Algorithmische Kryptographie Kapitel 19 Zusammenfassung 2

Transkript

1 Algorithmische Kryptographie Kapitel 19 Zusammenfassung 2 Walter Unger Lehrstuhl für Informatik 1 3. Februar 2009

2 Protokolle Wie arbeitet das Geburtstagsprotokoll Wie geht der Schlüsselaustausch nach Diffie Hellman Wie kann man den Austausch noch verbessern Wie ist die Idee zur Zufallszahlengenerierung Wie ist die Idee zur Kartenverteilung Wie ist die Idee zur Kartenverteilung Welche Protokolle zur Vergesslichen Übertragung gibt es Wie mache ich eine vergessliche Übertragung Wie kaufe ich eins von zwei Geheimnisen Welche Protokolle zum Bit Commitment gibt es Wie geht Bit Commitment mit quadratischem Rest Wie geht Bit Commitment mit diskreten Logarithmus Wie sicher sind diese Verfahren Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment Wie geht das Identifikationsverfahren von Shamir Wie geht ein Betrug beim Identifikationsverfahren von Shamir ZKP Wie ist die formale Definition eines ZKP Wie geht ein ZKP für: Graphisomorphismus Wie geht ein ZKP für: Independent Set Wie geht ein ZKP für: Hamilton Kreis Wie geht ein ZKP für: 3-Färbung

3 Wie geht ein ZKP für: 3-SAT Wie geht der ZPK nach Shamir Wie geht der ZPK Beweis für Fiat-Shamir Welche Sicherheit hat der Verifizierer Für welche Probleme aus NPC gibt es ZKP Ist die Parallelausführung eines ZKP auch wieder ZKP Ist die Seriellausführung eines ZKP auch wieder ZKP Wie macht man eine Identifikation mit ZKP als Basis Wie arbeitet Fiat-Shamir Wie macht man eine Unterschrift mit ZKP als Basis Wahlen Welche einfachen Wahlprotokolle gibt es Welche einfachen Wahlprotokolle gibt es Wie geht das Protokoll mit vertrauensunwürdigem Legitimator Wie wird einfach mit mehreren Mischern gemischt Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) Wozu dient die phi Funktion beim Wählen mit Mischern Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) Wie geht der ZPK beim zweiten Protokoll mit Mischern Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)

4 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpre Wo benutzt man die Lagrange Interpolation Wozu dient eine Homomorphe Verschlüsselung Wozu dient ein Threshold-Scheme Wie baut man ein Threshold-Scheme Was ist die Idee des Homomorphen Wahlverfahrens Wie beweisen die Auszähler die Korrektheit ihrer Werte Wie beweisen die Auszähler die Korrektheit ihrer Werte Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme Geld Wie ist die Idee einer Elektronischen Brieftasche nach Even Was ist die Idee bei fairem Elektronischen Geld (on-line) Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line) Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line)

5 Wie arbeitet das Geburtstagsprotokoll (19:1) Walter Unger Frage 1: Wie arbeitet das Geburtstagsprotokoll? A: i, 1 i 100, E A, D A, s B: j, 1 j 100, E A, s x := zufällige Zahl (x > s) k := E A (x) Für 1 u 100: j j := k j y u := D A (j + u) = D A (k j + u) Beachte: y j = x (aber A weiß es nicht) p := Primzahl mit p < s z u := y u mod p mit z u z u 2 für 1 u 100 und 0 < z u < p 1 Falls u i: z u := z u, Falls u > i: z u := z u + 1 Beachte: z j y j (mod p)) i j z u, p 1 u 100 Ergebnis j := z j mod p Teste, ob j x (mod p) Falls ja : i j Falls nein : i < j

6 Wie geht der Schlüsselaustausch nach Diffie Hellman (19:2) Walter Unger Frage 2: Wie geht der Schlüsselaustausch nach Diffie Hellman? A: p, g B: p, g Wählt a (0 a p 2) c := g a mod p k := d a = (g b ) a c d Wählt b (0 b p 2) d := g b mod p k := c b = (g a ) b

7 Wie kann man den Austausch noch verbessern (19:3) Walter Unger Frage 3: Wie kann man den Austausch noch verbessern? A: p, g, E A, D A, E B, E sym, D sym B: p, g, E B, D B, E A, E sym, D sym Wählt a 0 a p 2 c := g a mod p c Wählt b 0 b p 2 d := g b mod p k := c b = g ab k := d a = (g b ) a g a g b =? E B (D sym k (E sym k (s))) s := D A (g a g b ) d, E sym k (s) E sym k (s ) s := D B (g a g b ) g a g b? = E A (D sym k (E sym k (s)))

8 Wie ist die Idee zur Zufallszahlengenerierung (19:4) Walter Unger Frage 4: Wie ist die Idee zur Zufallszahlengenerierung? A: p, q ˆ= zufällige Primzahlen B: n := p q n wähle u {1,..., n } 2 Berechne Quadratwurzeln ±x, ±y mit: (±x) 2 z mod n; (±y) 2 z mod n x := min{+x, x}; y := min{+y, y} mit Position i, die x, y unterscheidet, d.h. x = w0w, y = w1w mit w = i Wähle r {0, 1} (d.h. wähle x {x, y }) A rät, ob x die von B geratene war. Teste x, y, u, e z i, r e, u p, q z := u 2 mod n e = 0 u {0, 1} i r{0, 1} Teste p, q Teste n = p q

9 Wie ist die Idee zur Kartenverteilung (19:5) Walter Unger Frage 5: Wie ist die Idee zur Kartenverteilung? A würfelt an B 5 Karten. Nur B kennt seine 5 Karten. Aus den verbleibenden 47 Karten würfelt B an A 5 Karten. Nur A kennt seine 5 Karten. A und B machen eine Spielrunde. A und B legen die Daten der obigen Protokolle offen. A und B testen die Protokolle.

10 Wie ist die Idee zur Kartenverteilung (19:6) Walter Unger Frage 6: Wie ist die Idee zur Kartenverteilung? A: n i, p i, q i, t i j n i!, B: Mischt die Karten Für i {1,..., 52} bestimme: Primzahlen p i, q i mit p i q i 3 mod 4 n i = p i q i T i = (t i 1 ti 2... ti 6 ) mit t i j n i! = 1 und t i j QR ni Bit j in bin(i) ist 1 Bestimmt x i : x 2 i x 2 i (mod n i ) n i, 1 i 52 t i j, 1 j 6 Würfeln x i 1 i 52 xi 2 xi mod n i, für i I xk 2 mod n xk k, für i I n k n i x i x «, i xi = n i n i für i I x i, x i n i «= xi n i für i I t i j n i!, x i nur B kennt die x i kann x i nicht wählen wählt I {1,..., 52} mit I = 5 faktorisiert n j für j I Bestimmt Karten für j I aus t j, 1 l 6 l

11 Welche Protokolle zur Vergesslichen Übertragung gibt es (19:7) Walter Unger Frage 7: Welche Protokolle zur Vergesslichen Übertragung gibt es? Mit gegebener Wahrscheinlichkeit übertragen. Ein Geheimnis kaufen.

12 Wie mache ich eine vergessliche Übertragung (19:8) Walter Unger Frage 8: Wie mache ich eine vergessliche Übertragung? A: p, q, n = p q B: n x := Zufallszahl y y := x 2 mod n Bestimme x, x mit (±x) 2 y mod n (±x ) y mod n wähle z {x, x } z Fall a: z ±x (mod n) Fall b: z ±x (mod n) Nur im Fall b kann n faktorisiert werden

13 Wie kaufe ich eins von zwei Geheimnisen (19:9) Walter Unger Frage 9: Wie kaufe ich eins von zwei Geheimnisen? A: s 0, s 1 B: i {0, 1} zufällig wählt x : 0 x p 2 β i = g x mod p β 0, β 1 β 1 i = c(g x ) 1 mod p? Teste β 0 β 1 c für j {0, 1}: y j {0,..., p 2} α j := g y j γ j := β y j j r j := s j γ j α j, r j 0 j 1 α x i g xy i β y i i =: γ i (mod p) s i := γ i r i

14 Welche Protokolle zum Bit Commitment gibt es (19:10) Walter Unger Frage 10: Welche Protokolle zum Bit Commitment gibt es? Mit quadratischem Rest. Mit diskreten Logarithmus

15 Wie geht Bit Commitment mit quadratischem Rest (19:11) Walter Unger Frage 11: Wie geht Bit Commitment mit quadratischem Rest? P: b {0, 1} V: wählt p, q große Primzahlen n := p q wählt v QNR +1 n wählt r Z n c := r 2 v b mod n n, c, v Commit(b) p, q, r, b Open(b) Teste p, q Primzahlen Teste n = p q Teste r Z n Teste v QNR +1 n Teste c? r 2 v b (mod n)

16 Wie geht Bit Commitment mit diskreten Logarithmus (19:12) Walter Unger Frage 12: Wie geht Bit Commitment mit diskreten Logarithmus? P: m {0,..., q 1} V: wähle r {0,..., q 1} c := g r v m mod p c r, m Test c? g r v m (mod p)

17 Wie sicher sind diese Verfahren (19:13) Walter Unger Frage 13: Wie sicher sind diese Verfahren? Verfahren mit diskreten Logarithmus: Die Box kann nicht geöffnet werden, die Sicherheit ergab sich durch die nicht-lösbarkeit von quadratischen Resten. Es gab keine Aussage, das die Box nicht verändert werden konnte. Verfahren mit quadratischen Resten: Die Box kann nicht verändert werden, die Sicherheit ergab sich durch die nicht-lösbarkeit vomdiskreten Logarithmus. Es gab keine Aussage, das die Box nicht unbefugt geöffnet werden konnte.

18 Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment (19:14) Walter Unger Frage 14: Gibt es gleichzeitige perfekte Sicherheit für beide Parteien beim Bit Commitment? 1. Angenommen es gibt einen deterministischen Algorithmus C mit C : {0, 1} n {0, 1} {0, 1} s, der eine solche Lockable Box sicherstellt. 2. Wenn nun P ein Commitment c = C(r, b) macht, dann könnte nun V mit ausreichender Rechenleistung b bestimmen. 3. Um dies zu verhindern, muß es r geben mit c = C(r, 1 b). 4. Damit ist aber nun P in der Lage mit ausreichender Rechenleistung die Box sowohl für b als auch für 1 b zu öffnen.

19 Wie geht das Identifikationsverfahren von Shamir (19:15) Walter Unger Frage 15: Wie geht das Identifikationsverfahren von Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 a e b := ry e b wählt e {0, 1} zufällig Test b 2? ax e (mod n)

20 Wie geht ein Betrug beim Identifikationsverfahren von Shamir (19:16) Walter Unger Frage 16: Wie geht ein Betrug beim Identifikationsverfahren von Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 a wählt e {0, 1} zufällig b := ry e e b Test b 2? ax e (mod n) P : n, x wählt r Z n zufällig wählt e {0, 1} zufällig a := r 2 x e b := r V: n, x a e wählt e {0, 1} zufällig b Test b 2? ax e (mod n)

21 Wie ist die formale Definition eines ZKP (19:17) Walter Unger Frage 17: Wie ist die formale Definition eines ZKP? Definition Ein interaktives System ist Zero-Knowledge, falls gilt: Es gibt einen probabilistischen Simulator S(V,x) mit: S bestimmt ein akzeptierendes Transscript t in polynomieller Zeit. t und tr P,V (x) sind statistisch (algorithmisch) nicht zu unterscheiden.

22 Wie geht ein ZKP für: Graphisomorphismus (19:18) Walter Unger Frage 18: Wie geht ein ZKP für: Graphisomorphismus? P: G 1, G 2, e : G 1 = e G 2 V: G 1 = (V,E), G 2 = (V, E ) wählt Isomorphismus e bestimmt G α : G α =e G 1 G α wählt x {1, 2} x falls x = 1 : f := e falls x = 2 : f := e e f testet: G α = f G x

23 Wie geht ein ZKP für: Independent Set (19:19) Walter Unger Frage 19: Wie geht ein ZKP für: Independent Set? P: G = (V,E), V = t, I V : I = k mit: V: G,t und k a, b I : {a, b} E bestimmt B 1,..., B t mit: δ(b 1,..., B t ) = V bestimmt I = {i δ(b i ) I } bestimmt B ij, 1 i < j t mit: δ(b ij ) = 1 {δ(b j ), δ(b i )} E B ij, B i 1 i < j t x wähle x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) 1 i t i < j t testet G Falls x = 1, dann machen beide δ(b ij ) {i, j} I testet I

24 Wie geht ein ZKP für: Hamilton Kreis (19:20) Walter Unger Frage 20: Wie geht ein ZKP für: Hamilton Kreis? P: G = (V,E), V = t und H mit: V: G = (V,E), V = t H = (V,F) = C t bestimmt B 1,..., B t mit: δ(b 1,..., B t ) = V bestimmt B ij, 1 i < j t mit: δ(b ij ) = 1 {δ(b j ), δ(b i )} E F = {{i, j} {δ(b i ), δ(b j )} F } B ij, B i 1 i < j t x wähle x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) 1 i t i < j t Falls x = 1, dann machen beide δ(b ij ) i < j {i, j} F testet G testet C t

25 Wie geht ein ZKP für: 3-Färbung (19:21) Walter Unger Frage 21: Wie geht ein ZKP für: 3-Färbung? P: G = (V,E), V = t V: G = (V,E) kennt c : V {1, 2, 3} mit: (a, b) E : c(a) c(b) bestimmt B i, B c i, B ij (1 i, j 3t): (v, c) V {1, 2, 3} : j : δ(b j ) = v j δ(b c j ) = c δ(b ij ) = 1 (δ(b i ), δ(b j )) E δ(b c i ) = c(δ(b i)) δ(b c j ) = c(δ(b j)) B i, B c i, B ij 1 i, j 3t x wählt x {0, 1} Falls x = 0, dann machen beide δ(b i ), δ(b ij ) testet G und 2t 1 i, j 3t isolierte Knoten Falls x = 1, dann machen beide δ(bi c ), δ(b ij ) 1 i, j 3t δ(bi c ) = δ(bc j ) testet: keine Kante sichtbar

26 Wie geht ein ZKP für: 3-SAT (19:22) Walter Unger Frage 22: Wie geht ein ZKP für: 3-SAT? P: F V: F Bestimmt B ijk, B i, Bi T B ijk, B i, Bi T x wähle x {0, 1} falls x = 0 δ(b i ) und δ(b ijk ) teste die Darstellung der Formel F falls x = 1 δ(bi T ) und δ(b ijk ) mit ( ) teste auf korrekte Wahrheitsbelegung, d.h. alle geöffneten B ijk müssen 0 enthalten (d.h. keine Klausel ist false) Dabei bedeutet ( ): Jeder Index ist entweder von der Form x und δ(b T x ) = false oder von der Form x und δ(b T x ) = true.

27 Wie geht der ZPK nach Shamir (19:23) Walter Unger Frage 23: Wie geht der ZPK nach Shamir? P: n, p, q, x, y V: n, x wählt r Z n zufällig a := r 2 mod n a e wählt e {0, 1} zufällig b := ry e mod n b Test b 2? ax e (mod n) Falls e = 0 b = r Test r 2? a (mod n) Falls e = 1 b = ry Test r 2 y 2? ax (mod n)

28 Wie geht der ZPK Beweis für Fiat-Shamir (19:24) Walter Unger Frage 24: Wie geht der ZPK Beweis für Fiat-Shamir? Beweis. Transscript der Kommunikation: tr(n) = {(a, e, b) QR n {0, 1} Z n b 2 ax e (mod n)} Simulator (V,x): while true do 1. wähle e {0, 1}, b Z n gleichverteilt 2. a := b 2 x e 3. e := V(a) 4. falls e = e return (a, e, b)

29 Welche Sicherheit hat der Verifizierer (19:25) Walter Unger Frage 25: Welche Sicherheit hat der Verifizierer? Satz Wenn der Prover im Shamir-Protokoll mit Wahrscheinlichkeit > 1/2 betrügen kann, dann kann er die Quadratwurzel bestimmen. Beweis. 1. Betrüger kennt b 1 und b 2 mit: b 2 1 = a und b 2 2 = ax. 2. Damit kann er bestimmen: y = b 2 /b 1, d.h. die Wurzel von x.

30 Für welche Probleme aus NPC gibt es ZKP (19:26) Walter Unger Frage 26: Für welche Probleme aus NPC gibt es ZKP? Alle.

31 Ist die Parallelausführung eines ZKP auch wieder ZKP (19:27) Walter Unger Frage 27: Ist die Parallelausführung eines ZKP auch wieder ZKP? P: f, X V: v wählt v {1, 2} Falls v = 1: wählt α {0, 1} n α wählt β, γ {0, 1} n Testet f (αβ) =? γ β, γ Geheimnis X Falls v = 2: wählt β {0, 1} n α β, f (αβ) wählt α {0, 1} n

32 Ist die Seriellausführung eines ZKP auch wieder ZKP (19:28) Walter Unger Frage 28: Ist die Seriellausführung eines ZKP auch wieder ZKP? Satz Falls ein Protokoll Zero-Knowledge ist, dann ist die Hintereinanderausführung des Protokolls auch Zero-Knowledge. Beweis. tr 1 (n) [tr 2 (n )] Transscript des 1. [2.] Zero-Knowledge-Proofs. Dann ist tr 1 (n) tr 2 (n ) Transscript der Hintereinanderausführung. Sei S 1 [S 2 ] Simulator für den 1. [2.] Zero-Knowledge-Proofs. Sei weiter t i Ausgabe von Simulator S i (i {1,2}). Dann ist t 1 t 2 statistisch (algorithmisch) nicht von tr 1 (n) tr 2 (n ) zu unterscheiden. Dann ist S 1 S 2 Simulator für die Hintereinanderausführung.

33 Wie macht man eine Identifikation mit ZKP als Basis (19:29) Walter Unger Frage 29: Wie macht man eine Identifikation mit ZKP als Basis? P: i(p) = (c 1,..., c k ) V: p i (P) = (d 1,..., d k ) p i (P) = (d 1,..., d k ) Für alle 1 j k gilt dabei: d j cj 2 ±1 mod n wähle r IN wähle x {±r 2 mod n} x S wähle Teilmenge S {1,..., k} y := r Q j S c j mod n y Teste: x ±y 2 Q j S d j (mod n) Beachte: y 2 Q j S d j r 2 Q j S c2 j d j ±r 2 ±x (mod n). Betrugsmöglichkeit: Rate S und sende ±r 2 Q j S d j mod n als x und y = r als Antwort.

34 Wie arbeitet Fiat-Shamir (19:30) Walter Unger Frage 30: Wie arbeitet Fiat-Shamir? P: n, p, q, x, y V: n, x mit: y = (y 1,..., y t ) und x = (y1,...,y 2 t 2 ) und n = p q wählt r Z n zufällig a := r 2 a wählt e {0, 1} t e e = (e 1,..., e t ) zufällig b := r Q t i=1 ye i i b Test b 2? a Q t i=1 xe i i (mod n)

35 Wie macht man eine Unterschrift mit ZKP als Basis (19:31) Walter Unger Frage 31: Wie macht man eine Unterschrift mit ZKP als Basis? Unterschrift erzeugen: 1. Wähle zufällig (r 1,...,r k ) (Z n) k mit a j := rj 2 für 1 j k. 2. Bestimme e :=(e ij ) 1it,1jk = h(m a 1 a 2... a k ). t 3. b j := r j i=1 ye ij i für 1 j k 4. b = (b 1,...,b k ) 5. s = (b,e) ist die Unterschrift von P unter m. Test der Unterschrift: 1. Setze a j := bj 2 t i=1 xe ij i für 1 j k. 2. Akzeptiere die Unterschrift, falls e = h(m a 1 a 2... a k ).

36 Welche einfachen Wahlprotokolle gibt es (19:32) Walter Unger Frage 32: Welche einfachen Wahlprotokolle gibt es? Mit Auszähler und Verifizierer Mit Mischern Ohne Erpressbarkeit

37 Welche einfachen Wahlprotokolle gibt es (19:33) Walter Unger Frage 33: Welche einfachen Wahlprotokolle gibt es? A j : E L, E C L: E L, D L, E C stimmt ab, d.h. wählt v(a j ) K bestimmt Geheimnis s(a j ) W j = E L (E C ((i(a j ), v(a j ), s(a j )))) Identifikation Protokoll i(a j ) W j bestimmt i(a j ) V j = D L (W j ) C: E L, D L, E C L: E L, D L, E C kennt i(a j ) (1 j t) kennt V j = E C ((i(a j ), v(a j ), s(a j ))) bestimmt I = {i(a j ) 1 j n} I, V bestimmt für x K S x = {t y V z I : y = (z, x, t)} veröffenlicht die S x. bestimmt V = {V l 1 l n}

38 Wie geht das Protokoll mit vertrauensunwürdigem Legitimator (19:34) Walter Unger Frage 34: Wie geht das Protokoll mit vertrauensunwürdigem Legitimator? A j : L: wählt i {1,..., n k } bestimmt s S y := f (s) wählt v bestimmt s S y := f (s ) wählt neu v Identifikation Protokoll t i kauft dies geheim bestimmt t x, 1 x n k bestimmt S und f v, y, t i anonym testet: x {1,..., n k } : t x = t i v, f (s ), t i, s anonym testet: x {1,..., n k } : t x = t i testet: f (s)? = y

39 Wie wird einfach mit mehreren Mischern gemischt (19:35) Walter Unger Frage 35: Wie wird einfach mit mehreren Mischern gemischt? ϕ(g b i a 1 a 2... a k ) b i Stimme für Kandidat ϕ(... b i...). g b i Verschlüsselte Stimme g b i a 1 a 2... a k Verschlüsselte Stimme und k-mal gemischte Stimme ϕ(g b i a 1 a 2... a k ) durch b i gewählter Kandidat. Damit braucht der Wähler: ϕ und g a 1 a 2... a k Systemaufbau: g, q, ϕ Mischer S i bestimmt a i. Mischer bestimmen g a 1 a 2... a k Wähler wählt und veröffentlicht: g b i. Mischer bestimmen g b i a 1 a 2... a k Auszählung der ϕ(g b i a 1 a 2... a k )

40 Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:36) Walter Unger Frage 36: Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)? C: B: bestimmt p grosse Primzahl bestimmt g Generator in Zq mit q = pk bestimmt Funktion ϕ : Zq K C, q, g, ϕ (C, q, g, ϕ) S i : B: wählt a i Z q mit ggt(a i, q 1) = 1 bestimmt also: f i (x) = x a i mod q bestimmt c i = g a i S i, c i (S i, c i ) S 1 : B: sei z 0 = g bestimmt z 1 = f 1 (z 0 ) S 1, z 0, z 1 (S 1, z 0, z 1 ) S i : (i 2) B: S bestimmt z i = f i (z i 1 ) i 1, z i 2, z i 1 Si, z i 1, z i (S i, z i 1, z i ) S i : C: c i = g a i a i : c i = g a i z i = z a i i 1 z i = f i (z i 1 ) = z a i i 1 Zero-Knowledge-Proof (C, z 0, z k )

41 Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf) (19:37) Walter Unger Frage 37: Was ist die Idee beim ersten Protokoll mit Mischern (mit Stimmkauf)? A i : B: (C, q, g, ϕ) (S i, c i ) (S i, z i 1, z i ) getestet rät solange ein b i bis ϕ(z b i k ) = K i (C, z 0, z k ) setzt v i = g b i (A i, v i ) (A i, v i ) C: B: Testet die (A i, v i ) s A i, v i (1 i n) Falls Fehler/Betrug vorliegt A i, v i, ungültig Damit wird (A i, v i ) gelöscht. C: B: X 0 = SORT{v l 1 l n} A i, v i (1 i n) X0 = (w 0 1, w0 2,..., w0 n ) X 0 = (w 0 1, w0 2,..., w0 n ) S i : B: X i = SORT{(w i 1 ) a i 1 l n} X i 1 = (w i 1 1, w i 1 2,..., wn i 1 ) l Xi = (w1 i, wi 2,..., wi n ) X i = (w1 i, wi 2,..., wi n ) C: B: E x = {w X k ϕ(w) = x} X k = (w1 k, wk 2,..., wk n ) Ex (x K) E x ( x K)

42 Wozu dient die phi Funktion beim Wählen mit Mischern (19:38) Walter Unger Frage 38: Wozu dient die phi Funktion beim Wählen mit Mischern? Kandidaten auf grossen Wertebereich abbilden. Umgehen des Lösen des Diskreten Logarithmus.

43 Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf) (19:39) Walter Unger Frage 39: Was ist die Idee beim zweiten Protokoll mit Mischern (ohne Stimmkauf)? Erzeuge Wahlzettel (Tokens) Vermische Tokens, Beweis per ZKP gebe gemischtes Token den Wählern Vermische Tokens, Beweis per ZKP Wähler wählt Entmische Tokens, Beweis per ZKP Auszählung der Stimmen

44 Wie geht der ZPK beim zweiten Protokoll mit Mischern (19:40) Walter Unger Frage 40: Wie geht der ZPK beim zweiten Protokoll mit Mischern? P: q,a,g,c = g a,x,y = f (x) = x a V: q,g,c,x,y wählt i und j m 1 m 1 = x i g j wählt l m 2 = m 1 g l m 3 = f (m 2 ) m 2,m 3? testet m 1 = x i g j i,j l testet m 2? = m1 g l testet m 3? = y i g a(j+l) Beachte: m 3 = f (m 2 ) = f (x i g j g l ) = (f (x)) i (f (g)) j+l = y i (g a ) j+l. Bekannt sind zwei Listen x 1,x 1,...,x t und y 1,y 1,...,y t. Zeige per Zero-Knowledge-Proof, dass es eine Permutatione π gibt mit: f (x i ) = y π(i).

45 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:41) Walter Unger Frage 41: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? C: B: bestimmt q große Primzahl bestimmt g Generator in Zq C, q, g (C, q, g) S i : B: wählt a i Z q mit ggt(a i, q 1) = 1 (C, q, g) bestimmt also: f i (x) = x a i mod q bestimmt c i = g a i S i, c i (S i, c i ) C: B: bestimmt t n Tokens: (x {x j,0 1 j t} 1,0, x 2,0,..., x t,0) (x 1,0, x 2,0,..., x t,0 ) S i : B: bestimmt Permutation π i bestimmt x j,i = (x π(j),i 1 ) a i (x 1,i, x 2,i,..., x t,i) (x 1,i, x 2,i,..., x t,i ) C: A j : wählt t j und Token x tj,k x tj,k x tj,k = y j

46 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:42) Walter Unger Frage 42: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? S 1,...,k : B: (C, q, g), (S i, c i ) (x 1,0, x 2,0,..., x t,0 ) bestimmen gemeinsam (x 1,i, x 2,i,..., x t,i ) (1 i t) Verschlüsselung E E E A j : y j S 1 : a 1 wählt r y j,0 = y j g r y j,0 y j,1 = w j,1 c r w 1 j,1 w j,1 = f 1 (y j,0 ) = (y j,0 ) a 1 A j : y j S i : a i wählt r y j,i 1 g r y j,i 1 y j,i = w j,i c r w j,i i w j,i = f i (y j,i 1 ) = (y j,i 1 ) a 1 A j : z j, y j B: E(v j, z j ) anonym bestimmt E(v j, z j ) E(v j, z j )

47 Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf) (19:43) Walter Unger Frage 43: Was geht das zweite Protokoll mit Mischern (ohne Stimmkauf)? S 1,2,...,k : E 1 B: (v j, z j ) = E 1 (E(v j, z j )) (C, q, g), (S i, c i ) E(v j, z j ) (x 1,0, x 2,0,..., x t,0 ) (x 1,i, x 2,i,..., x t,i ) (1 i t) (1 j n) (v j, z j ) (v j, z j ) (1 j n) C: E 1 B: h für jeden Kandidaten x K: j = (v j, z j ) L x,0 = SORT{z (1 j n) j j : h j = (x, z)} L x,0 L x,0 S i : a i B: L (y 1, y 2,..., y n ) = L x,i 1 x,i 1 bestimmt Permutation π i z j = (y π(j) ) a i bestimmt Permutation ρ i x j = (z ρ(j) ) a i L L x,i = (x 1, x 2,..., x n ) x,i L x,i

48 Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpressbar sind (19:44) Walter Unger Frage 44: Welche Idee wird genutzt, um eine Wahl zu machen, bei der die Wähler nicht erpressbar sind? Mischen und Beweis des korrekten Mischens mit ZPK.

49 Wo benutzt man die Lagrange Interpolation (19:45) Walter Unger Frage 45: Wo benutzt man die Lagrange Interpolation? Lemma Sei f (X) = P t 1 i=0 a ix i Z p [X] ein Polynom vom Grad t 1. Sei weiter: P := {(x i, f (x i )) i = 1,..., t, x i x j für i j}. Dann gilt (Lagrange Interpolation): f (X) = tx Y f (x i ) i=1 1jt,i j X x j x i x j Beweis. 1. Beachte die rechte Seite ist ein Polynom vom Grad t Falls man dort X durch x i ersetzt, dann gilt f (x i ) = g(x i ). 3. Wegen der Eindeutigkeit des Polynoms folgt dann die Behauptung.

50 Wozu dient eine Homomorphe Verschlüsselung (19:46) Walter Unger Frage 46: Wozu dient eine Homomorphe Verschlüsselung? Stimmauszählung: Sei r 1, r 2, m 1, m 2 {0,..., q 1}, dann gilt: Com(r 1, m 1 ) Com(r 2, m 2 ) = g r 1 v m 1 g r 2 v m 2 = g r 1 g r 2 v m 1 v m 2 = g r 1+r 2 v m 1+m 2 = Com(r 1 + r 2, m 1 + m 2 ) Damit haben wir ein homomorphes Commitment-Schema. Das können wir als Grundlage für Wahlen verwenden. Stimme wird in m i kodiert. Auszählung der Stimmen geht ohne das Öffnen der Einzelstimmen.

51 Wozu dient ein Threshold-Scheme (19:47) Walter Unger Frage 47: Wozu dient ein Threshold-Scheme? Sicherheit gegen Sabotage eines Auszählers. Sicherheit gegen Zusammenarbeit der Auszahler.

52 Wie baut man ein Threshold-Scheme (19:48) Walter Unger Frage 48: Wie baut man ein Threshold-Scheme? n Stützstellen eines Polynoms vom Grad t 1.

53 Was ist die Idee des Homomorphen Wahlverfahrens (19:49) Walter Unger Frage 49: Was ist die Idee des Homomorphen Wahlverfahrens? Wähler i wählt m i {0, 1} und Zufallszahl r i {0,... q 1}. Wähler i bestimmt c i := g r i v m i. Wähler i veröffentlicht c i. Wähler i verschlüsselt für T den Wert E T (g r i ). T bestimmt: ny D T ( E T (g r i )) = i=1 ny g r i = g P n i=1 r i i=1 T veröffentlicht: g P n i=1 r i. Jeder Wähler kann bestimmen: Q n i=1 c i g P n i=1 r i = Q n i=1 gr i v m i g P n i=1 r i = g P ni=1 r i v P n i=1 m i g P n i=1 r i = v Pn i=1 m i

54 Wie beweisen die Auszähler die Korrektheit ihrer Werte (19:50) Walter Unger Frage 50: Wie beweisen die Auszähler die Korrektheit ihrer Werte? 1. Ein Auszähler A j muss zeigen, dass w j? = c s j 1 gilt. 2. Dabei ist bekannt, dass h j = g s j gilt. 3. D.h. es ist zu zeigen, dass der diskrete Logarithmus gleich ist für h j und w j. P: x,y 1,y 2,g 1,g 2,p,q V: y 1,y 2,g 1,g 2,p,q Es gilt: y 1 = g1 x und y 2 = g2 x. r {0,...,q 1} zufällig a := (a 1,a 2 ) := (g1 r,gr 2 ) a c c {0,...,q 1} zufällig b := r cx b Teste: a 1? g b 1 y c 1 Teste: a 2? g b 2 y c 2 (mod p) (mod p)

55 Wie beweisen die Auszähler die Korrektheit ihrer Werte (19:51) Walter Unger Frage 51: Wie beweisen die Auszähler die Korrektheit ihrer Werte? 1. Ein Auszähler A j muss zeigen, dass w j? = c s j 1 gilt. 2. Dabei ist bekannt, dass h j = g s j gilt. 3. D.h. es ist zu zeigen, dass der diskrete Logarithmus gleich ist für h j und w j. P: x,y 1,y 2,g 1,g 2,p,q V: y 1,y 2,g 1,g 2,p,q Es gilt: y 1 = g1 x und y 2 = g2 x. r {0,...,q 1} zufällig a := (a 1,a 2 ) := (g1 r,gr 2 ) c := h(g 1 y 1 g 2 y 2 a 1 a 2 ) c,b c =? h(g 1 y 1 g 2 y 2 g1 byc 1 gb 2 yc 2 )

56 Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens (19:52) Walter Unger Frage 52: Wie ist die Idee des gemeinsamen Aufbau eines Verschlüsselungsverfahrens? 1. Alle A i einigen sich auf einen Algorithmus A s zur Schlüsselerzeugung mit Zufallseingabe r. 2. Jedes A i wählt r i und bestimmt c i = LockableBox(r i ). 3. Alle A i veröffentlichen c i. 4. Alle A i veröffentlichen r i. 5. Alle A i testen c j = LockableBox(r j ). 6. Alle A i bestimmen r := n r=1r i. 7. Alle A i nutzen A s um p, q, g zu bestimmen.

57 Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme (19:53) Walter Unger Frage 53: Was ist die Idee des gemeinsamen Aufbau eines Threshold-Scheme? 1. Alle A i wählen p Primzahl mit p > max(x,n) d.h. p > max(n x i,n). 2. Jedes A i wählt f i,j {0,...,p 1} für j = 1,...,t 1 und setzt f i,0 := x i. Dann wird gesetzt: f i (X) := t 1 j=0 f i,jx j 3. Alle A i setzen F i,j := g f i,j und veröffentlichen diese für j = 1,...,t Alle A i testen, ob n i=1 f i(x) einen Grad von t 1 hat.? 1? 0). Dazu wird getestet, ob n i=1 F i,t 1 (Also: n i=1 f i,t 1 5. Jedes A i verteilt s i,l = f i (l) an die anderen A l über sichere Kanäle. 6. Jedes A i testet, ob die empfangenen s l,i die richtigen sind. D.h. A i testet g s? l,i = t 1 j=0 (F l,j) ij (Also: f l (i) =? t 1 j=0 f j,li j ). 7. Jedes A i setzt s i := n l=1 s l,i. 8. Jedes A i signiert bei fehlerfreien Ablauf das h.

58 Wie ist die Idee einer Elektronischen Brieftasche nach Even (19:54) Walter Unger Frage 54: Wie ist die Idee einer Elektronischen Brieftasche nach Even? Unterschriften unter Schludscheinen und Quittungen.

59 Was ist die Idee bei fairem Elektronischen Geld (on-line) (19:55) Walter Unger Frage 55: Was ist die Idee bei fairem Elektronischen Geld (on-line)? P: x, y, g, p, q V: y, g, p, q, m r {0,..., q 1} zufällig a := g r a c = h(m,...) b := r cx c b teste: a? g b y c β (u,v,w) : G Z 2 q G Z2 q mit: a = a u g v y w (a, c, b) (a, c, b) c = uc + w b = ub + v P: x, y, g, p, q V: y, g, p, q, m r {0,..., q 1} a := g r a u, v, w {0,..., q 1}, v 0 zufällig b := r cx c a := a u g v y w und c := h(m a) c := (c w)u 1 b Teste: a? g b y c b := ub + v und σ(m) := (c, b) Ein Test dieser Unterschrift erfolgt durch c? = h(m g b y c ).

60 Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line) (19:56) Walter Unger Frage 56: Wie erfolgt die Rückverfolgung beim fairem Elektronischen Geld (on-line)? Staat kennt Umformung der Blinden Unterschrift.

61 Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line) (19:57) Walter Unger Frage 57: Wie sind die Sicherheitsaspekte beim fairem Elektronischen Geld (on-line)? Bank: g, g 1, g 2, x, y, y C, p, q Kunde: g, g 1, g 2, x C, y C, y, p, q r {0,..., q 1} a := g r a u, v, w {0,..., q 1}, v 0 a := aa u g v y w c, E yt (u, v, w) c := h(a) c := c(c w)u 1 Sicherheitstest: Münzerzeugung: Staat: g, g 1, g 2, x T, y T, y C, y, p, q a, c, E yt (u, v, w) (u, v, w) := D yt (E yt (u, v, w)) Test uc + w = h(a u g v y w ) Testergebnis Speichert: (a, c) (u, v, w) Kunde: g, g 1, g 2, x C, y C, y, p, q b := r cx b Teste: a? g b y c b := bub + v σ := (c, b) ist die Münze Münztest: c = h(g b y c ) Laden: g, g 1, g 2, x S, y S, y, y C, p, q Kunde: g, g 1, g 2, x C, y C, y, p, q Test: c = h(g b y c ) (c, b) Sicherheitstest Bank: g, g 1, g 2, x, y, y C, p, q (c, b) Test: c = h(g b y c ) Testergebnis Test: (c, b) Ersteinzahlung