Безопасность программного обеспечения компьютерных систем


Краткое описание криптографических средств контроля целостности и достоверности программ - часть 12


Если да, то посылает V значение R. Иначе останавливается.

  • Абонент V проверяет, что d?gRc .

    Если во всех l циклах проверка в п.5 выполнена успешно, то абонент V принимает доказательства.

    Таблица 3.1. Протокол верификации является интерактивным протоколом доказательств с абсолютно нулевым разглашением.

    Доказательство. Требуется доказать, что вышеприведенный протокол удовлетворяет трем свойствам: полноты, корректности и нулевого разглашения [,].

    Полнота означает, что если оба участника (V и S) следуют протоколу и (r,s) - корректная подпись для сообщения m, то V примет доказательство с вероятностью близкой к 1. Из описания протокола верификации очевидно, что абонент S всегда может надлежащим образом ответить на запросы абонента V, то есть доказательство будет принято с вероятностью 1.

    Корректность означает, что если V действует согласно протоколу, то какие действия не предпринимал бы S, он может обмануть V лишь с пренебрежимо малой вероятностью. Здесь под обманом понимается попытка S доказать, что logg(p)wlogr(p)?, когда на самом деле эти логарифмы не равны.

    Предположим, что logg(p)wlogr(p)?. Ясно, что для каждого a существует единственное значение b, то которое дает данный запрос ?. Поэтому ? не содержит в себе никакой информации об a. Если S смог бы найти h1, h2, t1 и t2 такие, что

    где a1a2, то тогда выполнялось бы соотношение

    logg(p)r[(a1-a2)-1((b2-b1)+(t2-t1))](modq)logw(p)?.

    Отсюда, очевидно, следует, что logg(p)wlogr(p)?. В самом деле, пусть logw(p)?logg(p)r ?. Тогда

    что противоречит предположению. Следовательно, какие бы h1, h2, t1 и t2 не выбрал S, проверка, которую проводит V, может быть выполнена только для одного значения a. Отсюда вероятность обмана не превосходит 1/q. Отметим, что протокол верификации является безусловно стойким для абонента V, то есть доказательство корректности не зависит ни от каких предположений о вычислительной мощности доказывающего (S).

    Свойство нулевого разглашения означает, что в результате выполнения протокола абонент V не получает никакой полезной для себя информации (например, о секретных ключах, используемых S).




    Начало  Назад  Вперед



    Книжный магазин