Zero-Knowledge Protokolle Authentifikation Erich Erich Unsicherer Kanal Protokoll Wie kann Alice zweifelsfrei ihre Identität beweisen? Durch den Nachweis eines nur ihr bekannten Geheimnisses! Ideal: Bob kennt das Geheimnis weder vorher noch nachher. Zero-Knowledge Protokolle

Zero-Knowledge Protokolle Alice‘ Geheimnis: Zahlencode zum Öffnen der magischen Tür Magische Tür Linke Tür Rechte Tür Protokoll Vorraum Alice geht durch die linke oder rechte Tür. Bob ruft: „Links!“ oder „Rechts!“ Alice kommt durch die gewünschte Tür; eventuell benutzt sie ihr Geheimnis.

Was ist Zero-Knowledge? Zero-Knowledge Eigenschaft: Simulator M kann (ohne das Geheimnis zu kennen) ein simuliertes Protokoll erstellen, das vom Originalprotokoll nicht zu unterscheiden ist. Das heißt: Da Simulator M keine Information hineinsteckt, kann Erich auch keine Information herausholen. Im Beispiel der magischen Tür: Bob zeichnet das Originalprotokoll auf Video auf. Simulator M erstellt einen identischen Videofilm, in dem die „schlechten“ Szenen gelöscht werden.

Fiat-Shamir-Protokoll Alice‘ Schlüsselerzeugung wählt große Primzahlen p und q veröffentlicht n = pq wählt ‚Geheimnis‘ s veröffentlicht v = s mod n 2 Protokoll wählt Zufallszahl r berechnet x = r mod n 2 x wählt zufälliges Bit b b berechnet y = r s mod n b y überprüft, ob y = x v mod n b 2

Analyse von Fiat-Shamir Das Protokoll ist durchführbar, denn y = (r s ) = r s = r v = x v mod n 2 b 2b Protokoll ist korrekt: Die Betrugswahrscheinlichkeit ist pro Runde höchstens ½: Erich kann nur eine der Fragen ,b=0‘ und ,b=1‘ beantworten, da aus y = x und y = xv folgt (y / y ) = v. Somit ist y / y eine Wurzel von v modulo n. pro Runde mindestens ½: Erich rät Bit b und präpariert seine Antworten mit x = r v mod n und y = r. nach t Runden genau (½) . Bei t = 20 ist die Chance zu betrügen unter 1 zu 1 000 000. t 2 1 - b

Fiat-Shamir ist Zero-Knowledge M kennt: das öffentliche n = pq aber nicht p und q das öffentliche v = s mod n aber nicht das ‚Geheimnis‘ s 2 Simulator M Simuliertes Protokoll wählt zufälliges Bit c wählt Zufallszahl r berechnet x = r v mod n 2 -c x wählt zufälliges Bit b b ist b = c, so sei y = r y Überprüfung klappt ist b  c, so wiederhole

Anwendung von Zero-Knowledge Praxis: Mit dem Fiat-Shamir-Protokoll werden heute Pay-TV-Programme decodiert. Denn Fiat-Shamir ist: ein Public-Key-Protokoll, effizienter als die meisten anderen Protokolle, auf einer Chipkarte implementierbar. Theorie: Interaktive Beweissysteme: IP = PSPACE. Jedes Problem in NP ist Zero-Knowledge (unter vernünftigen Annahmen).

Zero-Knowledge Epilog „Computer Science is not only about computers... ... but also about how to make TV-sets not functioning.“ Zero-Knowledge