Vietebooks Nguyn Hong Cng Trang 26 Ta sẽ mô tả hai sơ đồ ràng buộc bit thuộc loại này và sau đó đánh giá các kiểu sử dụng chúng trong giao thức tô đồ thị bằng ba màu. Sơ đồ đầu tiên đợc xây dựng trên bái toán các thặng d bậc hai. Giả sử n = pq, trong đó p và q là các số nguyên tố và cho m QR(n) (chú ý rằng trong sơ đồ trớc m là một thặng d giả bậc hai). Trong sơ dồ nàyPeggy không nhất thiết phải biết phân tích của n và căn bậc hai của m. Bởi vậy Vic hoặc phải xây dựng đợc các giá trị này hoặc chúng phải đợc thu nhận từ một ngời thứ ba (tin cậy đợc). Cho X= Z n * và Y= QR(n) và định nghĩa f(b ,n) =m b x 2 mod n Cũng nh trớc đây, Peggy sẽ mã hoá giá trị b bằng cách chọn một giá trị ngẫu nhiên x và tính blob y = f(b,x). Trong sơ đồ này, tất cả các blob đều là các thặng d bậc hai. Hơn nữa một giá trị bất kỳ y QR(n) có thể là bản mã hoá của 0 hay của 1. Giả sử y= x 2 mod n và m= k 2 mod n. Khi đó: y= f(0,x) = f(1,x,k -1 mod n) Điều đó có nghĩa là sơ đồ này đạt đợc tính dấu kín không điều kiện. Vậy điều kiện gì sẽ xảy ra đối với tính ràng buộc ? Peggy có thể mở một blob bất kỳ cho trớc thành 0 hoặc 1 khi và chỉ khi cô ta có thể tính đợc k (là một căn bậc hai của m). Nh vậy, để cho sơ đồ này là ràng buộc (về mặt tính toán), cần phải giả thiết rằng Peggy không có khả năng tính căn bậc hai của m. (Nếu Peggy có đầy đủ sức mạnhthì dĩ nhiên cô ta có thể làm đợc điều đó. Đó là lý do phải giả thiết Peggy có khả năng tính toán hạn chế). Để làm ví dụ cho một sơ đồ cam kết bit thứ hai thuộc loại này, xét một sơ đồ xây dựng trên bái toán logarithm rời rạc. Cho p là một số nguyên tố sao cho bái toán logarithm rời rạc trong Z p * là một bái toán bất khả giải, cho là một phần tử nguyên thuỷ của Z p * và cho Z p * . Giá trị phải đợc chọn bởi Vic hoặc một ngời thứ ba tin cậy (chứ không phải bởi Peggy). Sơ đồ này sẽ có X= {0, ,p-1}, Y= Z p * và f đợc xác định bằng: f(b,x) = b x mod p Không khó khăn lắm có thể thấy rằng sơ đồ này có tính dấu kín không điều kiện, và nó có tính dàng buộc khi và chỉ khi Peggy không có khả năng tính đợc logarit rời rạc log . Vietebooks Nguyn Hong Cng Trang 27 Bây giờ giả sử ta dùng một trong hai sơ đồ cam kết bit trên trong giao thức về tính khả thi đồ thị bằng ba màu. Dễ dàng thấy rằng, giao thức vẫn giữ đợc tính đầy đủ. Tuy nhiên điều kiện đúng đắn ở đây sẽ phụ thuộc vào mặt giả thiết về mặt tính toán: giao thức là đúng đắn khi và chỉ khi sơ đồ dàng buộc bit thoả mãn tính ràng buộc. Điều gì sẽ xảy ra đối với khía cạnh không tiết lộ thông tin của giao thức? Bởi vì sơ đồ cam kết bit đảm bảo tính dấu kín không điều kiện nên giao thức này sẽ trở thành một giao thức không tiết lộ thông tin hoàn thiện chứ không chỉ là một giao thức không tiết lộ thông tin về mặt tính toán nữa. Nh vật ta đã có một luận cứ không tiết lộ thông tin hoàn thiện. Bảng 13.1. So sánh các tính chất của phép chứng minh và các luận cứ Tính chất Chứng minh không tiết lộ thông tin Luận cứ không tiết lộ thông tin Đầy đủ Đúng đắn Không tiết lộ thông tin Giấu kín Ràng buộc Không điều kiện Không điều kiện Về mặt tính toán Không điều kiện Về mặt tính toán Không điều kiện Về mặt tính toán Hoàn thiện Về mặt tính toán Không điều kiện Tuỳ theo áp dụng cụ thể mà ngời ta có thể thích dùng một luận cứ hơn là dùng một phép nhứng minh. Và khi nào thì ta phải đa ra một giả thiết về mặt tính toán cho Peggy hay cho Vic? Một so sánh tóm lợc về các tính chất của các phép chứng minhvà các luận cứ đợc nêu ở bảng 13.1. ở cột chứng minh không tiết lộ thông tin ,các giả thiết về mặt tính toán có liên quan tới năng lực tính toán của Peggy. Trong cột Luận cứ không tiết lộ thông tin, các giả thiết về mặt tính toán có liên quan tới năng lực tính toán của Vic. __________________ 13.6. Các chú giải v tái liệu hớng dẫn Phần lớn các kiến thức trong chơng này đều dựa theo tái liệu của Brassard, Chaum và Crépeau [BBC 88] và của Goldreich, Micali và Wigderson [GMW 91]. Các sơ đồ cam kết (ràng buộc) bít và các thoả luận về sự khác nhau giữa các phép chứng minh và các luận cứ có thể tìm thấy trong [BBC 88](tuy nhiên cần để ý rằng thuật ngữ luận cứ lần đầu tiên đợc sử dụng trong [BC 90]. Các chứng minh không tiết lộ thông tin cho tính đẳng cấu đồ thị , tính không đẳng cấu đồ thị và tính khả tô đồ thị ba màu có thể tìm Vietebooks Nguyn Hong Cng Trang 28 đợc trong [GMW 91]. Một bái báo khác có liên quan là bái báo của Goldwasser, Micali và Rackoff [GMR 89], trong bái báo này các hệ thống chứng minh tơng hỗlần đầu tiên đợc định nghĩa một cách hình thức. Chứng minh không tiết lộ thông tin cho bái toán các thặng d bậc hai đợc lấy từ bái báo này. ý tởng tung đồng tiền bằng điện thoại là của Blum [B1 28]. Một minh hoạ có tính chất giải trí và rất không hình thức cho khái niệm không tiết lộ thông tin đợc Quisquater và Guilỏutình bày trong [QG 90]. Cũng có thể xem trong [Jo 88] của Johnson là một tổng quan chặt chẽ hơn về mặt toán học cho các hệ thống chứng minh tơng hỗ. Bái tập 13.1. Xét một hệ thống chứng minh tơng hỗ cho bái toán các thặng d không bậc hai đợc mô tả ở hình 13.14. Hãy chứng tỏ rằng hệ thống là đúng đắn và đầy đủ và giải thích tại sao giao thức này không tiết lộ thông tin. 13.2. Hãy tạo ra một hệ thống chứng minh tơng hỗ cho bái toán không là thành viên của nhóm con. Hãy chứng mỉnh rằng giao thức của bạn là đúng đắn và đầy đủ. 13.3. Xét một phép chứng minh không tiết lộ thông tin cho các thặng d bậc hai đợc trình bày ở hình 13.8. Hình 13.14. Một hệ thống chứng minh tơng hỗ cho các thặng d không bậc hai. 1 Đầu vào: Một số nguyên n có phân tích n =pq cha biết, trong đó p và q là các số nguyên tố, và x ????????? 1. Lặp lại các bớc sau log 2 n lần: 2. Vic chộn một số ngẫu nhiên vZ n * và tính y = v 2 mod n Vic chọn ngẫu nhiên i= 0 hoặc 1 và gửi cho Peggy: z = x i y mod n 3. Nếu z QR(n) thì Peggy xác định j= 0, ngợc lại Peggy sẽ xác định j=1. Sau đó cô ta gửi j cho Vic. 4. Vic sẽ kiểm tra xem liệu i=j hay không. 5. Vic chấp nhận phép chứng minh của Peggy nếu tính toán ở bớc 4 đợc kiểm tra ở mỗi vòng trong log 2 n vòng. Vietebooks Nguyn Hong Cng Trang 29 a.) Xác định một bộ ba hợp lệ là một bộ ba có dạng (y,i,z), trong đó y QP(n), i=0 hoặc 1, zZ n * và z 2 x i y (mod n). Hãy chứng minh rằng số các bộ ba hợp lệ là 2(p-1)(q-1), và mỗi một bộ ba nh vậy sẽ đợc tạo với xác suất nh nhau nếu Peggy và Vic tuân theo giao thức. b) Hãy chỉ ra rằng Vic có thể tạo đợc các bộ ba có cùng phân bố xác suất mà không biết phân tích n = pq. c) Hãy chứng minh rằng giao thức này là một giao thức không tiết lộ thông tin hoàn thiên đối với Vic. 13.4. Xét phép chứng minh không tiết lộ thông tin cho bái toán thành viên của nhóm con đã đợc mô tả ở hình 13.10. a) Hãy chứng tỏ rằng giao thức này đúng đắn và đầy đủ. b) Xác minh một bộ ba hợp lệ là một bộ ba có dạng (, i, h), trong đó Z n * , i = 0 hoặc 1, 0 h l 1 và h i (mod n). Hãy chứng tỏ rằng số các bộ ba hợp lệ là 2l và mỗi bộ ba nh vậy sẽ đợc tạo với xác suất băng nhau nếu Peggy va Vic tuân thhủ giao thức. c) Hãy chứng tỏ rằng có thể tạo đợc các bộ ba có cùng phân bố xác suất mà không cần biết logarithm rời rạc log . d) Chứng minh răng giao thức này là một giao thức không tiết lộ thông tin hoàn thiệt đối với Vic. 13.5. Chứng minh rằng sơ đồ cam kết bít logarithm rời rạc đợc trình bày ở phần 13.5 là có tính giấu kín không điều kiện và chứng minh rằng nó có tính ràng buộc khi và chỉ khi Peggy không thể tính log . 13.6. Giả sử ta sử dụng sơ đồ ràng buộc bịt theo các thặng d bậc hai đợc mô tả ở phần 13.5 để có một luận cứ không tiết lộ thông tin cho phép tô đồ thị bằng ba màu. Bằng cách dùng thuật toán giả mạo nêu ở hịnh 13.13. Hãy chứng minh rằng giao thức này là một giao thức không tiết lộ thông tin hoàn thiện đối với Vic. Tái liệu đọc thêm Vietebooks Nguyn Hong Cng Trang 30 Kahn [KA 67], Koblit[Ko 87], Konheim[Ko 81], Kranakis[Kr 86], Merezes[Me 93], Meyer và Matyas[MM 82], Patterson [Pa 87], Pomerance[Po 90A], Rueppel [Ru 86], Salomaa[Sa 90], Schneier[Sc 93], Seberry và Pieprzk[SP 89], Simmons [Si 92B], van Tilborg [vT 88] và Welsh [We 88]. Bạn đọc nên đọc thêm một số giao trình và sách chuyên khảo khác về mật mã học sau đây: BecKer và Piper [BP 93], Beutelspacher[Be 94], Brassard[Br 88], Biham và Shamir[BS 93], Denning[De 82], Các tạp chí nghiên cứu chủ yếu trong mật mã học là Journal of Cryptology và Designs, Codes and Cryptography. Journal of Cryptography là tạp chí của Hiệp hội nghiên cứu mật mã quốc tế (IACR). Hiệp hội này cũng tái trợ hai Hội nghị chính về mật mã học đợc tổ chức hàng năm là CRYPTO và EUROCRYPT. CRYPTO đã đựoc tổ chức từ năm 1981 ở Santa Barabara. Các báo cáo khoa học ở CRYPTO đã đợc xuất bản hàng năm đáng kể từ 1982: CRYPTO 82[CRS 83] , CRYPTO 83[CH 84], CRYPTO 84[BC 85] CRYPTO 85[WI 96], CRYPTO 86[Oo 87], CRYPTO [Po 88] CRYPTO 88[Go 90], CRYPTO 89[BR 90], CRYPTO 90[MV 91] CRYPTO 9[FE 92], CRYPTO 92[BR 93], CRYPTO 93[ST 94] Và CRYPTO 94[DE 94]. EUROCRYPT đã đợc tổ chức hàng năm kể từ năm 1982 (trừ các năm 1983 và 1986), các bái báo khoa học đã công bố gồm: EUROCRYPT 82[BE 83], EUROCRYPT 84[BCI 85], EUROCRYPT 85[PX86], EUROCRYPT 87[CP 88], EUROCRYPT 88[GU 88A], EUROCRYPT 90[DA 91], EUROCRYPT 91[DA 91A], EUROCRYPT 92[RU 93] và EUROCRYPT 93[HE 94]. Loại hội nghị thứ ba là AUCRYPT / ASIACRYPT đã đợc tổ chức với sự kết hợp của IACR. Các báo cáo khoa học đã đợc xuất bản bao gồm AUCRYPT 90[SP90], ASIACRYPT 91[IRM 93] và AUCRYPT 92[SZ92] . chất Chứng minh không tiết lộ thông tin Luận cứ không tiết lộ thông tin Đầy đủ Đúng đắn Không tiết lộ thông tin Giấu kín Ràng buộc Không điều kiện Không điều kiện Về mặt tính toán Không. suất mà không biết phân tích n = pq. c) Hãy chứng minh rằng giao thức này là một giao thức không tiết lộ thông tin hoàn thiên đối với Vic. 13.4. Xét phép chứng minh không tiết lộ thông tin. một giao thức không tiết lộ thông tin về mặt tính toán nữa. Nh vật ta đã có một luận cứ không tiết lộ thông tin hoàn thiện. Bảng 13.1. So sánh các tính chất của phép chứng minh và các luận cứ