零知识证明四——Fiat-Shamir，三分钟零知识证明入门

最新推荐文章于 2023-06-19 10:49:16 发布

0xweb3q

最新推荐文章于 2023-06-19 10:49:16 发布

阅读量3.8k

点赞数 6

分类专栏：密码学文章标签：零知识证明 Fiat-Shamir

本文链接：https://blog.csdn.net/xq723310/article/details/96020603

版权

密码学专栏收录该内容

11 篇文章 13 订阅

订阅专栏

看了一些密码学的书籍，都是老外的，才发现歪果仁还真是喜欢alice和bob，这二位霸占了密码学的故事的主角。今天我们也邀请二位来参与我们的故事。今天介绍的是比较简单的零知识证明，交互式零知识证明——Fiat-Shamir，不过这就是为了把大家领上道，实际应用是比这个要负责的；

Fiat-Shamir

要进行Fiat-Shamir，首先进行准备工作，由可信第三方，随机选择两个大的素数p和q，计算n = p*q的值（n的值是公开的，p和q的值要保密）。Alice选择s属于（1～n-1），并计算出 $v\equiv s^{2} mod n$ ，其中s作为Alice的私钥，v则为Alice的公钥。现在需要Bob出场了，Alice希望向Bob证明她知道s，但是又不希望Bob知道s是多少。准备工作到此结束，开会证明。

1）Alice随机选择r（0～n-1），然后计算 $x \equiv r^{2} mod n$ ，将x发给Bob；x称之为证据；

2）Bob随机选择c = 0 or 1 发送给Alice，c称之为挑战；

3）Alice根据收到Bob的挑战，发送 $y \equiv rs^{c} mod n$ 给Bob，y称之为应答；

4）Bob则进行验证 $y^{2}$ ，如果c=0，则 $y^{2}\equiv r^{2}\equiv x mod n$ ，所以c=0时，Bob只需要根据验证 $y^{2}\equiv xmodn$ 即可，而这些数据并不会透露s的任何消息；当c=1时，则 $y^{2}\equiv r^{2}s^{2}\equiv xv mod n$ ，所以c=1时，Bob只需要根据验证 $y^{2}\equiv xvmodn$ 即可，而这些数据也不会透露s的任何消息；

这就是一次完整的验证过程，整个验证过重，Bob没有得到s的任何信息，而且也验证了，Alice是否知道s，如果s不知道s，则当c=1的时候，Alice是无法发送正确的值的。所以只要我们重复这个验证过程，则Alice就不能欺骗Bob；

Alice真的无法欺骗Bob？？？

下面我们假装自己是Alice，而且Alice不知道s，看看是否真的咩有办法欺骗Bob，说不定咱们更聪明呢。

我是alice，我不知掉s；我们先正向思考一下这个问题，因为我们不知道s，所以，一旦Bob的c=1，我们肯定是无法验证通过的，这条路肯定是不行的；

我们在反向思考一下，无论c=0 or 1，Bob最终要验证的公式就是 $y^{2}\equiv xv^{c}mod n$ ,其中x是我们可控的，v呢，是公开的，c呢是Bob控制的，所以如果我们能够提前预测每次Bob每次c的值，则我们就完全可以控制Bob最后验证公式的结果；例如，如果我们知道Bob要发送c=0，则我们只需要在第三步，给Bob发送 $x^{1/2}$ 即可；如果提前预测Bob发送c=1，则只需在第三步发送 $（xv）^{1/2}$ ；