Vietebooks Nguyn Hong Cng Trang 6 Ví dụ 9.3 Giả sử ta cũng có các tham số nh trong ví dụ 9.2: p = 88667, q = 1031, t= 10, = 70322, a = 755 và v = 13136. Giả sử Olga nghiên cứu thấy rằng: 851 v 1000 454 v 19 (mod p). khi đó có thể tính: a =(851 - 454)(1000 - 19) -1 mod 1031 = 755 và nh vậy sẽ khám phá ra số mũ mật của Alice. Chúng ta đã chứng minh rằng, giao thức có tính đúng đắn và đầy đủ. Song tính đúng đắn và đầy đủ cha đủ để bảo đảm rằng giao thức là an toàn. Chẳng hạn, nếu Alice để lộ số mũ mật a của mình khi chứng minh danh tính của cô với Olga thì giao thức vẫn còn đúng đắn và đầy đủ. Tuy nhiên nó sẽ hoàn toàn không an toàn vì sau đó Olga có thể mạo danh Alice. Điều này thúc đẩy động cơ xem xét thông tin mật đã cho ngời xác minh - ngời cũng tham gia trong giao thức - biết (trong giao thức này, thông mật là a). Hy vọng là không có thông tin nào về a có thể bị gia tăng bởi Olga khi Alice chứng minh danh tính của mình cho cô ta, để sau đó Olga có thể giả dạng nh Alice. Nói chung, có thể hình dung tình huống khi Alice chứng minh danh tính của mình với Olga trong một số tình huống khác nhau. Có lẽ Olga không chọn các yêu cầu của cô (tức các giá trị r) theo kiểu ngẫu nhiên. Sau vài lần thực hiện giao thức, Olga sẽ cố gắng xác định giá trị a để sau đó có thể mạo danh Alice. Nếu Olga không thể xác định đợc chút thông tin nào về a qua tham gia với số lần đa thức thực hiện giao thức và sau đó thực hiện một lợng tính toán đa thức thì giao thức có thể đợc gọi là an toàn. Hiện tại vẫn cha chứng minh đợc rằng giao thc Schnorr là an toàn, song trong phần tiếp sau, ta sẽ đa ra một cải tiến về sơ đồ này (do Okmoto đa ra) mà có thể chứng minh đợc nó là an toàn khi cho trớc giả thuyết tính toán nào đó. Sơ đồ Schnorr đã đợc thiết kế với tốc độ nhanh và hiệu quả theo quan điểm cả về tính toán lẫn lợng thông tin cần thiết để trao đổi trong giao thức. Nó cũng đợc thiết kế nhằm tối thiểu hoá lợng tính toán mà Alice phải thực hiện. Đây là những đặc tính tốt vì trong thực tế, các tính toán của Alice sẽ phải tính trên các thẻ thông minh có khả năng tính toán thấp trong khi các tính toán của Bob lại trên các máy lớn. Vì mục đích thảo luận, ta hãy giả sử rằng, ID(Alice) là chuỗi 512 bit, v cũng gồm 512 bit, còn s bằng 320 bit nến DSS đợc dùng nh sơ đồ chữ kí. Kích thớc tổng cộng của dấu xác nhận C(Alice) (cần đợc lu trên thẻ của Alice) là 1444 bit. Xét các tính toán của Alice: Bớc 1 cần lấy mũ theo modulo, b ớc 5 so sánh một phép công modulo và một phép nhân modulo. Đó là phép luỹ Vietebooks Nguyn Hong Cng Trang 7 thừa modulo mạnh về tính toán song có thể tính toán gián tiếp nếu muốn. Còn các tính toán trực tiếp đợc Alice thực hiện bình thờng. Việc tính số bit cần thiết trong quá trình liên lạc để thực hiện giao thức cũng khá đơn giản. Có thể mô tả thông tin đợc liên lạc ở dạng đồ hình nh sau C, Alice r Bob y Alice đa cho Bob 1444 + 512 = 1956 bit thông tin trong bớc 2: Bob đa cho Alice 40 bit trong bớc 4 và Alice đa cho Bob 160 bit trong bớc 6. Nh vậy các yêu cầu về liên lạc rất mức độ. 9.3 Sơ đồ định danh của Okamoto. Trong phần này ta sẽ đa ra một biến thể của sơ đồ Schnorr do Okamoto đa ra. Sơ đồ cải tiến này Zp không giải đợc. Để thiết lập sơ đồ, TA chọn p và q nh trong sơ đồ Schnorr. TA cũng chọn hai phần tử 1 và 2 * p Z đều có bậc q. Giá trị c = log 1 2 đợc giữ bí mật kể cả đối với Alice. Ta sẽ giả thiết rằng, không ai có thể giải đợc (thậm chí Alice và Olga liên minh với nhau) để tính ra giá trị c. Nh trớc đây, TA chọn sơ đồ chữ kí số và hàm hash. Dấu xác nhận mà TA đã phát cho Alice đợc xây dựng nh mô tả ở hình 9.4. Dới đây là một ví dụ về sơ đồ Okamoto. Ví dụ 9.4. Cũng nh ví dụ trớc, ta lấy p = 88667, q = 1031, t = 10. Cho 1 = 58902 và cho 2 = 73611 (cả 1 lẫn 2 đều có bậc q trong * p Z ). Giả sử a 1 =846, a 2 = 515, khi đó v = 13078. Giả sử Alice chọn k 1 = 899, k 2 = 16, khi đó = 14573. Nếu Bob đa ra yêu cầu r = 489 thì Alice sẽ trả lời y 1 = 131 và y 2 = 287. Bob sẽ xác minh thấy: 58902 131 78611 287 1378 489 14574 (mod 88667). Vì thế Bob chấp nhận bằng chứng của Alice về danh tính của cô. Việc chứng minh giao thức là đầy đủ không khó (tức là Bob sẽ chấp nhận bằng chứng về danh tính của cô). Sự khác nhau giữa sơ đồ của Okamoto và Schnorr là ở chỗ, ta có thể chứng minh rằng sơ đồ Okamota an toàn miễn là bài toán logarithm rời rác không giải đợc. Hình 9.4: Đóng dấu xác nhận cho Alice. 1. TA thiết lập danh tính của Alice và phát chuỗi định danh ID(Alice). 2. Alice chọn bí mật hai số mũ ngẫu nhiên a 1 ,a 2 trong đó 0 a 1 ,a 2 q -1 Alice tính: Vietebooks Nguyn Hong Cng Trang 8 v = p aa mod 21 11 và đa cho TA. 3. TA tạo chữ kí s = sig TA (I,v). và đa dấu xác nhận C(Alice) = (ID(Alice),v,s) cho Alice Phép chứng minh về tính an toàn rất tinh tế. Đây là ý kiến chung: Nh trớc đây, Alice tự định danh với Olga trong nhiều thời gian đa thức thông qua thực hiện giao thức. Khi đó ta giả thiết rằng Olga có khả năng nghiên cứu một số thông tin về các giá trị a 1 ,a 2 . Nếu nh vậy thì Olga và Alice kết hợp với nhau có khả năng tính đợc logarithm rời rạc c trong thời gian đa thức. Điều này mâu thuẫn với giả định ở trên và chứng tỏ rằng Olga chắc không thể nhận đợc chút thông tin nào về các số mũ của Alice thông qua việc tham gia vào giao thức. Phần đầu tiên của giao thức này tơng tự với chứng minh tính đầy đủ trong sơ đồ Schnorr. Định lý 9.2. Giả sử Olga biết a giá trị mà nhờ nó cô có xác suất thành công 1/2 t-1 khi đánh giá Alice trong giao thức xác minh. Khi đó, Olga có thể tính các giá trị b 1 ,b 2 trong thời gian đa thức sao cho v p bb mod 21 11 . Chứng minh: Với phần trên 2 t yêu cầu có thể r, Olga có thể tính các giá trị y 1 , y 2 , z 1 , z 2 , r và s với r s và: 2 1 21 y y v r 2 1 21 z v 8 (mod p). Ta định nghĩa: b 1 = (y 1 - z 1 )(r - s) -t mod q và b 1 = (y 2 - z 2 )(r - s) -t mod q Khi đó dễ dàng kiểm tra thấy rằng: )(mod 21 21 pv bb nh mong muốn. Vietebooks Nguyn Hong Cng Trang 9 Hình 9.5. Sơ đồ định danh Okamoto. 1. Alice chọn các số ngẫu nhiên k 1 , k 2 , 0 k 1 , k 2 q -1 và tính: = 2 1 21 k k (mod p). 2. Alice gửi dấu xác nhận của cô C(Alice) = (ID(Alice),v,s) và cho Bob. 3. Bob xác minh chữ kí của TA bằng cách kiểm tra xem có thoả mãn đồng nhất thức: ver TA (ID(Alice),v,s) = true 4. Bob chọn số ngẫu nhiên r, 1 r 2 t và đa nó cho Alice. 5. Alice tính: y 1 = k 1 + a 1 r mod q và y 2 = k 2 + a 2 r mod q và đa y 1 ,y 2 cho Bob. 6. Bob xác minh xem: 21 21 yy v r (mod p) hay không. Bây giờ ta tiếp tục chỉ ra cách Alice và Olga cùng tính giá trị c. Định lý 9.3. Giả sử Olga biết giá trị (mà với nó cô có xác suất giả danh Alice thành công là 1/2 t-1 ) trong giao thức xác minh. Khi đó, Alice và Olga có thể cùng nhau tính 2 1 log trong thời gian đa thức với xác suất 1-1/q. Chứng minh Theo định lý 9.2, Olga có khả năng xác định các giá trị b 1 và b 2 sao cho v )(mod 21 21 p bb Giả thiết rằng Alice để lộ các giá trị a 1 và a 2 cho Olga biết. Dĩ nhiên: v )(mod 21 21 p aa vì thế )(mod 2211 21 p abba giả sử rằng (a1,a2) (b1,b2), khi đó (a1-b1) -1 tồn tại và logarithm rời rạc: c = = 2 1 log (a 1 -b 1 )(b 2 -a 2 ) -1 mod q có thể tính đợc trong thời gian đa thức. Phần còn lại là xem xét xác suất để (a1,a2) = (b1,b2). Nếu xảy ra điều này thì giá trị c không thể tính theo mô tả ở trên. Tuy nhiên, ta sẽ chỉ ra rằng (a1,a2) = (b1,b2) sẽ chỉ xảy ra với xác suất rất bé 1/q, vì thế giao thức nhờ đó Alice và Olga tính đợc c sẽ hầu nh chắc chắn thành công. Định nghĩa: A ={ )(mod:),( ' 2 ' 1 ' 2 ' 1 2121 ' 2 ' 1 paa aaaa qp ì } Nghĩa là A gồm tất cả các cặp đợc sắp có thể và chúng có thể là các số mũ mật của Alice. Xét thấy rằng: A ={a 1 - c, a 2 + : Z P }, Vietebooks Nguyn Hong Cng Trang 10 Trong đó c = 2 1 log . Nh vậy A chứa q cặp đợc sắp. Cặp đợc sắp (b1,b2) do Olga tính chắc chắn ở trong tập A. Ta sẽ chỉ ra rằng, giá trị của cặp (b1,b2) độc lập với cặp (a1,a2) chứa các số mũ mật của Alice. Vì (a1,a2) đợc Alice chọn đầu tiên một cách ngẫu nhiên nên xác suất để (a1,a2) = (b1,b2) là 1/q. Nh vậy, (b1,b2) là độc lập với (a1,a2). Cặp (a1,a2) của Alice là một trong q cặp đợc sắp có thể trong A và không có thông tin nào về nó (là cặp đúng) đã bị Alice để lộ cho Olga biết khi cô xng danh với Olga. (Một cách hình thức, Olga biết một cặp trong A chứa số mũ của Alice song cô ta không biết nó là cặp nào). Ta hãy xét thông tin đợc trao đổi trong giao thức định danh. Về cơ bản, trong mỗi lần thực hiện giao thức, Alice chọn , Olga chọn r và Alice để lộ y 1 và y 2 sao cho: = 2 1 11 y y v r (mod p). Ta nhớ lại rằng, Alice tính: y 1 = k 1 + a 1 r mod q và y 2 = k 2 + a 2 r mod q trong đó = 2 1 11 k k mod q Chú ý rằng k 1 và k 2 không bị lộ (mà a 1 và a 2 cũng không). Bốn phần tử cụ thể (,r,y 1 ,y 2 ) đợc tạo ra trong thực hiện giao thức tuỳ thuộc vào cặp (a 1 ,a 2 ) của Alice vì y 1 và y 2 đợc định nghĩa theo a 1 và a 2 . Tuy nhiên ta sẽ chỉ ra rằng, mỗi bộ bốn nh vậy có thể đợc tạo ra nh nhau từ cặp đợc sắp bất kì khác (a 1 , a 2 ) A. Để thấy rõ, giả thiết (a 1 , a 2 ) A, tức là a 1 =a 1 - c và a 2 = a 2 + , trong đó 0 q -1. Có thể biểu diễn y 1 và y 2 nh sau: y 1 = k 1 + a 1 r = k 1 + (a 1 + c)r = (k 1 + rc)+a 1 r và y 2 = k 2 + a 2 r = k 2 + (a 2 - )r = (k 2 - r)+a 2 r Trong đó tất cả các phép tính số học đều thực hiện trong Z p . Nghĩa là bộ bốn (,r,y 1 ,y 2 ) cũng phù hợp với cặp đợc sắp ),( ' 2 ' 1 aa bằng việc dùng các phép chọn ngẫu nhiên rckk += 1 ' 1 và rk = ' 2 để tạo ra . Cần chú ý rằng, các giá trị k 1 và k 2 không bị Alice làm lộ nên bộ (, r, y 1 , y 2 ) không cho biết thông tin gì về cặp nào trong A đợc Alice dùng làm số mũ mật của cô. Đây là điều phải chứng minh. . thể tính các giá trị y 1 , y 2 , z 1 , z 2 , r và s với r s và: 2 1 21 y y v r 2 1 21 z v 8 (mod p). Ta định nghĩa: b 1 = (y 1 - z 1 )(r - s) -t mod q và b 1 = (y 2 - z 2 )(r. bằng chứng của Alice về danh tính của cô. Việc chứng minh giao thức là đầy đủ không khó (tức là Bob sẽ chấp nhận bằng chứng về danh tính của cô). Sự khác nhau giữa sơ đồ của Okamoto và Schnorr. )(mod 21 21 pv bb nh mong muốn. Vietebooks Nguyn Hong Cng Trang 9 Hình 9.5. Sơ đồ định danh Okamoto. 1. Alice chọn các số ngẫu nhiên k 1 , k 2 , 0 k 1 , k 2 q -1 và tính: = 2 1 21 k k (mod