Zero-Knowledge-Verfahren

Transkript

1 Kapitel 1 Zero-Knowledge-Verfahren Bei den Zero-Knowledge-Verfahren handelt es sich um eine Form von interaktiven Beweisen, bei denen kein Wissen übertragen wird. Für die Kryptographie haben diese Verfahren eine große Bedeutung. Die meisten Passwort- Verfahren übertragen das Geheimnis, in diesem Fall das Passwort, verschlüsselt oder auch unverschlüsselt. Ein Fremder könnte sich diesen Umstand zu nutze machen, dieses Geheimnis in seinen Besitz bringen und für seine Zwecke missbrauchen. Man möchte jemanden davon überzeugen, dass man ein Geheimnis kennt, ihm aber unter keinen Umständen dieses Geheimnis verraten. 1

2 Motivation Die folgende Unterhaltung verdeutlicht das Problem: X: Ich kenn das Rezept für die Big Mac - Soße! Y: Nein, kennst Du nicht. X: Kenn ich doch. Y: Gut, dann beweis es! X: O.k., ich verrat s Dir. [X verrät Y das Rezept...] Y: Super! Dann kann ich es ja an Thomy verkaufen! X: Sch...! X wollte Y allein durch Überzeugungskraft davon überzeugen, dass er das Geheimnis kennt. Dieser Versuch scheitert natürlich sobald Y sich nicht einfach durch Beteuerungen davon überzeugen lässt. X fiel dann nichts Besseres ein als Y das Geheimnis zu verraten. Er hat zwar sein Ziel erreicht Y davon zu überzeugen, dass er das Geheimnis kennt, aber auf der anderen Seite lief er dabei Gefahr das sein Geheimnis missbraucht wird. 1.1 Tartaglia und Fior Seit der Antike war es nicht gelungen eine Lösungsformel für Gleichungen dritten Grades zu entwickeln. Im Jahr 1535 gelang es dem Italiener Nicolò Tartaglia eine Lösungsformel zu entwickeln. Da Tartaglia aufgrund seiner Armut niemals einen akademischen Grad erlangen konnte, wollte er seiner Formel geheim halten. Tartaglia kontaktierte den italienischen Rechenmeister Antonio Maria Fior. Dieser wollte die Behauptung Tartaglias prüfen indem er ihm 30 Aufgaben vorlegte. Tartaglia konnte die Aufgaben lösen und so seine Behauptung beweisen, ohne Fior die Formel und damit sein Geheimnis zu verraten. Jedermann konnte die Lösungen Tartaglias leicht prüfen, indem man die Zahlen in die Ausgangsgleichung einsetzt, es ist aber für niemanden möglich anhand der Lösungen und der Ausgangsgleichung die Lösungsformel von Tartaglia zu erraten. 1.2 Forderungen an kryptographische Protokolle DEFINITION 1 (Durchführbarkeit): Wenn sich die am Protokoll beteiligten Instanzen alle gemäß den Spezifikationen des Protokolls verhalten, muss das Protokoll auch immer (bzw. mit beliebig hoher Wahrscheinlich- keit) das gewünschte Ergebnis liefern. DEFINITION 2 (Korrektheit): 2

3 Versucht einer der Teilnehmer in einem Protokoll zu betrügen, so kann dieser Betrugsversuch mit beliebig hoher Wahrscheinlichkeit erkannt werden. Das bedeutet, dass die Wahr- scheinlichkeit, dass ein Teilnehmer erfolgreich betrügen kann, vernachlässigbar klein ist. Das Beispiel Tartaglia und Fior erfüllt diese Eigenschaften: ffl Das Protokoll ist durchführbar, da Tartaglia zu jeder ihm vorgelegten Gleichung eine Lösung bestimmen kann und jeder Herausforderer kann die bestimmte Lösung überprüfen, indem er sie einfach mit seinen Zahlen vergleicht. ffl Es ist ebenfalls korrekt, da jemand, der keine Lösungsformel für Gleichungen dritten Grades besitzt, eine Lösung höchstens erraten kann. Aber die Wahrscheinlichkeit, bei vielen Gleichungen immer richtig zu raten, ist vernachlässigbar klein, somit kann auch niemand betrügen. Das Beispiel erfüllt aber zusätzlich noch eine weitere wichtige Eigenschaft, die nicht alle Protokolle erfüllen: Tartaglia konnte seine Behauptung, eine Lösungsformel für kubische Gleichungen zu besitzen, beweisen, ohne die Formel zu verraten. Diese Eigenschaft nennt man Zero-Knowledge-Eigenschaft. Das erste Beispiel erfüllt diese Eigenschaft nicht, da X sein Beispiel an Y verraten musste damit dieser davon überzeugt war, dass X im Besitz des Geheimnisses ist. 3

4 Kapitel 2 Die Magische Tür 2.1 Situation Bei diesem Beispiel handelt es sich um einen interaktiven Beweis, der die Zero-Knowledge- Eigenschaft erfüllt. Für dieses Beispiel wird eine Tür in ein Haus eingebaut. Die Tür ist mit einem Zahlencode gesichert. Es werden zum Beweis zwei Personen benötigt: Eine Person A, die vorgibt oder tatsächlich im Besitz des Zahlencodes für die Tür ist, und eine Person B, die diese Behauptung prüfen will. 4

5 2.2 Vorgehen Person A betritt den Vorraum des Hauses und schließt die Tür hinter sich. Danach sucht sie die Tür A oder Tür B aus, betritt den Raum dahinter und schließt die Tür hinter sich. Jetzt betritt Person B den Vorraum. Person B kann nicht feststellen durch welche der beiden Türen Person A gegangen ist. Nun sucht Person B sich willkürlich eine von den zwei Türen aus und verlangt von Person A aus dieser Tür herauszukommen. Ist Person A zuvor durch diese Tür hineingegangen, hat sie keine Probleme wieder aus dieser Tür herauszukommen. Sollte aber Person B genau die andere Tür verlangt haben, muss Person A die magische Tür in der Mitte überwinden. Dies kann Person A nur wenn sie den Zahlencode für die magische Tür besitzt, diesen dort einsetzt und damit dem Wunsch von Person B nachkommen kann. Dieses Vorgehen wird dann mehrmals (n-mal) wiederholt. Kommt Person A dabei immer aus der Tür, die Person B verlangt, kann Person B davon ausgehen, dass Person A in Besitz des Geheimnisses, also des Zahlencodes, ist. 2.3 Beweis Kennt Person A das Geheimnis, kann sie immer aus der richtigen Tür herauskommen. Das Verfahren ist also durchfürbar. Frage: Warum kann sich Person B sicher sein, dass Person A das Geheimnis kennt? Sollte Person A nicht in Besitz des Geheimnisses sein, kann sie nur vermuten, welche Tür sich Person B später aussuchen wird. Die Wahrscheinlichkeit, dass Person A dabei richtig liegt, liegt bei 1 2. Da der Vorgang aber /it n-mal wiederholt wird sinkt die Wahrscheinlichkeit dafür immer richtig zu liegen auf 1 n. 2 Bei zum Beispiel 10 Durchläufen bedeutet das eine Wahrscheinlichkeit von 0; 001. Das Verfahren ist also korrekt. Als drittes muss dann noch die Zero-Knowledge-Eigenschaft nachgewiesen werden. Diese Eigenschaft besagt, dass der Verifier (Person B) keine Möglichkeit hat, Informationen über das Geheimnis oder sonstiges Wissen zu erhalten. Jeder Vorgang kann durch ein Tupel der Form (v i ; p i ), wobei v i ; p i 2fA;Bg, dargestellt werden. Das bedeutet im Durchlauf i hat sich Person B dafür entschieden, Person A aus Tür v i kommen zu sehen. Kennt Person A das Geheimnis, so ist v i = p i ansonsten muss die Gleichheit nicht immer gelten. Das heißt Person B akzeptiert nur dann, wenn v i = p i ;i = 1; :::;n gilt. Diese Tupel sind alles, was ein potentieller Angreifer oder Person B aus dem Vorgang an Information gewinnen kann. Ist es jetzt möglich diese Daten zu gewinnen ohne jemals mit Person A zu interagiert zu haben, ist die Zero-Knowledge-Eigenschaft bewiesen. Niemand kann sagen welche der Tupel mit der Aktion mit Person A entstanden sind oder im Nachhinein. Denn es nicht möglich aus Kommunikationsdaten, die man selbst erzeugen kann, etwas Unbekanntes zu berechnen. Diese Daten können nicht plötzlich mehr Informationen erhalten als die Informationen, die man vorher zur Berechnung hat einfließen lassen. Wie kann man diesen Umstand auf das Beispiel anwenden? Person B nimmt alles was sie während der Interaktion mit Person A beobachten kann mit einer Videokamera auf. Auf diesem Videoband kann man dann nur sehen wie Person A das Haus betritt, Person B ihr nach einer Weile folgt, sich eine Tür aussucht und Person A aus dieser Tür herauskommt. Dieser Vorgang würde sich n-mal wiederholen, je nachdem wie 5

6 oft der Vorgang wiederholt wurde. Im nächsten Schritt müssen wir dieses Videoband erzeugen können ohne Person A zu verwenden. Dazu wird ein Simulator S und eine Person C, dabei die Rolle von Person A übernimmt, benötigt. S versucht zu erraten welche Tür Person B verlangen wird und teilt diese Information Person C mit. Diese stellt sich dann hinter die Tür, die von S vermutet wird. Sollte Person B dann diese Tür verlangen, kann die Szene auf dem Videoband belassen werden. Sollte dies nicht der Fall sein, muss die Szene gelöscht und ein neuer Versuch gestartet werden, denn Person C ist ja nicht in Besitz des Geheimnisses. Damit der Simulator n richtige Szenen aufzeichnen kann wird er im schlechtesten Fall 2n Versuche benötigen. Werden jetzt die beiden Videobänder verglichen, kann man feststellen, dass die statistische Verteilung der Tupel auf beiden Bändern gleich ist und nur von Person B abhängt. Die beiden Bänder sind also nicht zu unterscheiden. Der Simulator wurde nur eingeführt damit Person B ihre Strategie bei der Auswahl der Türen anwenden kann. 6

7 Kapitel 3 Isomorphie von Graphen Bei diesem Beispiel geht es um die Isomorphie von zwei großen Graphen. Im Allgemeinen ist es sehr schwer zu entscheiden, ob zwei beliebige, große Graphen isomorph zu einander sind oder nicht, ebenso schwer ist die Berechnung eines Isomorphismus - im Gegensatz dazu ist es effizient entscheidbar, ob eine gegebene Permutation pi ein Isomorphismus der beiden Graphen darstellt oder nicht. Ein kleines Beispiel zum Graphenisomorphieproblem: Zwei isomorphe Graphen G 1 und G 2 Ein möglicher Isomorphismus ist: Im folgenden Protokoll identifiziert sich Person A Person B gegenüber dadurch, dass sie beweist, einen Isomorphismus zwischen zwei großen Graphen zu kennen. 3.1 Vorgehen Person A erzeugt sich einen großen Graphen G 0 und wählt eine zufällige Permutation π auf dem Graphen. Mit dieser Permutation erzeugt sie sich einen weiteren Graphen G 1, der 7

8 durch Anwendung der Permutation auf G 0 entstanden ist. Das Tupel (G 0 ;G 1 ) veröffentlicht Person A. Die Permutation π bleibt allerdings ihr Geheimnis. Das Tupel steht somit jedem zur freien Verfügung, da es aber sehr schwer ist, anhand der Graphen einen Isomorphismus zu berechnen, kann auch niemand Person A s Geheimnis einfach so berechnen. Der Isomorphismus spielt hier die Rolle Tartaglia s Lösungsformel für Gleichungen dritten Grades oder des geheimen Zahlencodes aus dem Beispiel Die magische Tür. Der Vorteil eines solchen mathematischen Ansatzes ist natürlich, dass jetzt jede Person ein individuelles Geheimnis haben kann, ohne das Verfahren ändern zu müssen. Es gibt unendlich viele Instanzen des Graphenisomorphieproblems, aber zum Beispiel nur endlich viele Lösungsformeln für Gleichungen dritten Grades. Der Nachteil bei der magischen Tür war, dass man erst ein komplexes Gebäude errichten muss, um den Beweis durchführen zu können - hier kann diese Aufgabe von Computern übernommen werden. Der Ablauf einer Runde des Protokolls wird in der folgenden Abbildung dargestellt: Dieser Ablauf wird n-mal wiederholt. Person A erzeugt sich als erstes einen weiteren Graphen H, der durch die Anwendung einer zufälligen Permutation σ auf den Graphen G j entsteht, wobei j 2f0;1g zufällig gewählt wurde. Dieser neue Graph ist zu den beiden Graphen G 0 und G 1 isomorph, nur kann dies Person B genauso schwer überprüfen, wie die Isomorphie zwischen G 0 und G 1. Der Graph H wird nun an Person B verschickt, der sich daraufhin etwas wünschen darf. Person B möchte jetzt entweder den Isomorphismus zwischen H und G 0 oder den zwischen H und G 1 sehen. Person A kann diese Frage immer mit Hilfe der geheimen Permutation π lösen.! Durchführbarkeit Person B kann sich leicht davon überzeugen, ob die empfangene Permutation τ wirklich einen Isomorphismus beschreibt. Nehmen wir an, eine Person C möchte Person B davon überzeugen, das Geheimnis zu besitzen, obwohl dies nicht der Fall ist. Person C kann in jeder Runde nur eine der Fragen beantworten, wir können also annehmen, dass die Wahrscheinlichkeit, dass Person C auf die Frage richtig antworten kann höchstens 1 2 beträgt. Des Weiteren können wir annehmen, dass die Wahrscheinlichkeit auch mindestens 1 2 beträgt, da Person C im Voraus raten kann, welche Frage Person B stellen wird und dementsprechend die Permutation τ festlegt. Es folgt, dass die Betrugswahrscheinlichkeit in einer Runde genau 1 2 beträgt, bei n Runden, liegt sie folglich nur noch bei 1 n 2. Somit ist das Protokoll korrekt. 8

9 Nachweis der Zero-Knowledge Eigenschaft Um die Zero-Knowledge Eigenschaft nachzuweisen, müssen wir einen Simulator S angeben, der uns korrekte Transkripte erzeugen kann. Ein Transkript besteht hier aus dem Tripel (H;b;τ), wobei ein akzeptierendes Transkript vorliegt, genau dann wenn H = τ(g b ) gilt. Die erzeugten Transkripte müssen dabei die gleiche Wahrscheinlichkeitsverteilung besitzen, wie die Transkripte, die bei der realen Kommunikation von Person B und Person A entstehen würden. Sowohl in einem echten Dialog als auch in einem simulierten Dialog, taucht die gleiche Anzahl an (zufälligen) Tripeln (H; b; τ) auf, so dass H = τ(g b ) (3.1) gilt. Das bedeutet, dass ein Außenstehender die beiden Dialoge unmöglich unterscheiden kann. Es folgt, dass das Verfahren die Zero-Knowledge Eigenschaft besitzt. 9

10 Kapitel 4 Das Fiat-Shamir Identifikationsverfahren Das folgende Protokoll besitzt einen großen praktischen Anreiz - es wird in der einen oder anderen Form zum Beispiel bei Chipkarten verwendet. Die Algorithmen sind effizient berechenbar und der Speicherplatzbedarf ist akzeptabel - das ist ein Argument, warum man Graphen in solchen Situationen nicht benutzen würde. Fast alle kryptographischen Protokolle bestehen aus einer Schlüsselerzeugungsphase und der anschließenden Verwendung der Schlüssel während des Protokollablaufs. Person A erzeugt zunächst zwei große verschiedene Primzahlen p und q und berechnet daraus das Produkt n := pq. Als nächstes berechnet sich Person A eine Quadratwurzel y eines Elementes x 2 Zn Λ. Sie wählt dazu ein beliebiges Element y 2 Zn Λ und definiert x := y 2. Das Paar (n;x) wird als Public-Key veröffentlicht - zum Beispiel wieder in einem öffentlichen Register - die Zahl y bleibt Person A s Geheimnis. Das Verfahren beruht darauf, dass es sehr schwer ist, also nicht in polynomialer Zeit, eine Quadratwurzel eines Elements aus Zn Λ zu ziehen. Person A weist ihre Identität dann dadurch nach, dass sie durch einen interaktiven Beweis Person B davon überzeugt, eine Quadratwurzel von x zu kennen. 10

11 4.1 Vorgehen Person A berechnet anfangs eine Quadratwurzel r eines Elements a aus Z n Λ, damit kann sie Person B gegen über beweisen, dass sie zu a eine Quadratwurzel, nämlich r, kennt. Dieses Objekt übernimmt dieselbe Funktion wie der Graph H aus dem vorhergehenden Beispiel. Person B bekommt dieses Element übermittelt und kann jetzt bestimmen, ob er die Quadratwurzel von a sehen möchte oder die Quadratwurzel von ax. Dadurch, dass Person A die geheime Quadratwurzel y von a kennt, kann sie jede Frage, die Person B stellen wird, korrekt beantworten - das Protokoll ist somit durchführbar. Die Korrektheit nachzuweisen ist bei diesem Protokoll etwas schwieriger. Wir hatten gesagt, dass ein Betrüger allerhöchstens während seiner eigenen Berechnungen schummeln kann, diesen Fakt nutzen wir jetzt aus, damit eine Person C mit Wahrscheinlichkeit 1 2 betrügen kann. Person C versucht zu erraten, für welche Möglichkeit Person B sich entscheiden wird, erhält dadurch ein Bit b 0 und präpariert dementsprechend das übermittelte a, indem sie für a einfach r 2 x berechnet. Als z verschickt sie r. Wenn sie richtig geraten b0 hat, wird Person B akzeptieren, da die Gleichung z 2 ax b mod n erfüllt ist. Es ergibt sich, dass Person C in jeder Runde mit mindestens einer Wahrscheinlichkeit von 1 2 betrügen kann. Sie kann auch nur höchstens mit einer Wahrscheinlichkeit 1 2 betrügen: Angenommen Person C könnte mit einer höheren Wahrscheinlichkeit betrügen, dann kennt sie ein a, zu dem sie beide Fragen beantworten kann. Das heißt, sie kann z 2 1 = a und z 2 2 = ax berechnen, sie kann also auch die Quadratwurzel y aus x berechnen (y = z 2 z1 ). Person C besitzt demnach einen Algorithmus A, der bei Eingabe x die Quadratwurzel y von x ausgibt. Nach unserer Voraussetzung, dass dies nicht in Polynomzeit berechenbar wäre muss unsere Annahme falsch gewesen sein, Person C kann also auch nur höchstens mit Wahrscheinlichkeit 1 2 betrügen. Insgesamt folgt, dass Person C pro Runde genau mit Wahrscheinlichkeit 1 2 betrügen kann, bei t Runden, verringert sich die Wahrscheinlichkeit, immer zu betrügen, auf ( 1 2 )t. Das Protokoll ist damit korrekt. Zero-Knowledge Eigenschaft Der Simulator S kann mit Person B auf folgende Art und Weise einen Dialog simulieren: ffl Swählt ein zufälliges Bit b 0 und eine Zahl r; dann berechnet er a := r 2 x b0 modn und sendet x an Person B 11

12 ffl B antwortet mit einem Bit b ffl Ist b = b 0 so sendet S die Nachricht z = r an B. Eine Überprüfung durch B ist in diesem Fall erfolgreich, denn es gilt: z 2 r 2 r 2 x b x b ax b modn (4.1) Das Tripel (a;b;z) repräsentiert einen Schritt der simulierten Unterhaltung. Ist b 6= b 0, so werden alle gesendeten Nachrichten gelöscht und die Simulation dieser Runde erneut gestartet. Sowohl im Originaldialog als auch im nachgestellten Dialog taucht die gleiche Anzahl von (zufälligen) Tripeln (a;b;z) auf, für welche die Gleichung xv b = y 2 gilt. Die beiden Dialoge sind also für einen Außenstehenden nicht zu unterscheiden. 12

13 Kapitel 5 Schwächen von Zero-Knowledge Verfahren Bisher sind wir bei den vorgestellten Verfahren auf keine Probleme gestoßen. Die folgende Schwäche ist aber leider nicht trivial und trifft auf alle Zero-Knowledge Verfahren zu. Es handelt sich hier um eine Art man-in-the-middle attack, da sich der Betrüger zwischen zwei Instanzen befindet. Durch diese Konstellation ist es Person B möglich, sich Person C gegenüber als Person A auszugeben. Das funktioniert sogar recht leicht. Am Beispiel des Fiat-Shamir Verfahrens, sieht das folgendermaßen aus: 1. Person A schickt Person B die Zufallszahl a, dieser leitet diese Zahl direkt an Person C weiter 2. Person C schickt Person B das zufallige Bit b, dieses wird sofort an Person A weitergeleitet 3. Person A s Antwort z wird an Person C weitergeleitet 4. nach mehreren erfolgreichen Runden ist Person C davon überzeugt, dass es sich bei Person B Person A ist Eine mögliche Lösung arbeitet mit exakten Uhren und versucht so zu verhindern, dass Person B während der Kommunikation mit Person A noch Zeit hat, mit Person C zu kommunizieren. Wenn jeder Schritt des Protokolls zu genau definierten Zeitpunkten stattfinden muss, dann kann man das Ausnutzen dieser Schwäche verhindern. 13

14 Kapitel 6 Witness Hiding Werden Zero-Knowledge-Protokolle parallel ausgeführt, d.h. Verifier und Prover tauschen in jeder Runde mehrere Nachrichten aus, ist es nicht immer gewährleistet, dass die Zero- Knowledge-Eigenschaft erfüllt wird. Aber gerade die parallele Ausführung von diesen Protokollen ist von großem Interesse, da dadurch die Anzahl der zu sendenden Nachrichten klein wird. Das Konzept eines Widness-Hiding-Protokolls (WH-Protokoll), eingeführt von Feige und Shamir, bietet eine Lösung dieses Problems. Unter Verwendung des Begriffs Witness Indistinguishability (WI) kann man beweisen, dass die WH-Eigenschaft erhalten bleibt, wenn alle Teilprotokolle diese Eigenschaft haben. Es muss allerdings ein kleiner Preis für diese Eigenschaft bezahlt werden: der Verifier kann bei WH-Protokollen ggf. Informationen vom Prover erhalten. Das Geheimnis des Provers bleibt aber zu jeder Zeit geschützt. 6.1 Witness Indistinguishability Definition Ein Protokoll für die Behauptung x hat die Eigenschaft L ist witness-indistinguishable (hat die WI-Eigenschaft), wenn man die Ausführung des Protokolls, in denen der Prover P einen Zeugen w 1 benutzt, nicht von solchen unterscheiden kann, in denen er einen Zeugen w 2 benutzt. Am Beispiel des Fiat-Shamir-Algorithus können wir uns diese Eigenschaft betrachten. Da n das Produkt aus zwei verschiedenen Primzahlen ist, existieren zu jedem quadratischen Rest genau vier Quadaratwurzeln. Es seien y 1 und y 2 zwei verschiedene Wurzeln von x. Wir müssen zeigen, dass nicht unterschieden werden kann, ob der Zeuge y 1 oder y 2 für die Durchführung des Protokolls benutzt wurde. = 1 (mod n) und Für t = y 1 y 2 gilt t 2 = x x Daraus folgt y 1 = ty 2 modn (6.1) ry 1 =(rt)y 2 modn (6.2) Wegen (rt) 2 = r 2 t 2 = r 2 = a kann der Verifier nicht unterscheiden, ob der Prover den Zeu- 14

15 gen y 1 mit der Zufallszahl r, oder ob er den Zeugen y 2 mit der Zufallszahl rt benutzt. B hat also keine Möglichkeit zu erkennen, welchen Zeugen der Prover für das Protokoll verwendet. Daraus folgt wenn wir dieses Beispiel verallgemeinern: Resultat 1 Jedes Zero-Knowledge-Protokoll hat die WI-Eigenschaft. Resultat 2 Die Wi-Eigenschaft bleibt bei paralleler Ausführung eines WI-Protokolls erhalten. 6.2 Witness Hiding Definition Ein Protokoll für die Behauptung x hat die Eigenschaft L ist witness hiding (hat die WH-Eigenschaft), wenn es für jeden Verifier V auch nach mehrmahliger Ausführung des Protokolls unmöglich ist, einen Zeugen w für diese Behauptung zu berechnen. D.h. P kann das Geheimnis von V niemals berechnen. Wir benötigen noch einen weiteren Begriff um das Ergebnis von Feige und Shamir angeben zu können. Definition Zwei Zeugen w 1 und ww 2 für x hat die Eigenschaft L heißen wesentlich verschieden, wenn es mit Kenntnis von w 1 genauso schwer ist, w 2 zu berechnen, wie ohne Kenntnis von w 1, und umgekehrt. Resultat 3 Gegeben sei ein WI-Protokoll P für die Behauptung x hat die Eigenschaft L. Wir setzen ferner voraus, dass es schwer ist einen Zeugen w für diese Behauptung zu finden, und dass es mindestens zwei wesentlich verschiedene Zeugen w 1 und w 2 gibt. Dann hat P die WH- Eigenschaft. 15

16 Kapitel 7 Nicht-interaktive Zero-Knowledge Verfahren Bisher war das herausragendste an Zero-Knowledge Beweisen, dass es Beweise waren, die auf Interaktivität beruhen. Wie kann man also interaktive Beweise plötzlich wieder nichtinteraktiv machen? Mit dieser Frage beschäftigt sich dieser Abschnitt. Wenn Person A Person B gegenüber ihre Identität nachweist, kann eine weitere Person, Person C zum Beispiel, noch lange nicht überzeugt werden, dass Person A ein Geheimnis weiß sie muss dazu selbst mit Person A kommunizieren. Um diesen Missstand auszugleichen, benötigen wir nicht-interaktive Zero-Knowledge Beweise. Nicht jedes Protokoll eignet sich dafür, bei einem nicht-interaktiven Zero-knowledge Beweis eingesetzt zu werden. Das Fiat-Shamir Verfahren erlaubt es zum Beispiel. Person A könnte einen solchen Beweis veröffentlichen und so jedem beweisen, dass sie ein Geheimnis kennt, ohne jedoch irgendetwas über das Geheimnis zu verraten. Es ist allerdings ausgesprochen erstaunlich, dass man Daten veröffentlichen kann, die einem beweisen, dass jemand ein Geheimnis besitzt, aber absolut nichts über das Geheimnis an sich aussagen. Die Kommunikation mit Person B war das entscheidende, da er dafür gesorgt hat, dass Person A nicht vorhersehen konnte, was sie als nächstes beweisen muss. Wir müssen also Person B durch eine Folge von Zufallszahlen ersetzen, die aber Person A absolut nicht vorhersehen kann. Das nächste Protokoll beschreibt den allgemeinen Ablauf eines nicht-interaktiven Beweises: 1. Person A benutzt ihr Geheimnis, und n Zufallszahlen, um das mathematische Problem, welches mit dem Geheimnis verbunden ist, in n isomorphe neue Probleme zu transformieren. Diese neuen Probleme kann man genauso schwer lösen, wie das ursprüngliche Problem. 2. Person A legt sich auf die Lösung der n neuen Probleme fest, das kann sie, da sie die Lösung zu dem ursprünglichen isomorphen Problem besitzt. 3. Sie fasst nun alle Festlegungen zu einem Bitvektor zusammen und wendet darauf eine Einweg-Hashfunktion an. Sie speichert nun die ersten n Ausgabebits der Hashfunktion. 4. Person A verwendet nun die n generierten Bits folgendermaßen. Für jedes neue Problem i nimmt sie das i-te Bit und (a) wenn es gleich 0 ist, dann legt sie einen Isomorphismus zwischen dem alten Problem und dem i-ten Problem offen, oder 16

17 (b) wenn es gleich 1 ist, dann legt sie die in Schritt (2) berechnete Lösung des i- ten Problems offen und zeigt, dass es sich dabei tatsächlich um eine Lösung handelt. 5. Person A veröffentlicht alle Festlegungen aus Schritt (2) und die Lösungen aus Schritt (4). 6. Person B und Person C können nun die Echtheit des Beweises überprüfen, indem sie die Schritte (1) bis (5) einzeln durchgehen und nachsehen, ob Person A alles korrekt durchgeführt hat. Das Protokoll funktioniert, da die Einweg-Hashfunktion als ein ausgewogener Zufallszahlengenerator eingesetzt wird. Wenn Person A betrügen will, müsste sie die durch die Hashfunktion zufällig generierten Bits vorhersagen können - dies kann sie aber nicht. Da die Hashfunktion festlegt, wie Person A im Schritt (4) antworten muss, ersetzt sie Person B s Rolle. Kennt Person A das Geheimnis nicht, kann sie nicht auf beide Fragen in Schritt (4) antworten und der Betrug würde sofort auffallen. Man muss allerdings die Anzahl der durchgeführten Iterationen erhöhen - bei interaktiven Beweisen haben ca. 10 Iterationen genügt. Das reicht bei einem nicht-interaktiven Beweis nicht mehr aus, da eine Betrügerin ständig von vorne anfangen kann und somit den Wert der Hashfunktion nach ihrem Geschmack beeinflussen. 17

18 Literaturverzeichnis [1] Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter, Moderne Verfahren der Kryptographie, Friedr. Vieweg Sohn Verlag/GWV Fachverlage GmbH, Wiesbaden 2004 [2] Bruce Schneier, Angewandte Kryptographie, Addison Wesley, 1996 [3] Hans Delfs und Helmut Knebl, Introduction to Cryptography, 1st ed, Springer

19 Inhaltsverzeichnis 19

20 Abbildungsverzeichnis 20