4.4.1.1 Giao thức Zero-Knowledge [8]
Zero-knowledge là giao thức dùng để chứng minh một phát biểu là đúng nhƣng không tiết lộ bất kì thông tin gì ngoài tính chân thực của phát biểu. Khái niệm này đầu tiên đƣợc Shafi Goldwasser đề cập đến năm 1985. Sau đó, Blum, Feldman và Micali đƣa ra khái niệm tƣơng tự là Non-interactive Zero-knowledge proof với ý nghĩa rằng một chuỗi ngẫu nhiên đƣợc chia sẻ giữa ngƣời chứng minh và ngƣời xác nhận đủ cho các tính zero-knowledge mà không cần tƣơng tác trực tiếp giữa hai ngƣời. Tính chất của Zero-knowledge phải thỏa 3 điều kiện sau:
– Completeness: Nếu phát biểu là đúng, ngƣời xác nhận chân thật sẽ bị thuyết phục.
– Soundness: Nếu phát biểu là sai, không có ngƣời chứng minh nào có thể thuyết phục ngƣời xác nhận đƣợc, ngoại trừ một xác suất rất nhỏ.
– Zero-knowledge: Nếu phát biểu là đúng, không có ngƣời xác nhận nào có thể lấy đƣợc thông tin về sự thật.
Ví dụ, bài toán tìm logarit rời rạc: Cho G là nhóm nhân hữu hạn N phần tử; b là một phần tử cố định trong G; y là một phần tử trong G. Alice đã tìm ra cách giải phƣơng trình bx
= y để tìm đƣợc x và muốn thuyết phục Bob về điều này mà không muốn tiết lộ cách giải (đƣợc biết N, y, b). Alice tiến hành nhƣ sau:
Bƣớc 1: Alice chọn một số ngẫu nhiên e < N và gửi cho Bob b‟ = be.
Bƣớc 2: Bob tung đồng xu lên: Nếu sấp thì Alice phải tiết lộ e, Bob sẽ kiểm tra có đúng b‟ = be
? Nếu ngửa thì Alice phải tiết lộ thặng dƣ của x + e mod N, Bob sẽ kiểm tra có đúng yb‟ = bx+e
?
Giải thích: Các bƣớc trên thực hiện theo giao thức Zero-knowledge vì:
- Completeness: Nếu Alice biết x thì luôn đƣa ra câu trả lời đúng dù giao thức có đƣợc thực hiện nhiều lần.
- Soundness: Nếu Alice không biết giá trị x thì không thể trả lời đƣợc khi đồng xu ngửa. Để có thể đánh khi đồng xu ngửa, Alice sẽ chọn b‟ = be
/y và chọn x + e mod N = e (tức x =0), thì Alice không thể qua mặt Bob khi đồng tiền sấp (vì b‟ = be/y ≠ be). Xác xuất để lừa là hoặc Bob luôn giao đồng xu sấp (hoặc ngửa) với xác xuất sau m lần thực hiện là 2-m.
- Zero-knowledge: Nếu Cindy biết trƣớc đồng xu sẽ xuất hiện mặt nào, Cindy có thể vƣợt qua các kiểm tra của Alice mà không biết giá trị x.
4.4.1.2 Chữ ký chống chối bỏ Zero-Knowledge [11] a. Chọn các thông số
Ngƣời ký chọn số nguyên tố p (sao cho q = 2p+1, q cũng là số nguyên tố), là một phần tử nguyên thuỷ của nhóm con Gq của Z*p cấp q. Ngƣời ký A có khoá bí mật x và khoá công khai tƣơng ứng là αx . Thông điệp m (m ≠ 1) đƣợc A ký sẽ cho ra chữ ký z: z = mx.
b. Giao thức xác thực
Ngƣời thẩm định B khi nhận đƣợc z, nếu muốn kiểm tra tính hợp lệ của chữ ký thì sử dụng giao thức sau:
Bƣớc chuẩn bị: Ngƣời ký sinh số nguyên tố q; ngƣời thẩm định sinh hai số a,
b là phần tử ngẫu nhiên của nhóm.
Bƣớc 1: Ngƣời thẩm định B tính ma αb và gửi cho ngƣời ký A
Bƣớc 2: Ngƣời ký tính [ma αb+q , (ma αb+q)x ] và gửi cho ngƣời thẩm định Bƣớc 3: Ngƣời thẩm định gửi a, b cho ngƣời ký
Bƣớc 4: Ngƣời ký gửi q cho ngƣời thẩm định
Giải thích: Để bắt đầu, mỗi bên bí mật chọn ngẫu nhiên các thông số cho mình: A chọn q và B chọn a, b. Ở bƣớc 3, khi nhận đƣợc a, b thì A có thể khôi phục đƣợc thông điệp trong bƣớc 1. Khi thông điệp khôi phục thành công, A thực hiện bƣớc 4. Cuối cùng, bằng việc thay thế z cho mx, B có thể xây dựng lại thông điệp trong bƣớc 2 và đảm bảo rằng nó đúng (Tính nhƣ sau: (ma αb+q)x = (mx)a (αx)b+q = za kUS
b+q
: kUS là khoá công khai của A). Tính an toàn của giao thức xác thực
- Giao thức xác thực trên là zero-knowledge: Nếu B gửi thông điệp trong bƣớc 3 và nhận về thông điệp trong bƣớc 4, B có thể xây dựng thông điệp trong bƣớc 2. Nếu B không gửi đúng thông điệp trong bƣớc 3, thì bƣớc 4 không đƣợc thực hiện.
- Ngay cả khi A có máy tính có khả năng vô hạn thì xác suất thành công của A không vƣợt quá p-1 để đƣa ra một phản hồi (trả lời) hợp lệ cho một chữ ký không hợp lệ. Để chứng minh điều này, về bản chất cũng tƣơng tự nhƣ chứng minh trong lƣợc đồ chữ ký chống chối bỏ ban đầu.
c. Giao thức chối bỏ
Ngƣời ký thông điệp muốn giải thích cho ngƣời thẩm định rằng thông điệp riêng tƣ z không phải là chữ ký hợp lệ tƣơng ứng với khoá công khai αx
và thông điệp m: nghĩa là z ≠ mx
. Để làm đƣợc điều này, ngƣời ký thông điệp phải phối hợp thực hiện một giao thức chối bỏ. Ngƣời ký có thể giả mạo với xác suất 1/(k+1), ở đây k là hằng số đƣợc thoả thuận trƣớc. Thực tế k có thể lấy là 1023, và cơ hội để lừa là nhỏ hơn 1/1.000.000 với 10 lần thực hiện giao thức (cơ hội nhỏ hơn 2-100
). Bƣớc chuẩn bị: Ngƣời ký A chọn một số ngẫu nhiên r; ngƣời thẩm định B sinh số số s Є {1, .., k}, và số a.
Bƣớc 1: Ngƣời thẩm định tính [ms αa , zs αxa ] và gửi cho ngƣời ký Bƣớc 2: Ngƣời ký tính blob(r,s) và gửi cho ngƣời thẩm định
Bƣớc 3: Ngƣời thẩm định gửi a cho ngƣời ký Bƣớc 4: Ngƣời ký gửi r cho ngƣời thẩm định
Giải thích: Trong một lần thực hiện giao thức, khởi đầu B chọn một số nguyên s trong khoảng {0 …k} và một số a độc lập trong các phần tử nhóm. Trong bƣớc 1, B tính cặp giá trị và gửi cho A. Để bắt đầu bƣớc 2, A xác định giá trị của s
bằng việc thử sai. Một cách hiệu quả để tìm s là nhân mũ của thành phần đầu trong giá trị mà B gửi cho A, sau đó thực hiện phép chia với thành phần thứ hai.
Cụ thể: (ms αa)x/zs αxa = [mx/z]s ≢ 1
khi biết giá trị này, và vì s trong khoảng {0 …k} nên A có thể thử và tìm ra s, việc thử đƣợc thực hiện sau k+1 lần (Nếu thực tế z = mx , thì [mx/z]s = 1 với mọi giá trị của s. Do đó, trong trƣờng hợp ngƣời ký là kẻ lừa đảo thì tỷ lệ thành công để tìm ra
s chính xác chỉ là 1/(k+1)). Nếu s không đƣợc tìm thấy thì A sử dụng một giá trị ngẫu nhiên. Bƣớc 2, A gửi thông điệp là một blob trong đó có ràng buộc giá trị s, nhƣng s đƣợc giữ bí mật cho đến khi số ngẫu nhiên r đƣợc công bố. Dựa trên việc
nhận blob trong bƣớc 2, B có thể gửi a. Và trƣớc khi kết thúc việc gửi r trong thông điệp cuối cùng, A kiểm tra a xem có thể khôi khục đƣợc thông điệp ban đầu trong bƣớc 1 không.