本文深入探讨了Σ协议,包括Schnorr-ID协议、Okamoto协议和Chaum-Pedersen协议等,阐述了这些协议在证明知识、零知识证明和安全性方面的作用。σ协议允许证明者在不泄露敏感信息的情况下,向验证者证明其掌握特定关系的证据。文章通过具体的协议交互过程和安全性定理,展示了如何在不同场景下应用线性关系和同态关系的证明。
原文教材 与 参考资料:
Boneh Dan , Shoup Victor . A Graduate Course in Applied Cryptography[J].
该书项目地址(可以免费获取):http://toc.cryptobook.us/
博客为对该书的学习笔记,并非原创知识,仅帮助理解,整理思路。
19.4 Sigma protocols: basic definitions
Schnorr-ID 协议被称为Sigma protocol的一种特殊的例子,本小节将给出sigmal协议宏观上的定义与构造。直觉上,该协议允许一个证明者prover P 能够说服一个持怀疑态度的验证者V,P掌握某个满足一定关系R的证据w,在不需要暴露任何的对于V有用的关于该证据w的信息。
首先,sigma 协议本身就是一种对于“知识的证明”,但是该书此处并不以这个概念来定义,个人认为一种较好的理解是,sigma 是“知识的证明”的一种方式与实例。
知识这里就是说证据,证据一定是对于一个事实或者关系的证据与描述。那么,我们首先给出关系的定义:
关系R即为在二元域上的一个关系,X,Y,R都是可以被有效识别的,即为在多项式时间内被识别,其中Y的元素被叫做“statements、声明”,X中满足某个关系R且与Y为一组的元素x称为“witness”证据。
给定关系后,我们给出Sigma的语义定义:
一个基本的sigma 定义如下所示:
P证明者,持有一个关系R上的实例(x,y)
V验证者,持有关系R上的一个声明,y
P 首先给与V 一个承诺值,准备建立联系;V给与一个P 一个挑战信息c; P返回给V一个回复z;
V 此时可以对该关系R进行验证;
这里要去V在选取挑战c的信息是不能是超过挑战空间C的范围的,并且最终验证等式必须是确定性的即为输出要么是接受要么是拒绝。称(t,c,z)为一个可接受的会话。
给出一个例子,Schnorr's Sigma Protocol:
这是针对离散对数关系R的一个sigma协议:
值得注意的是在sigma协议中并没有指定关系R的元素生成算法,因为这个协议并不关系R上的元素是如何生成的,该协议关注的核心是如何证明该关系成立在不暴露秘密信息的条件下,我们亦可以理解为其关注的是前几篇提到的ID协
最低0.47元/天 解锁文章
扫一扫
751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
