Рейтинг:0

Доказательство с нулевым разглашением правильного шифрования Эль-Гамаля

флаг do

Предположим, для $ск = х$, $пк = г^х$ мы шифруем сообщение $м$ с шифрованием Эль-Гамаля как $(g^r,m\cdot pk^r)$. Моя цель — доказать, что я выполнил шифрование правильно, т.е. $г$ используется через $g^r$ и $m\cdot пк^r$.

Я подумал о простом $\Сигма$-протокол, чтобы показать это следующим образом:

  1. Образцы пруверов $q_1,q_2$, вычисляет $R_1 = q_1\cdot pk^{q_2}$ и $R_2 = г^{q_2}$ и отправляет $R_1, R_2$ к верификатору.
  2. Верификатор отправляет случайный вызов $е$ доказывать.
  3. Доказательство вычисляет $z_1 = q_1 \cdot m^e$ и $z_2 = q_2 + e\cdot r$. Отправляет $z_1$ и $z_2$ к верификатору.
  4. Верификатор проверяет, $R_1 \cdot (m \cdot pk^r)^e= z_1 \cdot pk^{z_2}$ и $R_2 \cdot (g^r)^e = g^{z_2}$

Ручкой и бумагой математика подтверждается, но я не уверен, что я что-то упустил? (этот вопрос является продолжением моего более старого связанного вопроса: Доказательство правильности шифрования Эль-Гамаля с учетом определенного открытого ключа). Например, есть ли шанс, что $z_1$ на практике может произойти утечка информации о сообщении $м$?

Рейтинг:1
флаг my

Доказательство не работает (даже если вы исправите его, заставив доказывающую сначала отправить $R_1, R_2$, скорее, чем $q_1, q_2$, что вы, вероятно, и предполагали); владелец закрытого ключа может создать действительное доказательство, даже если зашифрованный текст фактически не расшифровывается в открытый текст.

Предположим, что у доказывающего есть открытый ключ. $пк$ (и соответствующий закрытый ключ); у него есть сообщение $М'$ не имеет отношения к шифротексту $С$. Тогда вот как он может создать «доказательство»:

  • Шаги 1, 2 выполняются, как указано

  • На шаге 3 он вычисляет $z_2 = q_2 + e \cdot r$ (как указано), однако он вычисляет $z_1 = R_1 \cdot C^e \cdot pk^{-z_2}$

  • На шаге 4 верификатор заметит, что оба отношения выполняются.

(Того, что верификатор никогда не использует значение предполагаемого открытого текста, о котором должно быть доказательство, должно быть достаточно, чтобы показать, что здесь чего-то не хватает...)

флаг do
Спасибо, исправил $R_1, R_2$. Итак, моей первоначальной целью было показать, что доказывающая сторона использовала одинаковую случайность $r$ для двух шифротекстов Эль-Гамаля. Помешает ли это доказательство тому, чтобы доказывающий отправил что-то вроде $(g^r, m \cdot pk^{r'}$ и $r \neq r'$?
Manish Adhikari avatar
флаг us
@Panos Предполагается, что $m$ известно проверяющему. Если нет, то утверждение тривиально: $m$ всегда существует, и на самом деле это доказательство знания $m$ кем-то, у кого нет закрытого ключа. В этом случае это выглядит нормально (я не видел оригинальную версию): существуют честный симулятор верификатора и экстрактор. В противном случае доступен сигма-протокол для кортежей DDH, возможно, вы можете его использовать.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.