Упрощенная схема идентификации Feige-Fiat-Shamir


Перед выдачей любых закрытых ключей арбитр выбирает случайный модуль, n, который является произведением двух больших простых чисел. В реальной жизни длина nдолжна быть не меньше 512 битов и лучше как можно ближе к 1024 битам. nможет общим для группы контролеров. (Использование чисел Блюма (Blum) облегчит вычисления, но не является обязательным для безопасности.)

Для генерации открытого и закрытого ключей Пегги доверенный арбитр выбирает число v, являющееся квадратичным остатком mod n. Другими словами выбирается v так, чтобы уравнение x2 º v(mod n) имело решение, и существовало v-1mod n. Это vи будет открытым ключом Пегги. Затем вычисляется наименьшее s, для которого sº sqrt (v-1) (mod n). Это будет закрытый ключ Пегги. Используется следующий протокол идентификации.

(1) Пегги выбирает случайное r, меньшее n. Затем она вычисляет x =-r2mod n и посылает xВиктору.

(2) Виктор посылает Пегги случайный бит b.

(3) Если b= 0, то Пегги посылает Виктору r. Если b= 1, то Пегги посылает Виктору y= r*smod n.

(4) Если b= 0, Виктор проверяет, что x= -r2mod n, убеждаясь, что Пегги знает значение sqrt(x). Если b= 1, Виктор проверяет, что x= y2*vmod n, убеждаясь, что Пегги знает значение sqrt(v-1).

Это один этап протокола, называемый аккредитацией. Пегги и Виктор повторяют этот протокол tраз, пока Виктор не убедится, что Пегги знает s. Это протокол "разрезать и выбрать". Если Пегги не знает s, она может подобрать r так, что она сможет обмануть Виктора, если он пошлет ей 0, или она может подобрать r так, что она сможет обмануть Виктора, если он пошлет ей 1. Она не может сделать одновременно и то, и другое. Вероятность, что ей удастся обмануть Виктора один раз, равна 50 процентам. Вероятность, что ей удастся обмануть его tраз, равна 1/2t.

Виктор может попробовать вскрыть протокол, выдавая себя за Пегги. Он может начать выполнение протокола с с другим контролером, Валерией. На шаге (1) вместо выбора случайного r ему останется просто использовать значение r, которое Пегги использовало в прошлый раз. Однако, вероятность того, что Валерия на шаге (2) выберет то же значение b, которое Виктор использовал в протоколе с Пегги, равна 1/2. Следовательно, вероятность, что он обманет Валерию, равна 50 процентам. Вероятность, что ему удастся обмануть ее tраз, равна 1/2t.

Чтобы этот протокол работал, Пегги никогда не должна использовать r повторно. В противном случае, если Виктор на шаге (2) пошлет Пегги другой случайный бит, то он получит оба ответа Пегги. Тогда даже по одному из них он сможет вычислить s, и для Пегги все закончится.



Дата добавления: 2021-01-26; просмотров: 356;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.008 сек.