Vietebooks Nguyn Hong Cng Trang 16 Các bộ ba đợc tạo theo cách này có cùng phân bố xác suất các bộ ba đợc tạo trong giao thức với giả thiết Vic chọn các yêu cầu của mình một cách ngẫu nhiên. Tính không tiết lộ thông tin hoàn thiện (với v tuỳ ý) có thể đợc chứng minh theo phơng pháp tơng tự nh đối với bái toán đẳng cấu đồ thị. Nó đòi hỏi phải xây dựng một bộ mô phỏng s để giả định các yêu cầu của v và chỉ giữ lại các bộ ba ứng với các giả định đúng. Để minh hoạ thêm cho vấn đề này ta sẽ đa ra một ví dụ nữa về phép chứng minh không tiết lộ thông tin hoàn thiện, đây là một phép chứng minh cho một bái toán quyết định có liên quan đến bái toán logarit rời rạc. Bái toán này đợc gọi là bái toán thành viên của nhóm con ( đợc mô tả ở hình 13.9 ). Dĩ nhiên là số nguyên k ( nếu nó tồn tại ) chính là logarit rời rạc của Hình 13.9. Thành viên của nhóm con. Hình 13.10 Mô tả một phép chứng minh không tiết lộ thông tin hoàn thiện cho bái toán thành viên nhóm con. Việc phân tích giao thức nỳ tơng tự nh các giao thức mà ta đã xem xét ; các chi tiết đợc giành cho bạn đọc xem xét. Hình 13.10. Hệ thống chứng minh tơng hỗ không tiết lộ thông tin hoàn thiện cho thành viên của nhóm con. Đặc trng của bái toán : Hai số nguyên dơng n và l, và hai phần tử phân biệt , Z n trong đó có cấp l trong Z n . Vấn đề : phải chăng = k đối với một số nguyên tố k nào đó sao cho 0kn-1 ?(nói một cách khác là phải chăng là một thành viên của nhóm Z n đợc tạo bởi ?) Vietebooks Nguyn Hong Cng Trang 17 13.3 Các cam kết bít Hệ thống chứng minh không tiết lộ thông tin đối với bái toán đẳng cấu đồ thị là một hệ thống thú vị, tuy nhiên sẽ là hữu ích hơn nếu có các hệ thống chứng minh không tiết lộ thông tin cho các bái toán đợc coi là NP đầy đủ. Về mặt lý thuyết, không tồn tại các phép chứng minh không tiết lộ thông tin hoàn thiện cho các bái toán NP đầy đủ. Tuy nhiên ta có thể mô tả các hệ thống chứng minh có dạng không tiết lộ thông tin về mặt tính toán. Các hệ thống chứng minh thực tế sẽ đợc mô tả ở phần sau ; trong phần này ta sẽ mô tả kỹ thuật cam kết bít là một công cụ quan trọng đợc dùng trong hệ thống chứng minh . Giả sử Peggy viết một thông báo lên một mẩu giấy rôì đặt nó vào một két sắt mà cô ta biết mã số. Sau đó Peggy trao két sắt cho Vic. Mặc dù Vic không biết thông báo là gì cho tới khi két đợc mở nhng ta sẽ coi rằng Peggy đã bị ràng buộc với thông báo của mình vì cô ta không thể thay đổi nó. Hơn nữa, Vic không thể biết thông báo là gì ( giả sử Vic không biết mã số của két ). Trừ phi Peggy mở két cho anh ta. ( Hãy nhớ lạI là ta đã dùng lập luận tơng tự ở chơng 4 để mô tả ý tởng về một hệ mật công khai, tuy nhiên trong trờng hợp đó Vic là ngời có thể mở két bởi vì anh ta là ngời nhận thông báo ). Đầu vào:Một số nguyên dơng n và hai phần tử phân biệt ,Z n trong đó cấp của đợc ký hiệu bằng l và đợc công khai . 1. Lập lại các bớc sau log 2 n lần : 2. Peggy chọn một số ngẫu nhiên j sao chi 0 j l - 1 và tính = j mod n Peggy gửi cho Vic. 3. Vic chọn một số ngẫu nhiên I = 0 hoặc i = 1 và gửi nó cho Peggy . 4. Peggy tính h = j+ik mod l trong đó k = log và gửi cho Vic . 5. Vic kiểm tra xem liệu có thoả mãn đồng d thức sau không : h i (mod n). 6. Vic sẽ chấp nhận chứng minh của Peeggy nếu tính toán ở bớc 5 đợc kiểm tra cho mỗi vòng trong log 2 n vòng . Vietebooks Nguyn Hong Cng Trang 18 Giả sử thông báo là một bít = 0 và Peggy sẽ mã hoá b theo cách nào đó. Dạng đã mã hoá của b đôI khi đợc gọi blob và phơng pháp mã hoá đợc gọi là một sơ đồ cam kết bít. Nói chung , một sơ đồ cam kết bít là một hàm f: {0,1} x X Y, trong đó X và Y là các tập hữu hạn. Một phép mã hoá của b là giá trị bất kỳ f(b,x), xX. Ta có thể định nghĩa một cách phi hình thức hai tính chất mà một sơ đồ cam kết phải thoả mãn . Tính chất giấu kín: Với một bít b = 0 hoặc 1, Vic không thể xác định đợc giá trị của b từ blob f(b,x). Tính ràng buộc : Sau đó Peggy có thể mở đợc blob bằng cách tiết lộ giá trị x dùng mã hoá b để thuyết phục Vic rằng b là giá trị đã mã. Peggy không thể mở một blob bởi cả hai giá trị 0 và 1. Nếu Peggy muốm cam kết ( ràng buộc) một xâu bit bất kỳ thì một cách đơn giản là cô ta phảI ràng buộc từng bit một cách độc lập . Một phơng pháp để thực hiện cam kết bit là sử dụng hệ mật xác suất Goldwasser - micali mô tả ở phần 12.4 hãy nhớ lại rằng trong hệ mật này n = pq trong đó p, q là các số nguyên tố và m ???QR(n). Các số nguyên m và n là công khai và chỉ có Peggy biết phân tích n = pq trong sơ đồ cam kết bit ta có X = Y = Z n * và : f(b,x)=m b x 2 mod n Peggy sẽ mã hoá giá trị b bằng cách chọn một số ngẫu nhiên x và tính y=f(b,x) ; giá trị y chính là blob . Sau đó khi peggy muốn mở y, cô ta sẽ tiết lộ các giá trị b và x. Khi đó Vic có thể kiểm tra thấy rằng : y m b x 2 mod n Ta xem xét tính giấu kín và tính ràng buộc. Một blob là một phép mã hoá của 0 hoặc 1, và sẽ không để lộ thông tin về giá trị bản rõ x miễn là bái toán các thặng d bậc hai là không có khả năng giảI ( ta đã thảo luận kỹ đIều này chơng 12 ). Bởi vậy sơ đồ có tính giấu kín . Liệu sơ đồ có tính ràng buộc không ? Nếu ta giả sử là không thì m x 1 2 x 2 2 (mod n) Với các giá trị x 1 , x 2 nào đó thuộc Zn. Tuy nhiên Vietebooks Nguyn Hong Cng Trang 19 m (x 2 x 1 -1 ) 2 mod n điều này mâu thuẫn bởi vì m ??????QR(n) Các sơ đồ ràng buộc bit sẽ đợc dùng để xây dựng các phép chứng minh không tiết lộ thông tin. Tuy nhiên chúng còn có một ứng dụng tuyết vời khác vào một bái toán tung đồng xu qua đIện thoại. Giả sử Alice và Bob muốn đa ra một quyết định nào đó dựa trên phép tung đồng xu ngẫu nhiên nhng họ không ở cùng một địa đIểm .ĐIều này có nghĩa là không thể thực hiện đợc công việc một ngời tung đồng xu thực còn ngời kia kiểm tra phép thử này. Sơ đồ ràng buộc bit sẽ cho một phơng pháp thoát khỏi tình trạng bế tắc này. Một trong hai ngời ( chẳng hạn Alice ) sẽ chọn một bit ngẫu nhiên b và tính blob y .Cô ta sẽ trao y cho Bob. Bây giờ Bob sẽ giả định giá trị của b và rồi Alice sẽ mở blob để tiết lộ b. ở đây, tính chất giấu kín có nghĩa là Bob không có khả năng tính b theo y đã cho, và tính chất ràng buộc có nghĩa là Alice không thể thay đổi đợc lựa chọn của mình sau khi Bob tiết lộ giả định của anh ta . Sau đây là một ví dụ khác về sơ đồ ràng buộc bit dựa trên bái toán logarithm rời rạc. Từ phần 5.1.2 ta đã có : Nếu p 3 ( mod 4) là một số nguyên tố sao cho bái toán logarithm trong Z p không giảI đợc thì bit bậc thấp nhất thứ hai của một logarit rời rạc là an toàn. Trên thực tế, đối với các số nguyên tố p 3 (mod 4), ngời ta chứng minh rằng thuật toán Monte - Carlo bất kỳ cho bái toán về bit thứ hai sẽ có xác suất sai bằng 1/2 - với >0 có thể đợc dùng để giảI toán logarit rời rạc trong Z p . Kết quả mạnh hơn nhiều này là cơ sở cho sơ đồ ràng buộc bit . Sơ đồ ràng buộc này sẽ có X = {1, , p-1}và Y = Z p .Bit bậc thấp nhất thứ hai của số nguyên x ( ký hiệu là SLB (x)) đợc xác định nh sau : sơ đồ ràng buộc bit đợc xác định bởi : Nói cách khác bit b sẽ đợc mã bằng cách chọn một một phần tử ngẫu nhiên có bit cuối cùng thứ hai là b và nâng lên luỹ thừa x modulo p.( Chú ý rằng SLB ( p-x ) SLB (x) vì p 3 ( mod 4)). 3(mod4) 2, x Nếu 1 mod4) 1( 0,x Nếu 0 SLB = b SLB(x) Nếu pmod b SLB(x) Nếu pmod x)f(b, 1-p x = = Vietebooks Nguyn Hong Cng Trang 20 Sơ đồ thoả mãn tính ràng buộc và theo các nhận xét đã nêu, nó cũng thoả mãn tính giấu kín nếu bái toán logarit rời rạc trong Z p là không giảI đợc . 13.4 .các chứng minh không tiết lộ thông tin về mặt tính toán . Trong phần này ta sẽ đa ra một hệ thống chứng minh không tiết lộ thông tin cho bái toán quyết định NP đầy đủ là bái toán về khả năng tô màu một đồ thị bằng ba màu, bái toán này đợc nêu ở hình 13.11. Hệ thống chứng minh sẽ sử dụng một đồ thị cam kết ( ràng buộc ) bit: để xác định ,ta sẽ áp dụng sơ đồ ràng buộc bit đợc mô tả ở 13.3 ( dựa trên mã hoá xác suất ). Giả sử Peggy biết hàm ba màu của đồ thị G và cô ta muốn thuyết phục Vic rằng có thể tô màu G bằng ba màu theo kiểu không tiết lộ thông tin .Không mất tính tổng quát, giả sử rằng G có tập đỉnh V={1 n}. Ký hiệu m ={E}. Hệ thống chứng minh sẽ đợc mô tả theo các thuật ngữ cuả sơ đồ ràng buộc f:{0,1} x X Y ( đợc đa ra công khai ). Vì không thể mã hoá một màu bằng một bit nên ta thay màu 1 bằng hai bit 01, màu hai bằng 10, màu ba bằng 11.Khi đó ta sẽ mã hoá mỗi bit trong hai bit (biểu thị màu ) bằng hàm f. Hình 13.11.khả năng tô đồ thị bằng ba mằu. Hệ thống chứng minh tơng hỗ đợc trình bày trên hình 13.12.Một cách không hình thức ,quá trình xẩy ra nh sau:ở mỗi vòng ,Peggy sẽ quy Đặc trng của bái toán :Một đồ thị G = (V,E) có n đỉnh. Vấn đề :Liệu có thể tô G bằng đúng 3 mầu hay không? (Theo các thuật ngữ toán học có chăng một hàm :V(G)ặ{1,2,3} sao cho {u,v} E thì (u)= (v)?). . thuyết, không tồn tại các phép chứng minh không tiết lộ thông tin hoàn thiện cho các bái toán NP đầy đủ. Tuy nhiên ta có thể mô tả các hệ thống chứng minh có dạng không tiết lộ thông tin về. trong Z p là không giảI đợc . 13 .4 .các chứng minh không tiết lộ thông tin về mặt tính toán . Trong phần này ta sẽ đa ra một hệ thống chứng minh không tiết lộ thông tin cho bái. chứng minh không tiết lộ thông tin đối với bái toán đẳng cấu đồ thị là một hệ thống thú vị, tuy nhiên sẽ là hữu ích hơn nếu có các hệ thống chứng minh không tiết lộ thông tin cho các bái toán