Điểm:0

Bằng chứng kiến ​​​​thức không về mã hóa ElGamal chính xác

lá cờ do

Giả sử cho $sk = x$, $pk = g^x$ chúng tôi mã hóa tin nhắn $m$ với mã hóa ElGamal như $(g^r,m\cdot pk^r)$. Mục tiêu của tôi là chứng minh rằng tôi đã thực hiện mã hóa chính xác, tức là giống nhau $r$ được sử dụng trên $g^r$$m\cdot pk^r$.

tôi đã nghĩ ra một cách đơn giản $\Sigma$-protocol để hiển thị điều này như sau:

  1. văn mẫu $q_1,q_2$, tính toán $R_1 = q_1\cdot pk^{q_2}$$R_2 = g^{q_2}$ và gửi $R_1, R_2$ cho Người xác minh.
  2. Người xác minh gửi thử thách ngẫu nhiên $e$ để chứng minh.
  3. Prover tính toán $z_1 = q_1 \cdot m^e$$z_2 = q_2 + e\cdot r$. gửi $z_1$$z_2$ để xác minh.
  4. Người xác minh kiểm tra nếu $R_1 \cdot (m \cdot pk^r)^e= z_1 \cdot pk^{z_2}$$R_2 \cdot (g^r)^e = g^{z_2}$

Kiểm tra toán bằng bút và giấy nhưng tôi không chắc liệu mình có bỏ sót điều gì không? (câu hỏi này là phần tiếp theo của một câu hỏi liên quan cũ hơn của tôi: Bằng chứng về tính chính xác của mã hóa ElGamal được cung cấp một khóa chung cụ thể). Ví dụ, có một cơ hội mà $z_1$ trong thực tế có thể rò rỉ thông tin về tin nhắn $m$?

Điểm:1
lá cờ my

Bằng chứng không hoạt động (ngay cả khi bạn sửa nó bằng cách yêu cầu người chứng minh ban đầu gửi $R_1, R_2$, còn hơn là $q_1, q_2$, mà bạn có thể dự định); người nắm giữ khóa riêng có thể tạo ra bằng chứng hợp lệ, ngay cả khi bản mã không thực sự giải mã thành bản rõ.

Giả sử người chứng minh có khóa công khai $pk$ (và khóa riêng tương ứng); anh ấy có một tin nhắn $M'$ không liên quan đến bản mã $C$. Sau đó, đây là cách anh ta có thể tạo ra một 'bằng chứng':

  • Bước 1, 2 tiến hành như quy định

  • Ở bước 3, anh ta tính toán $z_2 = q_2 + e \cdot r$ (như được chỉ định), tuy nhiên anh ta tính toán $z_1 = R_1 \cdot C^e \cdot pk^{-z_2}$

  • Ở bước 4, người xác minh sẽ lưu ý rằng cả hai mối quan hệ đều được giữ nguyên.

(Rằng người xác minh không bao giờ sử dụng giá trị của bản rõ được cho là bằng chứng được cho là đủ để cho thấy rằng có điều gì đó còn thiếu ở đây ...)

lá cờ do
Cảm ơn bạn đã sửa lỗi $R_1, R_2$. Vì vậy, mục tiêu ban đầu của tôi là chỉ ra rằng người tục ngữ đã sử dụng cùng một mức độ ngẫu nhiên $r$ cho hai bản mã ElGamal. Bằng chứng này có ngăn người chứng minh gửi một cái gì đó như $(g^r, m \cdot pk^{r'}$ và $r \neq r'$ không?
Manish Adhikari avatar
lá cờ us
@Panos Có phải người xác minh đã biết $m$ không. Nếu không thì tuyên bố là tầm thường: $m$ luôn tồn tại và nó thực sự là bằng chứng về việc biết $m$ bởi một người không nắm giữ khóa riêng. Trong trường hợp đó, điều này có vẻ ổn, (tôi chưa xem phiên bản gốc): cả trình giả lập và trình trích xuất trình xác minh trung thực đều tồn tại. Mặt khác, giao thức sigma cho bộ dữ liệu DDH có sẵn, có thể bạn có thể sử dụng giao thức đó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.