Схема идентификации Фейге–Фиата–Шамира

В криптографии схема идентификации Фейге-Фиата-Шамира представляет собой тип параллельного доказательства с нулевым разглашением, разработанный Уриэлем Фейге , Амосом Фиатом и Ади Шамиром в 1988 году. Как и все доказательства с нулевым разглашением, она позволяет одной стороне, Доказывающей, доказать другой стороне, Проверяющей, что она обладает секретной информацией, не раскрывая Проверяющей, что это за секретная информация. Однако схема идентификации Фейге-Фиата-Шамира использует модульную арифметику и параллельный процесс проверки, который ограничивает количество сообщений между Доказывающей и Проверяющей.

Настраивать

Следуя общепринятому соглашению , назовем доказывающего Пегги, а проверяющего — Виктором.

Выберите два больших простых целых числа p и q и вычислите произведение n = pq . Создайте секретные числа, взаимно простые с n . Вычислите . Пегги и Виктор оба получают while и остаются в секрете. Затем Пегги отправляет числа . Это ее секретные номера входа. Виктору отправляет числа Пегги, когда она хочет идентифицировать себя для Виктора. Виктор не может восстановить числа Пегги из своих чисел из-за сложности определения модульного квадратного корня , когда разложение модуля неизвестно. $s_{1},\cdots ,s_{k}$ $v_{i}\equiv s_{i}^{2}{\pmod {n}}$ $n$ $p$ $д$ $s_{i}$ $v_{i}$ $s_{i}$ $v_{i}$

Процедура

Пегги выбирает случайное целое число , случайный знак и вычисляет . Пегги отправляет Виктору. $r$ $s\in \{-1,1\}$ $s\cdot x\equiv r^{2}{\pmod {n}}$ $x$
Виктор выбирает числа , равные 0 или 1. Виктор отправляет эти числа Пегги. $a_{1},\cdots ,a_{k}$ $a_{i}$
Пегги вычисляет . Пегги отправляет это число Виктору. $y\equiv rs_{1}^{a_{1}}s_{2}^{a_{2}}\cdots s_{k}^{a_{k}}{\pmod {n}}$
Виктор проверяет то и это $y^{2}{\pmod {n}}\equiv \pm \,xv_{1}^{a_{1}}v_{2}^{a_{2}}\cdots v_{k}^{a_{k}}{\pmod {n}}$ $x\neq 0.$

Эта процедура повторяется с различными значениями и до тех пор, пока Виктор не убедится, что Пегги действительно обладает модульными квадратными корнями ( ) его чисел. $r$ $a_{i}$ $s_{i}$ $v_{i}$

Безопасность

В ходе процедуры Пегги не дает Виктору никакой полезной информации. Она просто доказывает Виктору, что у нее есть секретные номера, не раскрывая, что это за номера. Любой, кто перехватит связь между Пегги и Виктором, узнает только одну и ту же информацию. Подслушивающий не узнает ничего полезного о секретных номерах Пегги. ^{[ необходима цитата ]}

Предположим, что Ева перехватила числа Виктора, но не знает, какие числа у Пегги. Если Ева хочет убедить Виктора, что она Пегги, ей придется правильно угадать, какие числа у Виктора. Затем она выбирает случайное , вычисляет и отправляет Виктору. Когда Виктор отправляет , Ева просто возвращает ей . Виктор удовлетворен и приходит к выводу, что у Евы есть секретные числа. Однако вероятность того, что Ева правильно угадает, какие числа у Виктора, составляет 1 из . При повторении процедуры раз вероятность падает до 1 из . Для и вероятность успешно выдать себя за Пегги меньше 1 из 1 миллиона. $v_{i}$ $s_{i}$ $a_{i}$ $y$ $x\equiv y^{2}v_{1}^{-a_{1}}v_{2}^{-a_{2}}\cdots v_{k}^{-a_{k}}{\pmod {n}}$ $x$ $a_{i}$ $y$ $a_{i}$ $2^{k}$ $t$ $2^{kt}$ $k=5$ $t=4$

Ссылки

Фейге, Уриэль; Фиат, Амос; Шамир, Ади (1988). «Доказательства идентичности с нулевым разглашением». Журнал криптологии . 1 (2): 77–94. doi : 10.1007/BF02351717 . S2CID 2950602.
Трапп, Уэйд; Вашингтон, Лоуренс К. (2003). Введение в криптографию с теорией кодирования . Верхняя Сэддл-Ривер: Prentice-Hall. стр. 231–233. ISBN 0-13-061814-4.
Вонг, Чунг Кей; Лам, Саймон С. (август 1999 г.). «Цифровые подписи для потоков и многоадресной передачи» (PDF) . Труды IEEE/ACM по сетям . 7 (4).(eFFS, расширенная схема Фейге–Фиата–Шамира)