Score:1

หลักฐานความรู้ของคีย์ส่วนตัวจากการแลกเปลี่ยนคีย์ DH

ธง us

ให้กลุ่มที่สมมติฐาน DiffieâHellman (DH) คำนวณและกำเนิด .

สมมติว่ามีชุดของคีย์ส่วนตัวที่เลือกแบบสุ่ม {a, b, c, d, e,...} และชุดกุญแจสาธารณะที่เกี่ยวข้อง {A, B, C, D, E,...} คำนวณเป็น A=ก. กุญแจสาธารณะแต่ละอันจะถูกเชื่อมโยงแบบสาธารณะกับผู้ใช้/เจ้าของที่เกี่ยวข้อง

อลิซสามารถใช้คีย์ส่วนตัวได้ และกุญแจสาธารณะของ Bob , ในการคำนวณ K=aB. นี้ เค ใช้เป็นแท็กสำหรับผู้ใช้ทั้งสอง สามารถเปิดเผยต่อสาธารณะได้ เนื่องจากจะไม่ถูกใช้เพื่อเข้ารหัสข้อความ ใช้เป็นข้อมูลอ้างอิงเท่านั้น Bob สามารถตรวจสอบสิ่งนี้ได้โดยรู้ว่า Alice กำลังทำการร้องขอ (สมมติสิ่งนี้) คำนวณ K'=bA และตรวจสอบว่า K=K'. มีเพียงอลิซและบ็อบเท่านั้นที่รู้เรื่องนี้ เค เกี่ยวข้องกับพวกเขา

จากการคำนวณสมมติฐาน DH เค ไม่มีความหมายสำหรับผู้ใช้รายอื่น และ เค เป็นวิธีติดตามชุดค่าผสมนี้สำหรับผู้ใช้ที่เกี่ยวข้อง ในกรณีนี้คือ Alice และ Bob ตอนนี้ฉันสันนิษฐานว่าสิ่งนี้ เค ไม่ซ้ำกันต่อการรวมคีย์ส่วนตัว

เป็นไปได้ไหมที่จะพิสูจน์ว่า เค มีคีย์ส่วนตัวสองคีย์ที่แตกต่างจากชุดคีย์ส่วนตัวโดยไม่เปิดเผยคีย์ส่วนตัวหรือไม่

จำเป็นต้องใช้คีย์ส่วนตัว/สาธารณะเพื่อสร้างชุดค่าผสมอื่น เช่น ในกรณีของอลิซและชาร์ลี เอซีจี. ด้วยเหตุนี้ (M)LSAG ซึ่งใช้ใน Moreno จึงไม่สามารถใช้งานได้เนื่องจากต้องใช้คีย์ซ้ำ และลิงก์ดังกล่าวอาจเปิดเผยให้ Charlie ทราบว่า Alice ทำธุรกรรมบางอย่างกับคนอื่นจากชุดคีย์สาธารณะแล้ว

ฉันต้องการมีหลักฐานนี้เพื่อให้ผู้ใช้ทุกคนสามารถตรวจสอบได้ว่า เค ถูกต้อง (เช่น คำนวณโดยใช้คีย์ส่วนตัวจากชุด) เพื่อหลีกเลี่ยงสแปม ผู้ใช้ที่ชั่วร้ายสามารถสร้าง K แบบสุ่มโดยใช้รหัสส่วนตัวของเขา/เธอ แต่จะไม่มีความหมายสำหรับทุกคน บล็อกเชนจะถูกใช้เพื่อติดตามข้อมูลอ้างอิง

แอลเอสเอจี หมายถึง กลุ่มนิรนามที่เกิดขึ้นเองและเชื่อมโยงได้ และ M สำหรับเวอร์ชันเมทริกซ์

Score:1
ธง cn

ถ้าฉันเข้าใจถูกต้อง คุณต้องการวิธีพิสูจน์ตามรายการ $\{A, B, C, D, \cdots\}$ ของคีย์สาธารณะซึ่งบางคนให้คีย์ $K$ เป็น "แท็ก" ที่ตรงกับคู่ของคีย์จากรายการนี้โดยไม่เปิดเผยว่าเป็นคีย์ใด ผมขอเรียกสิ่งนี้ว่า "แท็กที่ถูกต้อง"

เพื่อความง่าย สมมุติว่า $K$ เป็นแท็กของอลิซและบ๊อบ อลิซหรือบ็อบสามารถพิสูจน์ได้ $K$ เป็นแท็กที่ถูกต้อง โดยใช้เทคนิคการพิสูจน์ความรู้ที่ไม่มีมาตรฐาน สัญชาตญาณมีดังนี้:

(1) ถ้าคู่ $(ก,ข)$ ไม่ควรซ่อนตัว จากนั้นบ็อบก็สามารถพิสูจน์ได้ว่าไม่มีความรู้ $(G,A,B,K)$ เป็นทูเพิล Diffie-Hellman โดยใช้พยานของเขา $ข$ (ดังนั้น $G^b = B$ และ $A^b = K$). มีการพิสูจน์ความรู้ที่ไม่มีมาตรฐานสำหรับความสัมพันธ์นี้ ดูตัวอย่างคำตอบของฉัน ที่นี่.

(2) เพื่อปกปิดทั้งคู่ เราเปลี่ยนข้อความ: แทนที่จะพิสูจน์ "$(G,A,B,K)$ เป็นทูเพิลดิฟฟี-เฮลล์แมน" บ็อบพิสูจน์ข้อความ "$(G,A,B,K)$ คือ Diffie-Hellman ทูเพิล หรือ $(G,A,C,K)$ คือ Diffie-Hellman ทูเพิล หรือ $(G,A,D,K)$ Diffie-Hellman tuple..." และอื่นๆ (สำหรับกุญแจสาธารณะที่แตกต่างกันแต่ละคู่) จากนั้นใช้ CDS OR-เคล็ดลับเราสามารถแปลงการพิสูจน์ที่ไม่มีความรู้สำหรับความสัมพันธ์ Diffie-Hellman เป็นการพิสูจน์ที่ไม่มีความรู้สำหรับ OR ของความสัมพันธ์ Diffie-Hellman จำนวนมาก (โดยเฉพาะอย่างยิ่ง การพิสูจน์ที่ได้จะไม่เปิดเผยว่าข้อความใดใน OR เป็นจริง หนึ่ง).

ข้างต้นเป็นวิธีแก้ปัญหาที่ง่ายและตรงจุดที่สุด แน่นอนว่ามันแพง: ค่าใช้จ่ายในการพิสูจน์จะเพิ่มขึ้นตาม $n\cdot(n-1)/2$ คูณด้วยค่าใช้จ่ายของการพิสูจน์ Diffie-Hellman ครั้งเดียว (หรือ $n$ ครั้งหากเราสามารถเปิดเผยตัวตนของหนึ่งในสองฝ่ายที่เกี่ยวข้องกับแท็กได้ $K$). มีวิธีแก้ไขเพื่อลดค่าใช้จ่าย แต่ใช้เทคนิคการเข้ารหัสขั้นสูงกว่ามาก ตัวอย่างที่ดีได้แก่ บทพิสูจน์หนึ่งในหลายข้อ ซึ่งเปิดใช้งานการพิสูจน์ OR ประเภทนี้ได้อย่างแม่นยำ แต่ด้วยการสื่อสารแบบลอการิทึมในจำนวนคำสั่ง OR

สิ่งสุดท้าย: หากคุณต้องการให้ทุกคนตรวจสอบการพิสูจน์และไม่ต้องการพิสูจน์ซ้ำกับทุกคน คุณสามารถทำให้การพิสูจน์ไม่โต้ตอบในแบบจำลอง oracle แบบสุ่มโดยใช้การแปลง Fiat-Shamir ด้วยวิธีนี้จะสามารถตรวจสอบได้แบบสาธารณะ นอกจากนี้ โปรดทราบว่าเมื่อฝ่ายใดฝ่ายหนึ่งส่งหลักฐานนี้ จะทำให้ข้อมูลรั่วไหลเสมอ: เช่น ข้อเท็จจริงที่ว่า Bob ส่งหลักฐานว่า $K$ เป็นแท็กที่ถูกต้องเสมอเผยให้เห็นว่า Bob สามารถตรวจสอบตัวเองได้ตั้งแต่แรก ซึ่งหมายความว่าคีย์สาธารณะของ Bob เป็นหนึ่งในคีย์ที่เกี่ยวข้อง มันอาจจะโอเคในสถานการณ์ของคุณ แต่คุณต้องชัดเจนกับสิ่งนั้น

us flag
คุณเข้าใจถูกต้องและขอขอบคุณคำตอบโดยละเอียดของคุณ! ฉันจะศึกษาเอกสารทั้งสองฉบับเกี่ยวกับการพิสูจน์ราคาแพง แทนที่จะสร้างคำสั่งโดยใช้กุญแจสาธารณะที่แตกต่างกันแต่ละคู่ ฉันคิดว่าเราสามารถเลือกชุดย่อยเล็กๆ ได้ เช่นเดียวกับจำนวนมิกซ์อินใน Monero
us flag
การอ่าน [FS](https://eprint.iacr.org/2016/771.pdf) และ [หมายเหตุการพิสูจน์ความรู้เป็นศูนย์](https://web.mat.upc.edu/jorge.villar/doc/notes/ DataProt/zk.pdf) ถูกต้องไหมที่จะบอกว่าการใช้เคล็ดลับ CDS จะส่งผลให้เกิดการพิสูจน์ Chaum-Pedersen ที่แยกจากกัน เนื่องจากเครื่องกำเนิดไฟฟ้าไม่เป็นอิสระ ฉันจึงไม่แน่ใจว่าถูกต้องหรือไม่
Score:0
ธง it

ฉันไม่เคยทราบกรณีที่นำไปใช้ได้จริงสำหรับ ECDH ที่จะใช้สำหรับ กลุ่ม ของคู่สำคัญแบบนั้น มีวิธีที่เป็นทางการในการ แยก หลั่งออกมาสำหรับกลุ่มคนมากกว่า 2 คน เช่น https://th.wikipedia.org/wiki/Secret_sharing

AFAIK, ECDH ควร ใช้เพื่อสร้างความลับที่ใช้ร่วมกันระหว่างกัน 2 ปาร์ตี้

จากสมมติฐานการคำนวณ DH K จะไม่มีความหมายสำหรับผู้ใช้รายอื่น และ K เป็นวิธีติดตามชุดค่าผสมนี้สำหรับผู้ใช้ที่เกี่ยวข้อง ในกรณีนี้คือ Alice และ Bob ตอนนี้ฉันสันนิษฐานว่า K นี้ไม่ซ้ำกันต่อการรวมคีย์ส่วนตัว

คุณอาจมีความเข้าใจผิดบางอย่างกับ ความลับที่ใช้ร่วมกันแต่ K ก็ไม่มีความหมายสำหรับอลิซและบ็อบในการติดตามคีย์ส่วนตัวของกันและกันเช่นกัน ลักษณะของการคูณสเกลาร์ ECC ซึ่งคุณใช้สร้างพับลิกคีย์นั้นเป็นแบบทางเดียว ในทางคณิตศาสตร์ วิธีที่อลิซสามารถหาคีย์ส่วนตัวของบ็อบคือการทำให้จุดทั้งหมดในพื้นที่ขนาดใหญ่ เช่น 2^256 หรือใหญ่กว่านั้นหมด ซึ่งจริงๆ แล้ว แข็ง จะทำอย่างไรกับทรัพยากรการคำนวณปัจจุบันบนโลก

us flag
สวัสดี Match Man บ๊อบ (หรืออลิซ) จะต้องตรวจสอบ _K_ กับองค์ประกอบของชุดคีย์สาธารณะและคีย์ส่วนตัวของบ็อบ (หรืออลิซ) เท่านั้น หากไม่มีการจับคู่ Bob สามารถเพิกเฉยต่อ _K_

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา