导语:本课堂用通俗易懂的系列内容为大家呈现区块链与密码学领域相关知识。这里有知识也有故事,从感兴趣到有乐趣,全民课堂等你来学。
这个系列中的课程内容首先从区块链起源着手进行入门介绍,再延伸至区块链的相关技术原理与发展趋势,然后深入浅出地依次介绍在区块链中应用的各类密码学技术。欢迎大家订阅本公众号,持续进行学习。
【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网,版权归属其原作者所有,如有侵权请立即与我们联系,我们将及时处理。】
10-12
非交互式零知识证明
| Fiat-Shamir转换
回顾下Sigma协议,可以发现以下问题:
01Sigma协议的零知识性需要验证者是诚实的
那么,验证者不诚实的话,Sigma协议是否是零知识的?目前,无法说明这个问题。
02Sigma协议的安全基石除了困难问题外,还有什么?
答案是随机挑战。在可靠性分析过程中,可以看出随机挑战值是决定错误概率的关键。
03Sigma协议的效率如何?限制有哪些?
显然,计算量和通信量受限于协议的构造基石(如困难问题、挑战轮数等等)。而且,交互形式的协议限制了它的使用场景。
交互式零知识证明
只能够取信于一个验证者
只在某个时刻有效
非交互式零知识证明(NIZK)
可以取信于很多人(甚至所有人)
证明始终有效
Fiat-Shamir变换是一种可以将Sigma协议变成非交互证明的技术。它能够让证明者Prover可以通过给验证者Verifier发送一个证明信息即可完成证明(无需交互,无需返回挑战)。
而且,它能把任何一个Simga协议变成一个数字签名,签名的含义就是「知道这个Sigma协议的秘密的人已经签署了这个消息」。Prover能够创造一个证明,然后分发给很多个验证者,验证者可以不必联系Prover即可验证证明有效性。同时零知识也变得容易了,因为验证者或者其他敌手不能做任何事情。
以Schnorr协议为例,如果挑战值e可预知,那么任何人都可以成功欺骗V。
在交互证明时,挑战值可以由验证者V随机产生;
但在非交互证明时,如何保障挑战随机性和不被证明者控制?
为重建信任,Fiat-Shamir转换采用了随机预言机,即让「上帝」来选取挑战值。
问题又来了,真实的随机语言机是不存在。于是,密码学家作出了如下假设:
假设:一个密码学安全的 Hash 函数可以近似地模拟传说中的「随机预言机」。
注意:这个假设无法被证明,所以我们只能信任这个假设,或者说当做一个公理来用。
Hash函数的广义抗碰撞性质决定了它的输出可以模拟随机数,同时在很多情况下(并非所有),对 Hash函数实施攻击难度很高,于是许多的密码学家都在大胆使用。
今天的课程就到这里啦,下节课我们将继续学习非交互式零知识证明,敬请期待!