Như vậy, để cho sơ đồ này là ràng buộc về mặt tính toán, cần phải giả thiết rằng Peggy không có khả năng tính căn bậc hai của m.. Bởi vì sơ đồ cam kết bit đảm bảo tính dấu kín không điều
Trang 1Ta sẽ mô tả hai sơ đồ ràng buộc bit thuộc loại này và sau đó đánh giá các kiểu sử dụng chúng trong giao thức tô đồ thị bằng ba màu
Sơ đồ đầu tiên được xây dựng trên bái toán các thặng dư bậc hai Giả
sử n = pq, trong đó p và q là các số nguyên tố và cho m ∈QR(n) (chú ý rằng trong sơ đồ trước m là một thặng dư giả bậc hai) Trong sơ dồ nàyPeggy
không nhất thiết phải biết phân tích của n và căn bậc hai của m Bởi vậy Vic hoặc phải xây dựng được các giá trị này hoặc chúng phải được thu nhận từ một người thứ ba (tin cậy được)
Cho X= Zn* và Y= QR(n) và định nghĩa
f(b ,n) =mbx2 mod n
Cũng như trước đây, Peggy sẽ mã hoá giá trị b bằng cách chọn một giá trị ngẫu nhiên x và tính blob y = f(b,x) Trong sơ đồ này, tất cả các blob đều
là các thặng dư bậc hai Hơn nữa một giá trị bất kỳ y∈ QR(n) có thể là bản mã hoá của 0 hay của 1 Giả sử y= x2 mod n và m= k2 mod n Khi đó:
y= f(0,x) = f(1,x,k-1 mod n)
Điều đó có nghĩa là sơ đồ này đạt được tính dấu kín không điều kiện Vậy điều kiện gì sẽ xảy ra đối với tính ràng buộc ? Peggy có thể mở một blob bất kỳ cho trước thành 0 hoặc 1 khi và chỉ khi cô ta có thể tính được k (là một căn bậc hai của m) Như vậy, để cho sơ đồ này là ràng buộc (về mặt tính
toán), cần phải giả thiết rằng Peggy không có khả năng tính căn bậc hai của
m (Nếu Peggy có đầy đủ sức mạnhthì dĩ nhiên cô ta có thể làm được điều đó
Đó là lý do phải giả thiết Peggy có khả năng tính toán hạn chế)
Để làm ví dụ cho một sơ đồ cam kết bit thứ hai thuộc loại này, xét một sơ đồ xây dựng trên bái toán logarithm rời rạc Cho p là một số nguyên tố sao cho bái toán logarithm rời rạc trong Zp* là một bái toán bất khả giải, cho α là một phần tử nguyên thuỷ của Zp* và cho β ∈Zp* Giá trị β phải được chọn bởi Vic hoặc một người thứ ba tin cậy (chứ không phải bởi Peggy) Sơ đồ này sẽ
có X= {0, ,p-1}, Y= Zp* và f được xác định bằng:
f(b,x) = βbαx mod p
Không khó khăn lắm có thể thấy rằng sơ đồ này có tính dấu kín không
điều kiện, và nó có tính dàng buộc khi và chỉ khi Peggy không có khả năng tính được logarit rời rạc logαβ
Trang 2Bây giờ giả sử ta dùng một trong hai sơ đồ cam kết bit trên trong giao thức về tính khả thi đồ thị bằng ba màu Dễ dàng thấy rằng, giao thức vẫn giữ
được tính đầy đủ Tuy nhiên điều kiện đúng đắn ở đây sẽ phụ thuộc vào mặt giả thiết về mặt tính toán: giao thức là đúng đắn khi và chỉ khi sơ đồ dàng buộc bit thoả mãn tính ràng buộc Điều gì sẽ xảy ra đối với khía cạnh không tiết lộ thông tin của giao thức? Bởi vì sơ đồ cam kết bit đảm bảo tính dấu kín không điều kiện nên giao thức này sẽ trở thành một giao thức không tiết lộ thông tin hoàn thiện chứ không chỉ là một giao thức không tiết lộ thông tin về mặt tính toán nữa Như vật ta đã có một luận cứ không tiết lộ thông tin hoàn thiện
Bảng 13.1 So sánh các tính chất của phép chứng minh và các luận cứ
lộ thông tin
Luận cứ không tiết lộ thông tin
Đầy đủ
Đúng đắn
Không tiết lộ thông tin
Giấu kín
Ràng buộc
Không điều kiện Không điều kiện
Về mặt tính toán Không điều kiện
Về mặt tính toán
Không điều kiện
Về mặt tính toán Hoàn thiện
Về mặt tính toán Không điều kiện
Tuỳ theo áp dụng cụ thể mà người ta có thể thích dùng một luận cứ hơn là dùng một phép nhứng minh Và khi nào thì ta phải đưa ra một giả thiết
về mặt tính toán cho Peggy hay cho Vic? Một so sánh tóm lược về các tính chất của các phép chứng minhvà các luận cứ được nêu ở bảng 13.1 ở cột
“chứng minh không tiết lộ thông tin ”,các giả thiết về mặt tính toán có liên quan tới năng lực tính toán của Peggy Trong cột “Luận cứ không tiết lộ thông tin”, các giả thiết về mặt tính toán có liên quan tới năng lực tính toán của Vic
13.6 Các chú giải vμ tái liệu hướng dẫn
Phần lớn các kiến thức trong chương này đều dựa theo tái liệu của Brassard, Chaum và Crépeau [BBC 88] và của Goldreich, Micali và
Wigderson [GMW 91] Các sơ đồ cam kết (ràng buộc) bít và các thoả luận về
sự khác nhau giữa các phép chứng minh và các luận cứ có thể tìm thấy trong [BBC 88](tuy nhiên cần để ý rằng thuật ngữ “luận cứ ” lần đầu tiên được sử dụng trong [BC 90] Các chứng minh không tiết lộ thông tin cho tính đẳng cấu đồ thị , tính không đẳng cấu đồ thị và tính khả tô đồ thị ba màu có thể tìm
Trang 3được trong [GMW 91] Một bái báo khác có liên quan là bái báo của
Goldwasser, Micali và Rackoff [GMR 89], trong bái báo này các hệ thống chứng minh tương hỗlần đầu tiên được định nghĩa một cách hình thức Chứng minh không tiết lộ thông tin cho bái toán các thặng dư bậc hai được lấy từ bái báo này
ý tưởng tung đồng tiền bằng điện thoại là của Blum [B1 28] Một minh hoạ có tính chất giải trí và rất không hình thức cho khái niệm không tiết lộ thông tin được Quisquater và Guilỏutình bày trong [QG 90] Cũng có thể xem trong [Jo 88] của Johnson là một tổng quan chặt chẽ hơn về mặt toán học cho các hệ thống chứng minh tương hỗ
Bái tập
13.1 Xét một hệ thống chứng minh tương hỗ cho bái toán các thặng dư
không bậc hai được mô tả ở hình 13.14 Hãy chứng tỏ rằng hệ thống là đúng
đắn và đầy đủ và giải thích tại sao giao thức này không tiết lộ thông tin
13.2 Hãy tạo ra một hệ thống chứng minh tương hỗ cho bái toán không là thành viên của nhóm con Hãy chứng mỉnh rằng giao thức của bạn là đúng
đắn và đầy đủ
13.3 Xét một phép chứng minh không tiết lộ thông tin cho các thặng dư bậc hai được trình bày ở hình 13.8
Hình 13.14 Một hệ thống chứng minh tương hỗ cho các thặng dư không bậc hai
1
Đầu vào: Một số nguyên n có phân tích n =pq chưa biết, trong đó p và q là các số nguyên tố, và x ∈ ?????????
1 Lặp lại các bước sau log2n lần:
2 Vic chộn một số ngẫu nhiên v∈Zn* và tính
y = v2 mod n Vic chọn ngẫu nhiên i= 0 hoặc 1 và gửi cho Peggy:
z = xiy mod n
3 Nếu z ∈ QR(n) thì Peggy xác định j= 0, ngược lại Peggy
sẽ xác định j=1 Sau đó cô ta gửi j cho Vic
4 Vic sẽ kiểm tra xem liệu i=j hay không
5 Vic chấp nhận phép chứng minh của Peggy nếu tính toán ở bước
4 được kiểm tra ở mỗi vòng trong log n vòng
Trang 4a.) Xác định một bộ ba hợp lệ là một bộ ba có dạng (y,i,z), trong đó y ∈
QP(n), i=0 hoặc 1, z∈Zn* và z2 ≡ xiy (mod n) Hãy chứng minh rằng số các bộ
ba hợp lệ là 2(p-1)(q-1), và mỗi một bộ ba nh− vậy sẽ đ−ợc tạo với xác suất nh− nhau nếu Peggy và Vic tuân theo giao thức
b) Hãy chỉ ra rằng Vic có thể tạo đ−ợc các bộ ba có cùng phân bố xác suất mà không biết phân tích n = pq
c) Hãy chứng minh rằng giao thức này là một giao thức không tiết lộ thông tin hoàn thiên đối với Vic
13.4 Xét phép chứng minh không tiết lộ thông tin cho bái toán thành viên của nhóm con đã đ−ợc mô tả ở hình 13.10
a) Hãy chứng tỏ rằng giao thức này đúng đắn và đầy đủ
b) Xác minh một bộ ba hợp lệ là một bộ ba có dạng (γ, i, h), trong đó γ
∈ Zn*, i = 0 hoặc 1, 0 ≤ h ≤ l – 1 và αh ≡ βi γ (mod n) Hãy chứng tỏ rằng số
các bộ ba hợp lệ là 2l và mỗi bộ ba nh− vậy sẽ đ−ợc tạo với xác suất băng
nhau nếu Peggy va Vic tuân thhủ giao thức
c) Hãy chứng tỏ rằng có thể tạo đ−ợc các bộ ba có cùng phân bố xác suất mà không cần biết logarithm rời rạc logαβ
d) Chứng minh răng giao thức này là một giao thức không tiết lộ thông tin hoàn thiệt đối với Vic
13.5 Chứng minh rằng sơ đồ cam kết bít logarithm rời rạc đ−ợc trình bày ở phần 13.5 là có tính giấu kín không điều kiện và chứng minh rằng nó có tính ràng buộc khi và chỉ khi Peggy không thể tính logαβ
13.6 Giả sử ta sử dụng sơ đồ ràng buộc bịt theo các thặng d− bậc hai đ−ợc mô tả ở phần 13.5 để có một luận cứ không tiết lộ thông tin cho phép tô đồ thị bằng ba màu Bằng cách dùng thuật toán giả mạo nêu ở hịnh 13.13 Hãy chứng minh rằng giao thức này là một giao thức không tiết lộ thông tin hoàn thiện đối với Vic
Tái liệu đọc thêm
Trang 5Kahn [KA 67], Koblit[Ko 87], Konheim[Ko 81], Kranakis[Kr 86],
Merezes[Me 93], Meyer và Matyas[MM 82], Patterson [Pa 87],
Pomerance[Po 90A], Rueppel [Ru 86], Salomaa[Sa 90], Schneier[Sc 93], Seberry và Pieprzk[SP 89], Simmons [Si 92B], van Tilborg [vT 88] và Welsh [We 88]
Bạn đọc nên đọc thêm một số giao trình và sách chuyên khảo khác về mật mã học sau đây: BecKer và Piper [BP 93], Beutelspacher[Be 94],
Brassard[Br 88], Biham và Shamir[BS 93], Denning[De 82],
Các tạp chí nghiên cứu chủ yếu trong mật mã học là Journal of
Cryptology và Designs, Codes and Cryptography Journal of Cryptography là tạp chí của Hiệp hội nghiên cứu mật mã quốc tế (IACR) Hiệp hội này cũng tái trợ hai Hội nghị chính về mật mã học đ−ợc tổ chức hàng năm là CRYPTO
và EUROCRYPT
CRYPTO đã đựoc tổ chức từ năm 1981 ở Santa Barabara Các báo cáo khoa học ở CRYPTO đã đ−ợc xuất bản hàng năm đáng kể từ 1982:
CRYPTO’ 82[CRS 83] , CRYPTO’ 83[CH 84], CRYPTO’ 84[BC 85] CRYPTO’ 85[WI 96], CRYPTO’ 86[Oo 87], CRYPTO’ [Po 88] CRYPTO’ 88[Go 90], CRYPTO’ 89[BR 90], CRYPTO’ 90[MV 91] CRYPTO’ 9[FE 92], CRYPTO’ 92[BR 93], CRYPTO’ 93[ST 94]
Và CRYPTO’ 94[DE 94]
EUROCRYPT đã đ−ợc tổ chức hàng năm kể từ năm 1982 (trừ các năm 1983
và 1986), các bái báo khoa học đã công bố gồm:
EUROCRYPT’ 82[BE 83], EUROCRYPT’ 84[BCI 85], EUROCRYPT’ 85[PX86], EUROCRYPT’ 87[CP 88], EUROCRYPT’ 88[GU 88A],
EUROCRYPT’ 90[DA 91], EUROCRYPT’ 91[DA 91A], EUROCRYPT’ 92[RU 93] và EUROCRYPT’ 93[HE 94]
Loại hội nghị thứ ba là AUCRYPT / ASIACRYPT đã đ−ợc tổ chức với
sự kết hợp của IACR Các báo cáo khoa học đã đ−ợc xuất bản bao gồm
AUCRYPT’ 90[SP90], ASIACRYPT’ 91[IRM 93] và AUCRYPT’ 92[SZ92]
