1 / 13

Protocols with Null Disclosure - An Introduction to Zero-Knowledge Proofs

Learn about interactive proof systems, zero-knowledge protocols, Feige-Fiat-Shamir, and security measures against attacks in cryptographic protocols. Explore the world of secret-sharing without revealing secrets.

hillary-blackwell
Download Presentation

Protocols with Null Disclosure - An Introduction to Zero-Knowledge Proofs

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Protocoles à Divulgation Nulle

  2. La caverne d’Ali Baba Première approche • Convainc le vérifieur que le prouveur est bien en possession d’un secret • L’interaction n’apprend rien du secret du prouveur au vérifieur • Prouveur / vérifieur • Questions / réponses

  3. Systèmes de preuves interactives • Interactive Turing Machine • P: tout puissant V: polynomial

  4. Systèmes de preuves interactives • IP ={langages ayant des systèmes de preuves interactives} • BPP NP IP • Interactive Turing Machine • P: tout puissant V: polynomial • Complétude: V accepte souvent si P connaît le secret xL, Pr(P,V(x)=1)  2/3 • Validité: V accepte rarement si P est un imposteur xL, Pr(B,V(x)=1)  1/3

  5. Graphes non isomorphes • Complétude: G1 et G2 non isomorphes  V accepte toujours • Validité: G1 et G2 isomorphes  V accepte avec une probabilité  ½

  6. Preuve à divulgation nulle • Simulateur (M*): • Ne connaît pas le secret du prouveur • Exécution en temps polynomial • Peut échouer () • Zero-knowledge parfait : • Les échecs du simulateur sont limités (Pr(M*(x)= )  ½) • P,V*(x) et m*(x)sont identiquement distribuées • Zero-knowledge calculatoire: • {P,V*(x)}xL et {M*(x)}xL sont calculatoirement indistingables • Complexité: • BPP PZK CZK IP • NP CZK ?

  7. Graphes trois-colorables • Complétude: G trois-colorable  V accepte toujours • Validité: G non trois-colorable  V accepte avec une probabilité  1/|E|

  8. Graphes trois-colorables

  9. Feige-Fiat-Shamir • Complétude: P connaît s  V accepte toujours • Validité: P ne connaît pas s  V accepte avec une probabilité  1/2 • Protocole à clef publique • (p,q,s) secrets (n=p.q, v=s2) publiques

  10. Feige-Fiat-Shamir

  11. Avantages pratiques

  12. Attaques possibles • Force brute • Principe: se libérer de la limite polynomiale de V* • Parade: limiter le temps de réponse • Post-mortem • Principe: se libérer de la limite polynomiale de V* • Parade: changer le secret régulièrement, tous les protocoles sont sensibles à cette attaque et plus particulièrement les protocoles zero-knowledge • Replay • Principe: rejouer une instance d’identification • Parade: zero-knowledge non sensible à cette attaque • Man-in-the-middle / Connivence • Principe: jouer les intermédiaire entre 2 machines et tromper les 2 • Parade: limiter le temps de réponse

  13. Conclusion

More Related