零知识证明四——Fiat-Shamir,三分钟零知识证明入门

最新推荐文章于 2023-06-19 10:49:16 发布
最新推荐文章于 2023-06-19 10:49:16 发布
阅读量3.9k 收藏 23
点赞数 6
分类专栏: 密码学 文章标签: 零知识证明 Fiat-Shamir
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xq723310/article/details/96020603
版权

      看了一些密码学的书籍,都是老外的,才发现歪果仁还真是喜欢alice和bob,这二位霸占了密码学的故事的主角。今天我们也邀请二位来参与我们的故事。今天介绍的是比较简单的零知识证明,交互式零知识证明——Fiat-Shamir,不过这就是为了把大家领上道,实际应用是比这个要负责的;

Fiat-Shamir

       要进行Fiat-Shamir,首先进行准备工作,由可信第三方,随机选择两个大的素数p和q,计算n = p*q的值(n的值是公开的,p和q的值要保密)。Alice选择s属于(1~n-1),并计算出v\equiv s^{2} mod n,其中s作为Alice的私钥,v则为Alice的公钥。现在需要Bob出场了,Alice希望向Bob证明她知道s,但是又不希望Bob知道s是多少。准备工作到此结束,开会证明。

          

 

1)Alice随机选择r(0~n-1),然后计算x \equiv r^{2} mod n,将x发给Bob;x称之为证据;

2)Bob随机选择c = 0 or 1 发送给Alice,c称之为挑战;

3)Alice根据收到Bob的挑战,发送y \equiv rs^{c} mod n给Bob,y称之为应答;

4)Bob则进行验证y^{2},如果c=0,则y^{2}\equiv r^{2}\equiv x mod n,所以c=0时,Bob只需要根据验证y^{2}\equiv xmodn即可,而这些数据并不会透露s的任何消息;当c=1时,则y^{2}\equiv r^{2}s^{2}\equiv xv mod n     ,所以c=1时,Bob只需要根据验证y^{2}\equiv xvmodn即可,而这些数据也不会透露s的任何消息;

      这就是一次完整的验证过程,整个验证过重,Bob没有得到s的任何信息,而且也验证了,Alice是否知道s,如果s不知道s,则当c=1的时候,Alice是无法发送正确的值的。所以只要我们重复这个验证过程,则Alice就不能欺骗Bob;

   Alice真的无法欺骗Bob???  

   下面我们假装自己是Alice,而且Alice不知道s,看看是否真的咩有办法欺骗Bob,说不定咱们更聪明呢。

    我是alice,我不知掉s;我们先正向思考一下这个问题,因为我们不知道s,所以,一旦Bob的c=1,我们肯定是无法验证通过的,这条路肯定是不行的;

    我们在反向思考一下,无论c=0 or 1,Bob最终要验证的公式就是y^{2}\equiv xv^{c}mod n,其中x是我们可控的,v呢,是公开的,c呢是Bob控制的,所以如果我们能够提前预测每次Bob每次c的值,则我们就完全可以控制Bob最后验证公式的结果;例如,如果我们知道Bob要发送c=0,则我们只需要在第三步,给Bob发送x^{1/2}即可;如果提前预测Bob发送c=1,则只需在第三步发送(xv)^{1/2}

    实际上,我们是无法预测Bob要发送c的值,当这个验证重复n次后,则我们猜对的概率变为1/2^{n},n=16大概是60000分之一的概率,已经很低了;这足够证明这个算法的可行性;

 

0xweb3q
关注
专栏目录
Fiat-Shamir transform 和零知识证明
反之亦然
04-09 2315
零知识证明是区块链密码学的重要内容。近期在学习环签名,因此了解了一下证明机制。 零知识证明:向对方证明自己知道某个秘密,但不泄露秘密。 一个传统的证明步骤如下: 1 以离散对数加密为例,一证明者公开一系列信息(g,y1)(g,y1)(g,y_1),其中g是本原元,如果用椭圆曲线离散对数就是基点坐标,y1就是公钥。 2 选择一个伪随机数v∈Zqv∈Zqv\in \mathbb{Z}_...
密码学读书笔记——Fiat-Shamir
little_pants的博客
11-22 1527
密码学读书笔记——Fiat-Shamir交互式的身份验证非交互式的签名方案关于Fait-Shamir安全性的思考 交互式的身份验证 在中心准备签发智能卡时,会信选择出一个模数n和一个伪随机函数f,这个伪随机函数f可以将任意的字符串与[0,n)当中的一个数联系起来。n是两个秘密(只有中心知道)素数p和q的乘积。 当一个合法的用户希望申请一个智能卡时,中心会解析它的所有相关信息,包括名字、地址、ID、物理特征描述等,这些信息会被包括在一个字符串当中,同时有关卡片本身的一些信息也会被包含在其中(发行日期,有效性限
nzkp:一种网络 Feige-Fiat-Shamir 零知识证明身份协议
07-05
无锡 这是源自 Daniele Raffo 的 Feige-Fiat-Shamir 零知识证明身份协议的 nzkp 客户端和服务器软件。 原始代码位于: : 。 建造 Make sure you have dependencies: libgmp, m4, and libsocket. $ make 安装 $ sudo make install 这会将 nzkp 客户端安装到:/opt/nzkp/bin/nzkp 并将 nzkp 服务器安装到:/opt/nzkp/bin/nzkpd To uninstall: $ sudo make uninstall 流浪汉 可以通过简单地运行来执行自动运行: $ vagrant up
智能合约:fiat-shamir零知识证明合约
文杰的博客
08-05 7515
文章学习自微众银行智能合约代码征集活动第一期中的隐私计算任务 微信:由@周小周发布 代码地址:https://github.com/WeBankBlockchain/SmartDev-Contract/tree/dev/contracts/business_template/privacy_computation/Fiat-Shamir-ZK 一、Fiat-Shamir零知识证明协议 场景 Fiat-Shamir with secret password Fiat-Shamir零知识证明协议可以允许用.
后量子签名:Fiat-Shamir(上篇)
最新发布
weixin_44885334的博客
06-19 996
Fiat-Shamir 范式:令 Π\PiΠ 是一个 Sigma 协议(333-round public-coin ZK proof/argument),证明者和验证者交互的副本形如 (a,e,z)(a,e,z)(a,e,z),其中 aaa 是承诺,eee 是公开掷币的一系列挑战(使得 soundness error 可忽略),zzz 是对这些挑战的回应,证明者将证据 www 作为私钥。我们用 HHH 表示随机神谕(Random Oracle)。给定消息 mmm,签名者随机生成 aaa,询问 RO
Feige-Fiat-Shamir:Feige-Fiat-Shamir 零知识证明的一个小概念证明
07-05
菲格-菲亚特-沙米尔 Feige、Uriel、Amos Fiat 和 Adi Shamir 中描述的 Feige-Fiat-Shamir 零知识证明的小概念证明。 “身份的零知识证明。” 运行:python main.py mode nkt 其中“mode”是“verifier”、“prover”或“cheater”之一(无论如何必须首先运行验证器),n是商定的大整数,k是密钥大小,t是要执行的挑战次数
Fiat_Shamir.rar_Fiat-Shamir_shamir_数字签名_签名
09-23
Fiat-Shamir转换,由Amos Fiat和Adi Shamir在1986年提出,是一种将零知识证明(Zero-Knowledge Proof)转化为签名方案的方法。这个转换通常用于创建更安全、更高效的签名算法,尤其适用于离线环境或者在无法进行交互...
Algorithm-fiat-shamir-zkp.zip
09-17
Algorithm-fiat-shamir-zkp.zip,客户/服务器认证协议fiat-shamir零知识证明系统的ocaml实现,算法是为计算机程序高效、彻底地完成任务而创建的一组详细的准则。
非交互零知识证明Fiat-Shamir Transform
weixin_44885334的博客
05-07 1336
非交互证明系统 令R⊆X×YR \subseteq X \times YR⊆X×Y是一个有效关系,那么关于RRR的非交互系统是一个算法对(Gen,Check)(Gen,Check)(Gen,Check),定义如下: GenGenGen:一个有效的概率算法,形如π←RGen(x,y)\pi \leftarrow_R Gen(x,y)π←R​Gen(x,y),其中(x,y)∈R(x,y) \in R(x,y)∈R,π∈PS\pi \in PSπ∈PS,这里的PSPSPS是证明空间(proof space) C
Fiat_Shamir数字签名
12-26
去年自己做的一个有关数字签名的课程设计,用mfc的dialog做的,希望能对大家有所帮助!
shamir 秘密共享算法
06-04
Shamir 的(k,n)秘密共享算法将秘密S 分为n个子秘密,任意k 个子秘密都可以恢复 出S ,而任意k 1个子秘密无法恢复出S 。
零知识证明
09-05
通过对零知识证明的mpc阐述,说明零知识证明原理,和落地实现可能性。
Fiat-Shamir 变换
taylorswift的博客
02-22 606
上述方法就叫做 Fiat-Shamir 变换。Fiat-Shamir 变换只能将公开随机数的交互证明转化为非交互证明。
Fiat-Shamir heuristic(含实现)和Random oracle
mutourend的博客
07-02 1598
1. Fiat-Shamir 定义 通过Fiat-Shamir转换,可将Bulletproof中Verifier多次challenge的interactive证明切换为Non-Interactive proof. The Fiat-Shamir heuristic. The Fiat-Shamir transformation takes an interactive public coin ar...
07、the Fiat-Shamir Transform 【Fiat-Shamir转换】
qq_43479839的博客
01-28 511
The Fiat-Shamir Transform
Fiat-Shamir零知识证明
y734564892的博客
05-26 5296
零知识证明:不泄露个人信息的前提下证明自己是某信息的合法拥有者 Fiat-Shamir heuristic 根据wiki:前提:持有相同的message x的用户可以相互认证,他们持有相同的验证函数,以指数函数为例 f(x)=gx  1. alice想向bob证明她知道message x 同时又不想泄露出x2. Alice取一个非零整数v,同时得到t=gv3. 用加密哈希函数 c=H(g,y,t)...
Feige-Fiat-Shamir零知识身份认证
weixin_43255133的博客
10-29 8306
一.零知识证明 零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。零知识证明必须包括两个方面,一方为证明者P,另一方为...
学习笔记:ZKP & Fiat-Shamir变换的漏洞
日常学习记录,随缘更新
04-19 558
Jim Miller关于 Fiat-Shamir transformation和ZKP的开篇blog。文章相对基础,可以帮助初学者快速理解交互式零知识证明Fiat-Shamir变换的问题:https://blog.trailofbits.com/2021/02/19/serving-up-zero-knowledge-proofs/#comments 这个漏洞对所有未规范使用Fiat-Shamir变换的证明系统都产生威胁。 ZKP & Fiat-Shamir变换ZKP简介类比“网球”ZKP与Fia
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xweb3q

有钱的捧个钱场,没钱的捧个人场

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值