Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Next: Литература к главе 2 Up: 2. Криптография и теория Previous: 2.4. Псевдослучайные генераторы Contents: Содержание

2.5. Доказательства с нулевым разглашением

Предположим, что Алиса знает доказательство некоторой теоремы и желает убедить Боба в том, что теорема верна. Конечно, Алиса может просто передать доказательство Бобу на проверку. Но тогда впоследствии Боб сможет сам, без помощи Алисы, доказывать третьим лицам эту теорему. А может ли Алиса убедить Боба так, чтобы он не получил при этом никакой информации, которая помогла бы ему восстановить доказательство теоремы? Этим двум, казалось бы взаимно исключающим требованиям, удовлетворяют протоколы доказательства с нулевым разглашением. Последнее понятие было введено Гольдвассер, Микали и Ракоффом в 1985 г. [4].

Рассматривается следующая модель протокола. В распоряжении Алисы и Боба имеются вероятностные машины Тьюринга P и V соответственно. Вычислительные ресурсы, которые может использовать Алиса, неограничены, в то время как машина V работает за полиномиальное время. Машины P и V имеют общую коммуникационную ленту для обмена сообщениями. После записи сообщения на коммуникационную ленту машина переходит в состояние ожидания и выходит из него, как только на ленту будет записано ответное сообщение. Машины P и V имеют также общую входную ленту, на которую записано входное слово $ x$. Утверждение, которое доказывает Алиса, суть ``$ x\in L$'', где $ L$ - некоторый фиксированный (известный и Алисе, и Бобу) язык. Чтобы избежать тривиальности, язык $ L$ должен быть трудным (например, NP-полным), иначе Боб сможет самостоятельно проверить, что $ x\in L$. По существу, протокол доказательства состоит в том, что Боб, используя случайность, выбирает некоторые вопросы, задает их Алисе и проверяет правильность ответов. Выполнение протокола завершается, когда машина V останавливается, при этом она выдает 1, если доказательство принято, и 0 - в противном случае.

Пусть $ A$ и $ B$ - две интерактивные, т.е. взаимодействующие через общую коммуникационную ленту, вероятностные машины Тьюринга. Через $ [B(x),A(x)]$ обозначается случайная величина - выходное слово машины $ A$, когда $ A$ и $ B$ работают на входном слове $ x$. Через $ \vert x\vert$ обозначается длина слова $ x$.

Определение 4. Интерактивным доказательством для языка $ L$ называется пара интерактивных машин Тьюринга $ (\mathbf P,\mathbf V)$ такая, что выполняются следующие два условия.

1. (Полнота). Для всех $ x\in L$

\begin{displaymath}Pr\{ [\mathbf P(x),\mathbf V(x)]=1\} =1.\end{displaymath}

2. (Корректность). Для любой машины Тьюринга $ \mathbf P^*$, для любого полинома $ p$ и для всех $ x\notin L$ достаточно большой длины

\begin{displaymath}Pr\{ [\mathbf P^*(x),\mathbf V(x)]=1\} < 1/p(\vert x\vert).\end{displaymath}

Полнота означает, что если входное слово принадлежит языку $ L$ и оба участника, и Алиса, и Боб, следуют протоколу, то доказательство будет всегда принято. Требование корректности защищает Боба от нечестной Алисы, которая пытается обмануть его, ``доказывая'' ложное утверждение. При этом Алиса может каким угодно образом отклоняться от действий, предписанных протоколом, т.е. вместо машины Тьюринга P использовать любую другую машину $ \mathbf P^*$. Требуется, чтобы вероятность обмана была в любом случае пренебрежимо малой.

Определение 5. Интерактивный протокол доказательства для языка $ L$ называется доказательством с абсолютно нулевым разглашением, если, кроме условий 1 и 2, выполнено еще и следующее условие.

3. (Свойство нулевого разглашения). Для любой полиномиальной вероятностной машины Тьюринга $ \mathbf V^*$ существует вероятностная машина Тьюринга $ \mathbf M_{\mathbf V^*}$, работающая за полиномиальное в среднем время, и такая, что для всех $ x\in L$

\begin{displaymath}\mathbf M_{\mathbf V^*}(x)=[\mathbf P(x),\mathbf V^*(x)].\end{displaymath}

Машина $ \mathbf M_{\mathbf V^*}$ называется моделирующей машиной для $ \mathbf V^*$. Предполагается, что математическое ожидание времени ее работы ограничено полиномом от длины $ x$. Это означает, что в принципе $ \mathbf M_{\mathbf V^*}$ может, в зависимости от того, какие значения примут используемые в ее работе случайные переменные, работать достаточно долго. Но вероятность того, что время ее работы превысит некоторую полиномиальную границу, мала. Для каждой машины $ \mathbf V^*$ строится своя моделирующая машина; последняя может использовать $ \mathbf V^*$ как подпрограмму. Через $ \mathbf M_{\mathbf V^*}(x)$ обозначается случайная величина - выходное слово машины $ \mathbf M_{\mathbf V^*}$, когда на входе она получает слово $ x$.

Свойство нулевого разглашения защищает Алису от нечестного Боба, который, произвольно отклоняясь от действий, предписанных протоколом (используя $ \mathbf V^*$ вместо V), пытается извлечь из его выполнения дополнительную информацию. Условие 3 означает, что Боб может при этом получить только такую информацию, которую он смог бы вычислить и самостоятельно (без выполнения протокола) за полиномиальное время.

Приведем в качестве примера протокол доказательства с абсолютно нулевым разглашением для языка ИЗОМОРФИЗМ ГРАФОВ из работы Гольдрайха, Микали и Вигдерсона [5]. Входным словом является пара графов $ G_1=(U,E_1)$ и $ G_0=(U,E_0)$. Здесь $ U$ - множество вершин, которое можно отождествить с множеством натуральных чисел $ \{
1,\dots ,n\}$, $ E_1$ и $ E_0$ - множества ребер такие, что $ \vert E_1\vert=\vert E_0\vert=m$. Графы $ G_1$ и $ G_0$ называются изоморфными, если существует перестановка $ \varphi$ на множестве $ U$ такая, что $ (u,v)\in E_0$ тогда и только тогда, когда $ (\varphi (u),\varphi (v))\in E_1$ (обозначается $ G_1=\varphi G_0$). Задача распознавания изоморфизма графов - хорошо известная математическая задача, для которой на данный момент не известно полиномиальных алгоритмов. С другой стороны, неизвестно, является ли эта задача NP-полной, хотя есть веские основания предполагать, что не является.

Протокол IG

Пусть $ \varphi$ - изоморфизм между $ G_1$ и $ G_0$. Следующие четыре шага выполняются в цикле $ m$ раз, каждый раз с независимыми случайными величинами.

  • P выбирает случайную перестановку $ \pi$ на множестве $ U$, вычисляет $ H=\pi G_1$ и посылает этот граф V.

  • V выбирает случайный бит $ \alpha$ и посылает его P.

  • Если $ \alpha=1$, то P посылает V перестановку $ \pi$, в противном случае - перестановку $ \pi \circ \varphi$.

  • Если перестановка, полученная V, не является изоморфизмом между $ G_\alpha$ и $ H$, то V останавливается и отвергает доказательство. В противном случае выполнение протокола продолжается.
  • Если проверки п.4 дали положительный результат во всех $ m$ циклах, то V принимает доказательство.

    Заметим, что если в протоколе IG машина P получает изоморфизм $ \varphi$ в качестве дополнительного входного слова, то ей для выполнения протокола не требуются неограниченные вычислительные ресурсы. Более того, в этом случае P может быть полиномиальной вероятностной машиной Тьюринга.

    Теорема 2. ([5])   Протокол IG является доказательством с абсолютно нулевым разглашением для языка ИЗОМОРФИЗМ ГРАФОВ.

    Полнота протокола IG очевидна.

    Для доказательства корректности достаточно заметить, что бит $ \alpha$, который V выбирает на шаге 2, указывает P, для какого из графов - $ G_0$ или $ G_1$ - требуется продемонстрировать изоморфизм с графом $ H$. Если $ G_0$ и $ G_1$ не изоморфны, то $ H$ может быть изоморфен, в лучшем случае, одному из них. Поэтому проверка п. 4 даст положительный результат с вероятностью $ \leq 1/2$ в одном цикле и с вероятностью $ \leq 1/2^m$ во всех $ m$ циклах.

    Доказательство свойства нулевого разглашения значительно сложнее. Поэтому мы воспроизводим только основную идею. Прежде всего, заметим, что основная задача машины $ \mathbf V^*$ - получить максимально возможную информацию об изоморфизме между $ G_0$ и $ G_1$. Естественно предположить, что она, в отличие от V, будет выдавать в качестве выходного слова не один бит, а всю полученную в результате выполнения протокола информацию, включая содержимое своей случайной ленты, графы $ H$ и перестановки, полученные соответственно на шагах 1 и 3 протокола IG. Моделирующая машина $ \mathbf M_{\mathbf V^*}$ должна уметь строить такие же случайные строки, графы и перестановки, не зная при этом изоморфизм $ \varphi$! Поэтому $ \mathbf M_{\mathbf V^*}$ пытается угадать тот бит $ \alpha$, который будет запросом машины $ \mathbf V^*$ на шаге 2. Для этого $ \mathbf M_{\mathbf V^*}$ выбирает случайный бит $ \beta$, случайную перестановку $ \psi$ и вычисляет $ H=\psi
G_\beta$. Далее $ \mathbf M_{\mathbf V^*}$ запоминает состояние машины $ \mathbf V^*$ (включая содержимое случайной ленты) и вызывает ее как подпрограмму, подавая ей на вход граф $ H$. Ответом машины $ \mathbf V^*$ будет некоторый бит $ \alpha$. Если $ \alpha =\beta$, то моделирование в данном цикле завершено успешно, поскольку $ \mathbf M_{\mathbf V^*}$ может продемонстрировать требуемый изоморфизм. Если же $ \alpha\neq\beta$, то $ \mathbf M_{\mathbf V^*}$ восстанавливает ранее сохраненное состояние машины $ \mathbf V^*$ и повторяет попытку.

    Если в определении свойства нулевого разглашения заменить равенство случайных величин $ \mathbf M_{\mathbf V^*}(x)$ и $ [\mathbf P(x),\mathbf V^*(x)]$ требованием, чтобы их распределения вероятностей ``почти не отличались'', то получится другая разновидность доказательств - доказательства со статистически нулевым разглашением.

    Еще один тип - доказательства с вычислительно нулевым разглашением. В этом случае требуется, чтобы моделирующая машина создавала распределение вероятностей, которое неотличимо от $ [\mathbf P(x),\mathbf V^*(x)]$ никаким полиномиальным вероятностным алгоритмом (неотличимость здесь определяется аналогично тому, как это делалось в определении псевдослучайного генератора).

    Подчеркнем особо, что во всех трех определениях нулевого разглашения условия накладываются на действия моделирующей машины только на тех словах, которые принадлежат языку.

    Помимо интереса к доказательствам с нулевым разглашением как к нетривиальному математическому объекту, они исследуются также и в связи с практическими приложениями. Наиболее естественный и важный тип таких приложений - протоколы аутентификации (см. главу 3). С помощью такого протокола Алиса может доказать Бобу свою аутентичность.

    Предположим, например, что Алиса - это интеллектуальная банковская карточка, в которой реализован алгоритм P, а Боб - это компьютер банка, выполняющий программу V. Прежде чем начать выполнение каких-либо банковских операций, банк должен убедиться в подлинности карточки и идентифицировать ее владельца, или, говоря на языке криптографии, карточка должна пройти аутентификацию. В принципе для этой цели можно использовать приведенный выше протокол IG. В этом случае в памяти банковского компьютера хранится пара графов $ (G_0,G_1)$, сопоставленная Алисе, а на интеллектуальной карточке - та же пара графов и изоморфизм $ \varphi$. Предполагается, что, кроме Алисы, этот изоморфизм никто не знает (кроме, быть может, Боба) и поэтому с помощью протокола IG карточка доказывает свою аутентичность. При этом свойство полноты означает, что карточка наверняка докажет свою аутентичность. Свойство корректности защищает интересы банка от злоумышленника, который, не являясь клиентом банка, пытается пройти аутентификацию, используя фальшивую карточку. Свойство нулевого разглашения защищает клиента от злоумышленника, который, подслушав одно или более выполнений протокола аутентификации данной карточки, пытается пройти аутентификацию под именем Алисы. Конечно, в данном случае бессмысленно доказывать, что пара графов $ (G_0,G_1)$ принадлежит языку ИЗОМОРФИЗМ ГРАФОВ, поскольку она заведомо выбирается из этого языка. Вместо этого Алиса доказывает, что она знает изоморфизм $ \varphi$. Интерактивные доказательства такого типа называются доказательствами знания.

    Для практического применения очень важным свойством протокола IG, как и других протоколов доказательства знания, является то, что алгоритм P, получивший в качестве дополнительного входа изоморфизм $ \varphi$, работает за полиномиальное время. Вместо протокола IG можно использовать, вообще говоря, любое другое доказательство с нулевым разглашением, в котором алгоритм P обладает этим свойством. Но для реальных приложений протокол IG, как и большинство подобных протоколов, не эффективен: большое количество циклов, слишком длинные сообщения и т.д. Поиск более эффективных доказуемо стойких протоколов - одно из основных направлений исследований в данной области.

    Next: Литература к главе 2 Up: 2. Криптография и теория Previous: 2.4. Псевдослучайные генераторы Contents: Содержание

    Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

    Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

    Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

    Виртуальные VPS серверы в РФ и ЕС

    Dedicated серверы в РФ и ЕС

    По промокоду CITFORUM скидка 30% на заказ VPS\VDS

    VPS/VDS серверы. 30 локаций на выбор

    Серверы VPS/VDS с большим диском

    Хорошие условия для реселлеров

    4VPS.SU - VPS в 17-ти странах

    2Gbit/s безлимит

    Современное железо!

    Новости мира IT:

    Архив новостей

    IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
    тел. +7 495 7861149
    Пресс-релизы — pr@citforum.ru
    Обратная связь
    Информация для авторов
    Rambler's Top100 TopList This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...