ฉันค่อนข้างใหม่สำหรับการเข้ารหัส แต่ฉันได้เขียนโปรแกรมมาระยะหนึ่งแล้ว นี่คือเรื่องราวที่กำหนดปัญหาที่ฉันพยายามแก้ไขได้ดี:
อลิซมีหนังสือเดินทางดิจิทัลที่ลงนามด้วยรหัสส่วนตัวของรัฐบาล พร็อพเพอร์ตี้แต่ละรายการมีการเซ็นชื่อแยกกัน และจะยังคงตรวจสอบได้ว่า เช่น ชื่อจริงของเธอคือ "อลิซ" โดยไม่ได้บอกว่านามสกุลของเธอคือ "สมิธ"
จากที่นี่รู้ว่าเธอสามารถพิสูจน์ได้ว่าวันเกิดของเธอคือ 05/04/1975เธอจะพิสูจน์ได้ไหมว่าเธออายุมากกว่า 18 ปีโดยไม่เปิดเผยวันเกิดของเธอหรือขอความช่วยเหลือจากบุคคลที่สาม
ฉันเดาว่าเธอทำไม่ได้ แต่ฉันหวังว่าคุณจะทำให้ฉันประหลาดใจ!
AFAICT ไม่ เธอใช้แบบนั้นไม่ได้ แค่ ข้อมูลในหนังสือเดินทางของเธอตามที่คุณอธิบาย* และถือว่าอัลกอริทึมลายเซ็นดิจิทัลเป็นกล่องดำ
อย่างไรก็ตาม หากรัฐบาลเล็งเห็นถึงกรณีการใช้งานนี้และใส่ข้อมูลเพิ่มเติมเพียงเล็กน้อยในหนังสือเดินทางของเธอ เป็น วิธีทำโดยใช้เช่น วิธีแฮชเชนที่อธิบายไว้ใน กระทู้ถามตอบก่อนหน้านี้ (อ้างอิงจาก กระดาษปี 2013 โดย Angel & Walfish).
โดยเฉพาะอย่างยิ่ง สิ่งที่อลิซต้องการคือ:
ฟังก์ชันแฮชการเข้ารหัสแบบป้องกันภาพล่วงหน้า $H$ ที่ได้มาตรฐานจากภาครัฐ สิ่งที่ต้องการ SHA-256 จะดี
โทเค็นลับที่รัฐบาลออกให้ $s$แยกไม่ออกจากการคำนวณจากผลลัพธ์ของ $H$. (ตัวอย่างเช่น, $s$ อาจถูกสร้างขึ้นโดยการเลือกสตริงแบบสุ่ม $r$ โดยมีเอนโทรปีอย่างน้อยที่สุดเท่ากับความยาวของเอาต์พุต $H$ และปล่อยให้ $s = H(r)$.)
แถลงการณ์ลงนามโดยรัฐบาล แบบฟอร์ม:
อลิซ** เกิดในหรือก่อนวันที่ 2050-01-01 (แฮช = $H^a(s)$).
ที่ไหน $a$ คืออายุของอลิซในวันที่ 2050-01-01 และ $H^a$ หมายถึง $H$ ย้ำ $a$ ครั้ง เช่น $H^0(s) = เอส$ และ $H^{n+1}(s) = H(H^n(s))$
ตอนนี้ เพื่อพิสูจน์ให้ Bob เห็นว่าปัจจุบัน (2021-11-24) อายุ 18 ปีขึ้นไป Alice จำเป็นต้องจัดทำเอกสารที่มีลายเซ็นด้านบนพร้อมกับ $h = H^b(s)$, ที่ไหน $ข$ คืออายุของอลิซในหน่วยวันเมื่อ 18 ปีก่อนพอดี (เช่น วันที่ 11/2003-11-24)
บ๊อบสามารถคำนวณได้ $H^c(ซ)$, ที่ไหน $c = 16840$ คือจำนวนวันระหว่าง 2003-11-24 และ 2050-01-01 และเปรียบเทียบกับแฮชในคำสั่งที่ลงนามของอลิซ หากการอ้างสิทธิ์ของอลิซถูกต้อง ก็ควรตรงกันตั้งแต่นั้นเป็นต้นมา $a = b + c$และด้วยเหตุนี้ $H^c(h) = H^c(H^b(s)) = H^a(s)$.
(แน่นอนว่าบ๊อบควรตรวจสอบด้วยว่าข้อความของอลิซลงนามอย่างถูกต้องด้วยรหัสการลงนามของรัฐบาล และเป็นของเธอจริงๆ ไม่ใช่พี่สาวของเธอ)
โปรดทราบว่า เพื่อความสะดวกในการคำนวณและเพื่อลดการโจมตีด้วยเวลา อาจเป็นที่ต้องการสำหรับ Alice ในการคำนวณล่วงหน้าและจัดเก็บ $H^{b'}(s)$ สำหรับค่าต่างๆของ $ข'$ ตรงกับอายุของเธอเป็นวันในช่วงต้นปีจนถึงปัจจุบัน ด้วยวิธีนี้ เธอจะต้องดำเนินการประเมินแฮชสูงสุด 365 รายการ ณ จุดนั้นเท่านั้นจึงจะคำนวณได้ $H^b(s)$ สำหรับใดๆ $ข$.
เพื่อลดความต้องการด้านการคำนวณของ Bob รัฐบาลอาจต้องการออกแถลงการณ์ที่มีลายเซ็นหลายฉบับของแบบฟอร์มข้างต้นของ Alice แต่มีวันที่ต่างกันและค่าที่สอดคล้องกันของ $a$เพื่อให้อลิสสามารถส่งคำชี้แจงที่ลงนามให้บ็อบ เช่น 2004-01-01 แทน 2050-01-01 จากนั้นอีกครั้ง การประเมิน SHA-256 สองสามพันครั้งในปัจจุบันยังถือว่าไม่มาก และ Bob ก็ไม่จำเป็นต้องกังวลเกี่ยวกับการโจมตีช่องทางด้านข้าง
อย่างไรก็ตาม การออกแถลงการณ์ที่ลงนามหลายฉบับยังช่วยรักษาคุณสมบัติที่ไม่มีความรู้ในกรณีที่มีการโรลโอเวอร์ ตัวอย่างเช่น สมมติว่าเดิมทีรัฐบาลเลือกวันที่ 2030-01-01 เป็นวันที่แน่นอนสำหรับแถลงการณ์ที่ลงนาม แต่เมื่อไม่กี่ปีก่อนตัดสินใจเลื่อนเป็นปี 2050 เนื่องจากพวกเขาเริ่มออกหนังสือเดินทางที่ใช้ได้จนถึงปี 2030 และหลังจากนั้น นี่หมายความว่า อย่างน้อยที่สุด Bob สามารถเรียนรู้จากวันที่ในคำแถลงของ Alice ว่าหนังสือเดินทางของเธอออกก่อนหรือหลังการเปลี่ยนผ่าน ซึ่งอาจสัมพันธ์กับข้อมูลอื่นๆ รวมถึงอายุของเธอด้วย โดยให้อลิสเซ็นงบให้ ทั้งสอง 2030-01-01 และ 2050-01-01 (และอาจเป็นวันที่อื่นๆ ที่เกี่ยวข้อง) สามารถหลีกเลี่ยงการรั่วไหลนี้ได้ เนื่องจาก Alice สามารถเลือกข้อความที่มีวันที่เหมาะสมก่อนหน้านี้สำหรับคำขอของ Bob (แต่ไม่ใช่เร็วกว่าวันที่แน่นอน เธอต้องการพิสูจน์ว่าเธอเกิดในหรือก่อนนั้น)
ปล. ตามที่ระบุไว้ใน คำตอบของฉันสำหรับคำถามที่เชื่อมโยงด้านบนสามารถใช้โปรโตคอลเดียวกันเพื่อให้อลิซพิสูจน์อายุที่แน่นอนของเธอได้ ในการทำเช่นนี้อลิซจำเป็นต้องรู้ไม่ใช่แค่ $s = H(r)$ แต่ยังรวมถึงโทเค็นแบบสุ่มดั้งเดิมด้วย $r$ซึ่งควรเลือกโดยรัฐบาลก็ว่าได้ ไม่ ผลลัพธ์ที่ถูกต้องของ $H$.
จากนั้น หากอลิซต้องการพิสูจน์ให้บ็อบเห็นว่าเธอเกิดวันที่ 1975-05-04 และไม่เกิดเร็วกว่านั้น เธอก็สามารถเปิดเผยวันที่นั้นพร้อมกับ $r$ และอย่างน้อยหนึ่งข้อความลงนามของแบบฟอร์มด้านบน บ๊อบสามารถคำนวณอายุที่อ้างสิทธิ์ของอลิซเป็นวัน $a$ ณ วันที่ระบุในใบแจ้งยอด ให้คำนวณ $H^a(s) = H^{a+1}(r)$ และเปรียบเทียบกับแฮชในคำสั่งที่ลงนาม
แน่นอน ด้วยโปรโตคอลรูปแบบนี้ Bob ยังจำเป็นต้องตรวจสอบรูปแบบของ $s$ หรือ $r$ โทเค็นที่ส่งโดยอลิซ (เช่น เป็นเอาต์พุตที่ถูกต้องของ $H$ สำหรับการเรียกร้อง "เกิดในหรือก่อน" และ ไม่ ผลลัพธ์ที่ถูกต้องของ $H$ สำหรับคำร้อง "เกิดวันที่นี้")
ทั้งหมดที่กล่าวมา ในสถานการณ์ของคุณ ลายเซ็นของรัฐบาลแยกต่างหากสำหรับ "อลิซเกิดวันที่ 1975-05-04" จะตอบสนองจุดประสงค์นี้เช่นกัน
เชิงอรรถ:
*) คำอธิบายของคุณที่ว่า "[e] ทรัพย์สินแต่ละแห่งได้รับการลงนามแยกกัน" นั้นค่อนข้างมีปัญหาหากพิจารณาตามมูลค่าจริง เนื่องจากการที่รัฐบาลลงนามในทรัพย์สินแต่ละรายการ เช่น "ชื่อจริง: อลิซ" หมายความว่าใครก็ตามที่ได้เห็นการลงนามของอลิซ ชื่อจริงสามารถทำสำเนาลายเซ็นและใช้เพื่ออ้างว่าเป็นชื่อจริงได้ อีกด้วย อลิซ. นอกจากนี้ ตัวอย่างเช่น หากอลิซ แอนดรูว์และบ็อบ บาร์เกอร์มีหนังสือเดินทางที่มีชื่อและนามสกุลที่ลงนามแยกกัน พวกเขาสามารถรวมเข้าด้วยกันเพื่อสร้างหนังสือเดินทางปลอมสำหรับ "อลิซ บาร์เกอร์" หรือ "บ็อบ แอนดรูว์"
วิธีแก้ไขที่ดีกว่าเล็กน้อยคือให้คุณสมบัติใดคุณสมบัติหนึ่งบนหนังสือเดินทางเป็น ID เฉพาะ และรวม ID นั้นไว้ในคุณสมบัติที่ลงนามทั้งหมด ดังนั้น ตัวอย่างเช่น ผู้ที่ได้เห็นข้อความที่มีลายเซ็นของแบบฟอร์ม "ID: #123456789; ชื่อจริง: Alice" สามารถยืนยันได้ว่า Alice ซึ่งมีหนังสือเดินทางที่มี ID #123456789 มีชื่อจริงว่า "Alice" แต่ จะใช้ลายมือชื่อใครอ้างไม่ได้ อย่างอื่น ชื่อแรกคืออลิซ
แน่นอนว่าแผนการนี้ยังมีข้อบกพร่องในตัวเอง เช่น อลิซอาจต้องการพิสูจน์ให้บ็อบเห็นว่าเธอชื่ออลิซ ปราศจาก Bob สามารถพิสูจน์ข้อเท็จจริงนั้นกับคนอื่นได้ การดำเนินการดังกล่าว การรับรองความถูกต้องที่ปฏิเสธได้ รูปแบบดูเหมือนอยู่นอกขอบเขตของคำตอบนี้ แม้ว่าคุณอาจต้องการดูเช่น อันก่อนหน้านี้.
**) ในที่นี้ฉันใช้ "Alice" แทน ID เฉพาะที่ออกโดยรัฐบาลของ Alice ดังที่อธิบายไว้ในเชิงอรรถก่อนหน้านี้ด้านบน
การใช้เส้นโค้งวงรี: หนังสือเดินทางอาจมีการประทับเวลายูนิกซ์เป็น Pedersen Commitment ในรูปแบบ $C = bG + tH$, ที่ไหน $ข$ เป็นปัจจัยทำให้ไม่เห็นสเกลาร์ $t$ คือวันเดือนปีเกิดของผู้ถือหนังสือเดินทางเป็นการประทับเวลาแบบยูนิกซ์ (วินาทีนับจากยุค) และ $G$ และ $H$ เป็นจุดฐานที่รู้จักกันดีซึ่งถูกเลือกในลักษณะที่บันทึกแยกจากกันซึ่งไม่เป็นที่รู้จักและไม่สามารถรู้ได้
$C$ มีการลงนามโดยรัฐบาล หนังสือเดินทางทำให้ผู้ถือหนังสือเดินทางทราบการประทับเวลาและปัจจัยที่ทำให้ไม่เห็น
เพื่อพิสูจน์ว่าผู้ถือหนังสือเดินทางมีอายุมากกว่า 18 ปี เราจะคำนวณก่อน $s$ เนื่องจากการประทับเวลาล่าสุดที่เป็นไปได้ที่ผู้ถือหนังสือเดินทางสามารถเกิดได้จนถึงอายุ 18 ปีหรือมากกว่า
ผู้ถือหนังสือเดินทางจำเป็นต้องแสดงให้เห็นว่า $s>=t$. เราสามารถทำได้โดยการพิสูจน์ว่า $C' = sH - C == (s-t)H - bG$ เป็นความมุ่งมั่นต่อจำนวนบวก เนื่องจากธรรมชาติของเลขคณิตแบบโมดูลาร์ของพีชคณิต EC หมายความว่าเราจำเป็นต้องตรวจสอบให้แน่ใจว่าคำมั่นสัญญานั้นเป็นจำนวนที่ค่อนข้างน้อย และไม่ใช่จำนวนมหาศาลที่จะเป็นผลมาจาก $s-t$ เป็น "ลบ"
เพื่อให้บรรลุเป้าหมายนี้ เราต้องการสิ่งที่เรียกว่าการพิสูจน์ระยะ
การพิสูจน์ช่วงจะพิสูจน์ว่า $C'$ สามารถสร้างได้ตามลำดับ 43 บิต (ซึ่งจะทำให้โครงร่างใช้งานได้อีก 200 ปีข้างหน้า) แต่ละ 'บิต' จะเป็นศูนย์หรือกำลัง 2 อย่างใดอย่างหนึ่ง
ก่อนอื่น เราจะประกาศข้อผูกพัน 43 Pedersen $C_i$ สำหรับค่าของ $i$ ระหว่าง 0 ถึง 42 ซึ่งแต่ละข้อผูกมัดจะมีปัจจัยที่ทำให้มองไม่เห็นในตัวเอง $b_i$ และข้อผูกมัดแต่ละข้อจะเป็นค่าศูนย์หรือ $2^i$.
ตอนนี้เราต้องพิสูจน์ว่า $C'$ เป็นข้อผูกมัดเป็นเลขเดียวกับ $\sum_{i=0}^{42} C_i$. ซึ่งสามารถทำได้โดยการคำนวณคีย์สาธารณะ $C'' = C' - \sum_{i=0}^{42} C_i$. เนื่องจากเลขหมายที่กระทำโดย $C'$ จะเท่ากับผลรวมของตัวเลขที่กระทำโดยคำมั่นสัญญา 43 ข้อ ผลลัพธ์จะเป็นรูปแบบ $C'' == b'G$ ที่ไหน $b' == -b - \sum_{i=0}^{42} b_i$. จึงจัดให้มีการลงนามใน $C''$ โดยใช้คีย์ส่วนตัว $ข'$ จะพิสูจน์ว่ามีค่าไม่เป็นศูนย์ไม่ได้ $H$ ส่วนประกอบของ $C''$เนื่องจากลายเซ็นใช้จุดฐาน $G$ ไม่สามารถทำได้เว้นแต่บันทึกแยกของ $H$ w.r.t. $G$ เป็นที่รู้จัก (และ $H$ ถูกเลือกมาโดยเฉพาะจนไม่อาจทราบได้)
สุดท้ายเราต้องพิสูจน์ว่าส่วนประกอบแต่ละอย่าง $C_i$ มีทั้งข้อผูกมัดที่จะเป็นศูนย์หรือข้อผูกพันที่จะ $2^i$. เราทำสิ่งนี้โดยให้ลายเซ็นเสียงเรียกเข้าสำหรับแต่ละข้อผูกพันสำหรับกุญแจสาธารณะสองอัน $(C_i - 0H, C_i - 2^iH)$. ลายเซ็นเสียงเรียกเข้าจะเป็นไปได้ก็ต่อเมื่อหนึ่งในสองความเป็นไปได้นั้นสร้างจุด EC ที่ไม่มี $H$ ส่วนประกอบจึงพิสูจน์ได้ว่า $C_i$ เป็นความมุ่งมั่นเป็นศูนย์หรือ $2^i$.
โดยสรุปเราได้พิสูจน์แล้วว่า $s>=t$ เพราะเราได้พิสูจน์แล้วว่า $sH -C$ เป็นความมุ่งมั่นต่อจำนวนบวก เราพิสูจน์ว่าเป็นจำนวนบวกโดยการพิสูจน์ว่าสามารถสร้างเป็นชุดของ 43 บิต โดยที่แต่ละบิตเป็นศูนย์หรือกำลังที่ระบุเท่ากับ 2
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
