hữu tương ứng của nó.

Alice có thể sử dụng khóa riêng của mình một và khóa công khai của Bob, b, tính toán K=aB. Cái này K được sử dụng làm thẻ cho cả người dùng, có thể được cung cấp công khai, vì nó sẽ không được sử dụng để mã hóa tin nhắn, chỉ như một tài liệu tham khảo. Bob có thể xác minh điều này bằng cách biết rằng Alice đang đưa ra yêu cầu (giả sử điều này), tính toán K'=bA và kiểm tra nếu K=K'. Chỉ Alice và Bob mới có thể biết rằng điều này K có liên quan đến họ.

Từ giả định DH tính toán, K là vô nghĩa đối với những người dùng khác. Và K là một cách để theo dõi sự kết hợp này cho những người dùng có liên quan, trong trường hợp này là Alice và Bob. Tôi giả định rằng bây giờ điều này K là duy nhất cho mỗi tổ hợp khóa riêng.

Có thể chứng minh rằng K chứa hai khóa riêng khác nhau từ bộ khóa riêng mà không tiết lộ khóa riêng?

Các khóa riêng tư/công khai cần được sử dụng để tạo một kết hợp khác, giả sử trong trường hợp Alice và Charlie, acG. Do đó, (M)LSAG, như được sử dụng trong Moreno, không thể sử dụng được vì các khóa cần được sử dụng lại và một liên kết như vậy có thể tiết lộ cho Charlie rằng Alice đã thực hiện một số loại giao dịch với người khác từ bộ khóa công khai.

Tôi muốn có bằng chứng này để mọi người dùng có thể xác minh rằng K hợp lệ, (nghĩa là được tính toán bằng cách sử dụng các khóa riêng tư từ tập hợp), để tránh thư rác. Một người dùng độc ác chỉ có thể tạo K ngẫu nhiên bằng khóa riêng của anh ấy/cô ấy nhưng sẽ vô nghĩa với những người khác. Một chuỗi khối sẽ được sử dụng để theo dõi các tài liệu tham khảo.

LSAG viết tắt của Nhóm ẩn danh tự phát có thể liên kết và M cho phiên bản ma trận.

132
0 + 0
Điểm:1
Geoffroy Couteau avatar Crypto
lá cờ cn
Geoffroy Couteau

Nếu tôi hiểu đúng, bạn muốn có một cách để chứng minh, đưa ra một danh sách $\{A, B, C, D, \cdots\}$ của các khóa công khai, rằng một số khóa đã cho $K$ là "thẻ" tương ứng với một cặp khóa từ danh sách này mà không tiết lộ khóa nào. Hãy để tôi gọi đây là "thẻ hợp lệ".

Để đơn giản, giả sử rằng $K$ là thẻ của Alice và Bob. Alice hoặc Bob có thể chứng minh rằng $K$ là một thẻ hợp lệ, sử dụng các kỹ thuật chứng minh không có kiến ​​thức tiêu chuẩn. Theo trực giác thì là thế này:

(1) Nếu cặp $(A,B)$ không được phép ẩn, thì Bob chỉ có thể thực hiện một bằng chứng không biết rằng $(G,A,B,K)$ là một bộ Diffie-Hellman, sử dụng nhân chứng của anh ta $b$ (như vậy mà $G^b = B$$A^b = K$). Có bằng chứng không kiến ​​​​thức tiêu chuẩn cho mối quan hệ này, xem ví dụ câu trả lời của tôi đây.

(2) Để giữ ẩn cặp, ta thay câu: thay vào chứng minh “$(G,A,B,K)$ là một bộ Diffie-Hellman", Bob chứng minh mệnh đề "$(G,A,B,K)$ là một bộ Diffie-Hellman, HOẶC $(G,A,C,K)$ là một bộ Diffie-Hellman, HOẶC $(G,A,D,K)$ là một bộ Diffie-Hellman...", v.v. (đối với mỗi cặp khóa công khai riêng biệt). Sau đó, sử dụng CD HAY thủ thuật, chúng ta có thể chuyển đổi bằng chứng không kiến ​​thức cho quan hệ Diffie-Hellman thành bằng chứng không kiến ​​thức cho OR của nhiều quan hệ Diffie-Hellman (đặc biệt, bằng chứng thu được sẽ không tiết lộ mệnh đề nào trong OR là đúng một).

Trên đây là giải pháp đơn giản nhất, trực tiếp nhất. Tất nhiên, nó rất tốn kém: chi phí của bằng chứng tăng lên khi $n\cdot(n-1)/2$ lần chi phí của một bằng chứng Diffie-Hellman (hoặc $n$ lần nếu chúng tôi có thể tiết lộ danh tính của một trong hai bên liên quan đến thẻ $K$). Có các giải pháp để giảm chi phí, nhưng chúng sử dụng các kỹ thuật mã hóa tiên tiến hơn đáng kể. Một ví dụ điển hình là một trong nhiều bằng chứng cho phép chính xác loại bằng chứng OR này, nhưng với giao tiếp logarit trong số lượng mệnh đề OR.

Điều cuối cùng: nếu bạn muốn mọi người kiểm tra bằng chứng và không muốn thực hiện lại bằng chứng với mọi người, thì bạn có thể làm cho bằng chứng không tương tác trong mô hình tiên tri ngẫu nhiên bằng cách sử dụng biến đổi Fiat-Shamir; theo cách này, nó trở nên có thể kiểm chứng công khai. Ngoài ra, lưu ý rằng khi một bên gửi bằng chứng này, điều này sẽ luôn làm rò rỉ thông tin: ví dụ: thực tế là Bob gửi bằng chứng rằng $K$ là một thẻ hợp lệ luôn tiết lộ rằng Bob có thể tự kiểm tra điều đó ngay từ đầu, điều đó có nghĩa là khóa công khai của Bob là một trong những khóa liên quan. Nó có thể ổn trong kịch bản của bạn, nhưng bạn phải rõ ràng với điều đó.

0 + 0
lá cờ us
David Kester
Bạn đã hiểu đúng và đánh giá cao câu trả lời chi tiết của bạn! Tôi sẽ nghiên cứu cả hai bài báo.Về bằng chứng đắt giá, thay vì tạo câu lệnh bằng cách sử dụng từng cặp khóa công khai riêng biệt, tôi đã nghĩ rằng người ta cũng có thể chọn một tập hợp con nhỏ. Cũng giống như số lượng mixin trong Monero.
0
Hồi đáp
lá cờ us
David Kester
Đọc [FS](https://eprint.iacr.org/2016/771.pdf) và [Ghi chú chứng minh tri thức bằng không](https://web.mat.upc.edu/jorge.villar/doc/notes/ DataProt/zk.pdf), liệu có đúng không khi nói rằng việc sử dụng thủ thuật CDS sẽ dẫn đến Bằng chứng Chaum-Pedersen phân tách? Vì các máy phát điện không hoạt động độc lập nên tôi không chắc nói như vậy có đúng không.
0
Hồi đáp
Điểm:0
Match Man avatar Crypto
lá cờ it
Match Man

Tôi chưa bao giờ biết trường hợp thực tế nào để ECDH được sử dụng cho một tập đoàn của các cặp chìa khóa như vậy. Có những cách chính thức để tách ra tiết ra cho một nhóm người nhiều hơn 2. e.g. https://en.wikipedia.org/wiki/Secret_sharing

AFAIK, ECDH Nên được sử dụng để tạo bí mật được chia sẻ giữa chính xác 2 các bữa tiệc.

Từ giả định DH tính toán, K là vô nghĩa đối với những người dùng khác. Và K là một cách để theo dõi sự kết hợp này cho những người dùng có liên quan, trong trường hợp này là Alice và Bob. Hiện tại tôi giả định rằng K này là duy nhất cho mỗi tổ hợp khóa riêng.

Bạn có thể có một số hiểu lầm với chia sẻ bí mật, nhưng K cũng vô nghĩa đối với Alice và Bob để theo dõi khóa riêng của nhau. Bản chất của phép nhân vô hướng ECC, mà bạn đã sử dụng để tạo khóa chung, là một chiều. Về mặt toán học, cách Alice có thể tìm khóa riêng của Bob là sử dụng hết tất cả các điểm trong một không gian lớn như 2^256 hoặc lớn hơn, đó thực sự là cứng để làm với tài nguyên tính toán hiện tại trên trái đất.

0 + 0
lá cờ us
David Kester
Xin chào Match Man, Bob (hoặc Alice) chỉ cần kiểm tra _K_ đối với các phần tử của bộ khóa chung và khóa riêng của Bob (hoặc Alice). Nếu không khớp thì Bob có thể bỏ qua _K_.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.