16、密码学中的身份识别、承诺与秘密共享方案

密码学中的身份识别、承诺与秘密共享方案

1. 身份识别方案

1.1 模拟器证明

在身份识别相关证明中，接受的传输记录集合定义为 (T (x) := {(a, e, b) \in QR_n \times {0, 1} \times Z_n^ | b^2 = ax^e})。对于一般的验证者 (V^ )，存在一个具有所需属性的模拟器 (S)，其算法如下：

transcript S(algorithm V ∗, int x)
1. repeat
2.     select ˜e ∈{0, 1} and ˜b ∈Z∗
n uniformly at random
3.     ˜a ←˜b2x−˜e
4.     e ←V ∗(˜a)
5. until e = ˜e
6. return (˜a, ˜e,˜b)

模拟器 (S) 将验证者 (V^ ) 作为子程序来获取挑战 (e)。它会预先猜测 (e)，若猜测成功，就能生成有效的传输记录 ((\tilde{a}, \tilde{e}, \tilde{b}))。由于 (V^ ) 是任意的验证者，(S) 无法自行生成 (e)。无论 (V^ ) 采用何种策略输出 (e)，猜测的 (\tilde{e}) 与 (e) 重合的概率为 (\frac{1}{2})。期望上，(S) 在两次循环迭代后会产生结果。并且 (S) 返回的元素 ((\tilde{a}, \tilde{e}, \tilde{b})) 与 ((P, V^ )) 产生的元素 ((a, e, b)) 无法区分。