Регистрация Войти
Рейтинг:1
Federico Rapetti avatar Crypto

Зашифрованная проверяемая схема со скрытым содержимым

флаг cn
Federico Rapetti

У меня проблема со схемой шифрования.

Есть две сущности, $А$ и $В$. $А$ дать простое сообщение $м \в [0,1]$ к $В$. $В$ должно генерировать зашифрованное сообщение $м$: $e=Enc_{pk}(m)$ такой, что $А$ может проверить, если $В$ правильно зашифровал сообщение, сгенерированное из $А$ не вмешиваясь в него. Но в то же время, $е$ не должны раскрывать какую-либо информацию, которая может быть использована из $А$ чтобы продемонстрировать ценность сообщения $м$ в $е$. (Ключ расшифровки $ск$ не известен ни $А$ или же $В$)

По сути, цель состоит в том, чтобы иметь зашифрованное сообщение, на котором $А$ можно только проверить, является ли содержимое чем-то, что $А$ генерируются сами (например, с подписью), но не могут продемонстрировать кому-либо действующее значение открытого текста.

В протоколе нет особых ограничений, поэтому можно использовать дополнительные данные, такие как подпись или свидетель.

Знаете ли вы какую-нибудь схему, которая может решить эту ситуацию?

56
1 + 3
Ievgeni avatar
флаг cn
Ievgeni
Почему $A$ не может сама зашифровать $m$ с помощью $pk$, который является открытым ключом?
0
Ответить
Federico Rapetti avatar
флаг cn
Federico Rapetti
@Ievgeni Потому что, если $A$ сама зашифрует $m$, позже она сможет доказать содержимое $e$, просто снова зашифровав $m$ теми же случайными значениями.
0
Ответить
Ievgeni avatar
флаг cn
Ievgeni
Спасибо за ваш ответ :)
0
Ответить
Рейтинг:0
Ievgeni avatar Crypto
флаг cn
Ievgeni

Думаю, это можно решить, используя схему шифрования/подписи с сохранением структуры (я имею в виду схемы, совместимые с системой доказательства ZK, которую вы хотите использовать).

Общая идея состоит в том, что Алиса подпишет сообщение и отправит подпись $\сигма$ Бобу, то Боб зафиксирует сообщение $м$, и подпись $\сигма$ и построит ZK доказательства того, что $е$ содержит $м$, и $\сигма$ является действительной подписью для $м$ по открытому ключу проверки Алисы.

Поскольку Алиса подписывает только одно сообщение, она будет убеждена, что $(com_m, com_\sigma)$ содержит $(м, \сигма)$ (и таким образом, что $e = Enc_{pk}(m)$).

Но так как доказательства с нулевым разглашением, $Enc(м)$ совершенно неотличимо от другого сообщения, потенциально подписанного Алисой (раскрывается даже секретный ключ подписи Алисы). И таким образом Алиса не могла никого убедить в истинной ценности $Enc(м)$.

Для конкретного экземпляра вы можете, например, использовать Система доказательств Грота-Сахаи, с Эль-Гамалем в качестве схемы шифрования и эти подписи.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.