Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Authentifikation Erich Protokoll Alice Wie kann Alice zweifelsfrei ihre Identität beweisen? Geheimnisses Durch den Nachweis eines nur ihr bekannten Geheimnisses!

Ähnliche Präsentationen


Präsentation zum Thema: "Authentifikation Erich Protokoll Alice Wie kann Alice zweifelsfrei ihre Identität beweisen? Geheimnisses Durch den Nachweis eines nur ihr bekannten Geheimnisses!"—  Präsentation transkript:

1 Authentifikation Erich Protokoll Alice Wie kann Alice zweifelsfrei ihre Identität beweisen? Geheimnisses Durch den Nachweis eines nur ihr bekannten Geheimnisses! Bob Ideal: Bob kennt das Geheimnis weder vorher noch nachher. Erich Zero-Knowledge Protokolle Unsicherer Kanal

2 Alice Geheimnis: Zahlencode zum Öffnen der magischen Tür linkerechte Alice geht durch die linke oder rechte Tür. Zero-Knowledge Protokolle Vorraum Linke Tür Rechte Tür Magische Tür Protokoll Links! Rechts! Bob ruft: Links! oder Rechts! Alice kommt durch die gewünschte Tür; eventuell benutzt sie ihr Geheimnis.

3 Was ist Zero-Knowledge? Zero-Knowledge Eigenschaft: Simulator M simuliertes Protokoll Originalprotokoll Simulator M kann (ohne das Geheimnis zu kennen) ein simuliertes Protokoll erstellen, das vom Originalprotokoll nicht zu unterscheiden ist. Das heißt: Simulator M Erich Da Simulator M keine Information hineinsteckt, kann Erich auch keine Information herausholen. Im Beispiel der magischen Tür: BobOriginalprotokollVideoBob zeichnet das Originalprotokoll auf Video auf. Simulator Midentischen VideofilmSimulator M erstellt einen identischen Videofilm, in dem die schlechten Szenen gelöscht werden.

4 Alice Schlüsselerzeugung wählt große Primzahlen p und q veröffentlicht n = pq wählt Geheimnis s veröffentlicht v = s mod n 2 Fiat-Shamir-Protokoll x wählt zufälliges Bit b b berechnet y = r s mod n b y wählt Zufallszahl r berechnet x = r mod n 2 überprüft, ob y = x v mod n b2 Protokoll

5 Analyse von Fiat-Shamir durchführbar Das Protokoll ist durchführbar, denn y = (r s ) = r s = r v = x v mod n 2b222b2bb korrektBetrugswahrscheinlichkeit Protokoll ist korrekt: Die Betrugswahrscheinlichkeit ist pro Runde höchstens ½: Erich kann nur eine der Fragen,b=0 und,b=1 beantworten, da aus y = x und y = xv folgt (y / y ) = v. Somit ist y / y eine Wurzel von v modulo n. pro Runde mindestens ½: Erich rät Bit b und präpariert seine Antworten mit x = r v mod n und y = r. nach t Runden genau (½). Bei t = 20 ist die Chance zu betrügen unter 1 zu t b

6 M kennt: das öffentliche n = pq aber nicht p und q das öffentliche v = s mod n aber nicht das Geheimnis s 2 Fiat-Shamir ist Zero-Knowledge x wählt zufälliges Bit b b ist b = c, so sei y = r y Überprüfung klappt Simuliertes Protokoll Simulator M ist b c, so wiederhole wählt zufälliges Bit c wählt Zufallszahl r berechnet x = r v mod n 2-c

7 Praxis: Mit dem Fiat-Shamir-Protokoll werden heute Pay-TV-Programme decodiert.Mit dem Fiat-Shamir-Protokoll werden heute Pay-TV-Programme decodiert. Denn Fiat-Shamir ist:Denn Fiat-Shamir ist: ein Public-Key-Protokoll,ein Public-Key-Protokoll, effizienter als die meisten anderen Protokolle,effizienter als die meisten anderen Protokolle, auf einer Chipkarte implementierbar.auf einer Chipkarte implementierbar.Theorie: Interaktive Beweissysteme: IP = PSPACE.Interaktive Beweissysteme: IP = PSPACE. Jedes Problem in NP ist Zero-Knowledge (unter vernünftigen Annahmen).Jedes Problem in NP ist Zero-Knowledge (unter vernünftigen Annahmen). Anwendung von Zero-Knowledge

8 Epilog Computer Science is not only about computers but also about how to make TV-sets not functioning. Zero-Knowledge


Herunterladen ppt "Authentifikation Erich Protokoll Alice Wie kann Alice zweifelsfrei ihre Identität beweisen? Geheimnisses Durch den Nachweis eines nur ihr bekannten Geheimnisses!"

Ähnliche Präsentationen


Google-Anzeigen