西安电子科技大学：《现代密码学》课程教学资源（PPT课件讲稿）第八章 数字签字和密码协议（身份证明技术、其他密码协议）

■数字签字的基本概念 ■数字签字标准 ■其他签字方案 ■认证协议 身份证明技术 其他密码协议 2021/2/21

2021/2/21 2 ◼ 数字签字的基本概念 ◼ 数字签字标准 ◼ 其他签字方案 ◼ 认证协议 ◼ 身份证明技术 ◼ 其他密码协议

身份证明技术 2021/2/21

2021/2/21 3 身份证明技术

身份证明技术 传统的身份证明: 般是通过检验“物”的有效性来确认 持该物的的身份。徽章、工作证、信用 卡、驾驶执照、身份证、护照等,卡上 含有个人照片(易于换成指纹、视网膜图 样、牙齿的Ⅹ适用的射像等)。 信息糸统常用方式: 用户名和口令 2021/2/21

2021/2/21 4 身份证明技术 传统的身份证明： 一般是通过检验“物”的有效性来确认 持该物的的身份。徽章、工作证、信用 卡、驾驶执照、身份证、护照等，卡上 含有个人照片(易于换成指纹、视网膜图 样、牙齿的X适用的射像等)。 信息系统常用方式： 用户名和口令

交互式证明 两方参与 示证者P( Prover),知道某一秘密,使∨相信 旬已挛握这一秘密; 验证者∨ erifier),验证P攣握秘密;每轮 向P发出一询问,P向V做应答。V检查P是否 每一轮都能正确应答。 2021/2/21 5

2021/2/21 5 交互式证明 两方参与 示证者P(Prover)，知道某一秘密，使V相信 自己掌握这一秘密； 验证者V(Verifier)，验证P掌握秘密；每轮V 向P发出一询问，P向V做应答。V检查P是否 每一轮都能正确应答

交互证明与数学证明的区别 教学证明的证明者可旬已独立的完成证 明 ■交互证明由P产生证明,V验证证明的有 效性来实现,双方之间要有通信 交互糸统应端足 ■完备性:如果P知道某一秘密,Ⅴ将接收P的 证明 正确性:如果P能以一定的概率使V相信P的 2012证明,则P知道相应的秘密

2021/2/21 6 交互证明与数学证明的区别 ◼ 数学证明的证明者可自己独立的完成证 明 ◼ 交互证明由P产生证明，V验证证明的有 效性来实现，双方之间要有通信 ◼ 交互系统应满足 ◼ 完备性：如果P知道某一秘密，V将接收P的 证明 ◼ 正确性：如果P能以一定的概率使V相信P的 证明，则P知道相应的秘密

Fiat- Shamir身份识别方案 参数: 选定一个随机模m=P×q产生随机数v 且使只2=v即为模m的平方剩余。m和 v是公开的,乐作为P的私密 2021/2/21

2021/2/21 7 Fiat-Shamir身份识别方案 参数： 选定一个随机模m=p×q。产生随机数v， 且使s 2=v，即v为模m的平方剩余。 m和 v是公开的，s作为P的秘密

Fiat- Shamir身份识别方案 (1)P取随机数代(<m),计算=r2modm,送给V; (2)ν将一随机bitb送给P 3)若b=0,则P将r送给V;若b=1,则P将y邝送给V; (4)若b=0,则∨证实κ=r2modm,从而证明P知道,若 b=1,则B证实κv=y2modm,从而证明A知道。 这是一次证明,A和B可将此协议重复坎次,直到B相 信A知道5为止。 2021/2/21

2021/2/21 8 Fiat-Shamir身份识别方案 (1) P取随机数r(<m)，计算x= r 2 mod m，送给V； (2) V将一随机bit b送给P； (3) 若b=0，则P将r送给V；若b=1，则P将y=rs送给V； (4) 若b=0，则V证实x=r 2 mod m，从而证明P知道，若 b=1，则B证实xv=y 2 mod m，从而证明A知道。 这是一次证明，A和B可将此协议重复t次，直到B相 信A知道s为止

Fiat- Shamir身份识别方案 宄备性 ■如票P和V遵守协议,且P知道S,则应答/是应是模m下的平 方根,V接收P的証明,所以协议是宄备的。 正确性 ■P不知道s,他也可取r送P2modm给V,V送b给P。P可将 r送出,当b=0肘则V可通过检验而受骗,当b=1附,则V可发 现P不知5B受骗概率为12,但连坎受骗的概率将仅为2t V无油知道P的秘密,因为V没有机会产生(O1)以外的信息,P 送蛤Ⅴ的峭息中仅为P知道ν的平方根这一事实。 2021/2/21

2021/2/21 9 Fiat-Shamir身份识别方案 ◼ 完备性 ◼ 如果P和V遵守协议，且P知道s，则应答rs是应是模m下xv的平 方根，V接收P的证明，所以协议是完备的。 ◼ 正确性 ◼ P不知道s，他也可取r，送x=r 2 mod m给V，V送b给P。P可将 r送出，当b=0时则V可通过检验而受骗，当b=1时，则V可发 现P不知s，B受骗概率为1/2，但连续t次受骗的概率将仅为2 -t ◼ V无法知道P的秘密，因为V没有机会产生(0,1）以外的信息，P 送给V的消息中仅为P知道v的平方根这一事实

零知识证明 录小泄露证明和零知识证明: 以一种有效的数学方法,使V可以检验每 一步成立,最终确信P知道其秘密,而又 能保证不泄露P所知道的信息。 2021/2/21

2021/2/21 10 零知识证明 最小泄露证明和零知识证明： 以一种有效的数学方法，使V可以检验每 一步成立，最终确信P知道其秘密，而又 能保证不泄露P所知道的信息

零知识证明的基本协议 squa 989 A 设P知道咒语,可 B 打开C和D之间的秘 密门,不知道者 都将走向死胡同中。 D 2021/2/21

2021/2/21 11 零知识证明的基本协议 例[Quisquater等1989] 。 设P知道咒语， 可 打开C和D之间的秘 密门，不知道者 都将走向死胡同中。 A B C D