Ta sẽ chứng minh hai định lý sau đây để chứng tỏ tính hợp thức của các giao thức kiểm thử và chối bỏ của lược đồ chữ ký Chaum-van Antverpen.
Định lý 4.1:
a) Nếu y đúng là chữ ký của A trên x, tức y ≡xa mod p, thì việc B chấp nhận y là chữ ký của A trên x theo giao thức kiểm thử là đúng.
b) Nếu y ≢ xa(mod p), tức y không phải là chữ ký của A trên x, thì việc B, theo giao thức kiểm thử, chấp nhận y là chữ ký của A trên x, có thể xẩy ra với xác suất 1/q.
Chứng minh:
a) Giả sử y ≡ xa mod p. Khi đó, ya-1≡ x (mod p) (các số mũ đều được tính theo mod q). Ta cũng có βa-1 ≡ α (mod p) Do đó, 1 1 1 1 2 1 2 e a e a e e a d c − y − β − x α ≡ ≡ ≡ (mod p),
và theo giao thức kiểm thử, B chấp nhận y là chữ ký của A trên x, việc chấp nhận đó là đúng.
b) Bây giờ giả thử y ≢ xa (mod p). Trước hết ta chú ý rằng mỗi lời mời hỏi c tương ứng với đúng q cặp (e1, e2), vì y và β là các phần tử của nhóm nhân G cấp q. Khi A nhận được câu hỏi c , A không có cách gì để biết là B đã dùng cặp (e1, e2) nào trong q cặp có thể đó. Ta chứng minh rằng, do y ≢ xa (mod p), nên trong q cặp
đó chỉ có đúng một cặp thoả mãn đồng dư thức d ≡ xe1 αe2 (mod p). Thực vậy, ta có thể đặt c = αi , d = αj , x = αk , y = αl (với i, j, k, l ∈ Zq ), vì α là phần tử sinh của G, và hai đồng dư thức c ≡ ye1 βe2 (mod p) và d ≡ xe1αe2 (mod p) tương đương với hai phương trình 1 2 1 2 ( ( i le ae e e ≡ + ≡ + q j k q . mod ) mod )
Từ giả thiết y ≢ xa (mod p) suy ra l – ak ≢ 0 (mod q), tức định thức của hệ phương trình nói trên (với các ẩn số e1, e2) là ? 0 (mod q). Như vậy, mỗi d ∈G là câu trả lời đúng (theo giao thức kiểm thử) chỉ với một cặp (e1, e2) trong q cặp có thể. Vì vậy, nếu y ≢ xa (mod p) , thì xác suất để B chấp nhận y là chữ ký của A trên x (theo giao thức) là bằng 1/q. Định lý được chứng minh.
Đối với giao thức chối bỏ, ta có định lý sau đây :
Định lý 4.2:
a) Nếu y ≢ xa (mod p), và cả A, B đều tuân theo giao thức chối bỏ, thì (dα- e2)f1 ≡ (Dα-f2)e1 (mod p), tức giao thức cho kết quả chính xác.
b) Nếu y ≡ xa mod p, A và B đều tuân theo giao thức, và có d ≢ xe1αe2 (mod p)
Khi đó, đồng dư thức (dα-e2)f1 ≡ (Dα-f2)e1 (mod p) đúng với xác suất 1/q , tức nếu y đúng là chữ ký của A trên x, thì theo giao thức, B có thể kết luận rằng nó là giả mạo (một cách sai lầm) với xác suất 1/q.
Chứng minh. a) Giả thử y ≢ xa (mod p), và A,B cùng thực hiện giao thức chối bỏ. Do y không là chữ ký của A trên x nên B sẽ kiểm thử đúng các bất đồng dư thức trong các bước 3 và 6 của giao thức. Vì β ≡ αa (mod p), nên ta có
1 2 1 1 2 2 1 (dα−e )f ≡((yeβe )a−α−e )f (mod p) ≡ ya e f−11 1βe a f2 −11α−e f2 1(mod p) 1 1 1 e a f y − ≡ (mod p). Tương tự, ta cũng có 1 2 1 1 1 (Dα−f )e ≡ ye a f− (mod p).
Như vậy, đồng dư thức ở điểm 7 của giao thức được nghiệm đúng, và kết luận y là chữ ký giả mạo của A trên x là chính xác, không thể bác bỏ được.
b) Bây giờ giả thiết y ≡ xa (mod p), và A, B cùng thực hiện giao thức chối bỏ.
Đặt x0 = d1/e1α-e2/e1 mod p , ta có
x0 = da/e1α-ae2/e1 ≢ (xe1 αe2)a/e1 α-ae2/e1 ≡ xa ≡ y (mod p)
Theo điểm b) trong định lý 4.2, B có thể chấp nhận y là chữ ký của A trên x0, tức là có đồng dư thức
D ≡ x0f1 αf2 (mod p),
với xác suất 1/q. Nhưng đồng dư thức đó tương đương với đồng dư thức
(dα-e2)f1 ≡ (Dα-f2)e1 (mod p),
tức đồng dư thức này cũng có thể xẩy ra với xác suất 1/q. Định lý được chứng minh. Ta chú ý rằng trong giao thức chối bỏ, cặp (e1, e2) được sử dụng để tạo ra x0
với x0a ≢ y (mod p); còn cặp (f1, f2) được dùng để kiểm thử xem y có là chữ ký của A trên x0 hay không.