„Null-Wissen-Beweis“ – Versionsunterschied

Ein Zero-Knowledge-Beweis oder Zero-Knowledge-Protokoll ist ein Protokoll aus dem Bereich der Kryptografie. Bei einem Zero-Knowledge-Protokoll kommunizieren zwei Parteien (der Beweiser und der Verfizierer) miteinander. Der Beweiser überzeugt dabei den Verifizierer mit einer gewissen Wahrscheinlichkeit davon, dass er ein Geheimnis kennt, ohne dabei Informationen über das Geheimnis selbst bekannt zu geben.

Zero-Knowledge-Protokolle werden in der Kryptografie zur Identifikation eingesetzt. Ein bekanntes Verfahren ist das Fiat-Shamir-Protokoll.

Zero-Knowledge-Protokolle stellen eine Erweiterung von interaktiven Beweissystemen dar. Zu den Bedingungen Vollständigkeit und Zuverlässigkeit der interaktiven Beweissysteme tritt noch die Zero-Knowledge-Eigenschaft, die dafür sorgt, dass der Verifizierer keine Information über das Geheimnis erlangt.

Bei einem Zero-Knowledge-Protokoll soll immer gezeigt werden, dass eine Eingabe $x$ einer formalen Sprache $L$ angehört. Dazu muss ein Zero-Knowledge-Protokoll drei Bedingungen erfüllen:

Vollständigkeit: Ist die Eingabe $x$ ein Element der Sprache $L$ , dann soll der Verifizierer nach Ablauf des Protokolls immer akzeptieren.
Zuverlässigkeit: Ist die Eingabe $x$ kein Element der Sprache $L$ , dann soll der Verifizierer nach Ablauf des Protokolls ablehnen. Dabei ist jedoch eine geringe Fehlerwahrscheinlichkeit erlaubt.
Zero-Knowledge-Eigenschaft: Aus der Interaktion zwischen dem Beweiser und dem Verifizierer darf nicht mehr Wissen als die (Un-)Gültigkeit der zu beweisenden Aussage gewonnen werden.

Historischer Zero-Knowledge-Beweis

Im 16. Jahrhundert bewies Niccolo Fontana Tartaglia im Besitz der Lösungsformel für Gleichungen dritten Grades zu sein, indem er Nullstellen von Funktionen dritten Grades berechnete. Er musste die Lösungsformel selbst nicht publizieren, da er die Nullstellen berechnen konnte und dadurch darauf geschlossen werden konnte, dass er im Besitz eines Lösungsweges sein musste.

Beispiel für ein Zero-Knowledge-Protokoll

Eine Zero-Knowledge-Authentifizierung zwischen zwei Instanzen kann mit Hilfe des Graphenisomorphieproblems stattfinden. Dazu muss von dem Beweiser zunächst einmalig ein öffentliches Schlüsselpaar erstellt werden:

Der Beweiser $B$ erzeugt einen sehr großen Graphen $G_{0}$ .
$B$ nummeriert $G_{0}$ mit einer zufällig und gleichförmig gewählten Permutationsfunktion $\pi$ um. Der resultierende Graph sei also $G_{1}:=\pi (G_{0})$ .
Das Paar $(G_{0},G_{1})$ wird veröffentlicht und ist damit nun auch dem Verifizierer bekannt. Die Permutation $\pi$ hält $B$ geheim.

Nun erfolgt die Authentifizierung bei dem Verifizierer durch den folgenden Ablauf:

Der Beweiser $B$ wählt zufällig ein $a\in \{0,1\}$ . Außerdem wird der Graph $G_{a}$ durch die zufällig gewählte Permutationsfunktion $\rho$ umnummeriert. Der resultierende Graph sei $H:=\rho (G_{a})$ . $B$ sendet schließlich $H$ an den Verifizierer $V$ .
Der Verifizierer $V$ empfängt den Graphen $H$ und wählt zufällig ein $b\in \{0,1\}$ . Dann fordert er $B$ auf, ihm eine Permutation $\sigma$ mit der Eigenschaft $H=\sigma (G_{b})$ zu senden.
Nun muss zwischen drei Fällen unterschieden werden:
$\sigma :={\begin{cases}\rho &{\mbox{falls }}a=b\\\rho \circ \pi ^{-1}&{\mbox{falls }}a=0\ {\mbox{und }}b=1\\\rho \circ \pi &{\mbox{falls }}a=1\ {\mbox{und }}b=0\end{cases}}$
$B$ schickt die entsprechend konstruierte Permutation $\sigma$ an $V$ zurück.
$V$ empfängt das von $B$ gesendete $\sigma$ und prüft ob wirklich $H=\sigma (G_{b})$ gilt.

Wir betrachten nun die drei notwendigen Bedingungen für ein Zero-Knowledge Protokoll:

Das obige Protokoll ist offensichtlich vollständig, weil $\sigma$ gerade so konstruiert wird, dass es die geforderte Gleichung $H=\sigma (G_{b})$ erfüllt.
Ein unehrlicher Beweiser bzw. eine dritte Person, die sich als $B$ ausgeben möchte, kann ohne Kenntnis von $\pi$ den Verifizierer nur mit einer Wahrscheinlichkeit von 0.5 (durch richtiges Raten des Wertes $b$ im ersten Schritt) überzeugen. Falls das Protokoll hinreichend oft wiederholt wird und unter der Annahme, dass die Bestimmung von $\pi$ aus $(G_{0},G_{1})$ schwer ist, ist das Protokoll also stichhaltig.
Die Kommunikation zwischen Beweiser und Verifizierer in einer Runde (Schritt 1 bis 4) ist von der Form $(H,b,\sigma )$ . Erzeugt nun ein Simulator $S$ zufällig und gleichförmig $b'$ und $\sigma '$ und berechnet damit den Graphen $H'=\sigma '(G_{b'})$ , dann ist die resultierende Wahrscheinlichkeitsverteilung $\{(H',b',\sigma ')\}$ identisch zu der Verteilung, welche durch die echten Protokollinstanzen impliziert wird. Folglich kann kein geheimes Wissen (hier die Permutation $\pi$ ) übertragen worden sein (Zero-Knowledge).

Literatur

Jean-Jacques Quisquater, Louis Guillou: How to explain zero-knowledge protocols to your children. Advances in Cryptology - CRYPTO '89, Lecture Notes in Computer Science 435, pp. 628-631, 1990.
Kommentar: Äußerst unterhaltsame und theoriearme Einführung anhand eines mittlerweile klassischen Beispiels.

Weblinks

Applied Kid Cryptography – Eine sehr anschauliche Darstellung eines Zero-Knowledge Protokolls anhand eines Spiels.
Zero-Knowledge Tutorial – Hervorragende Einführung von Oded Goldreich (in Englisch)

@@ Zeile 1: / Zeile 1: @@
 Ein '''Zero-Knowledge-Beweis''' oder '''Zero-Knowledge-Protokoll''' ist ein [[Netzwerkprotokoll|Protokoll]] aus dem Bereich der [[Kryptografie]]. Bei einem Zero-Knowledge-Protokoll kommunizieren zwei Parteien (der Beweiser und der Verfizierer) miteinander. Der Beweiser überzeugt dabei den Verifizierer mit einer gewissen Wahrscheinlichkeit davon, dass er ein Geheimnis kennt, ohne dabei Informationen über das Geheimnis selbst bekannt zu geben.
-Zero-Knowledge-Protokolle werden in der Kryptografie zur Identifikation eingezestzt. Ein bekanntes Verfahren ist das [[Fiat-Shamir-Protokoll]].
+Zero-Knowledge-Protokolle werden in der Kryptografie zur Identifikation eingesetzt. Ein bekanntes Verfahren ist das [[Fiat-Shamir-Protokoll]].
 Zero-Knowledge-Protokolle stellen eine Erweiterung von [[interaktives Beweissystem|interaktiven Beweissystemen]] dar. Zu den Bedingungen Vollständigkeit und Zuverlässigkeit der interaktiven Beweissysteme tritt noch die Zero-Knowledge-Eigenschaft, die dafür sorgt, dass der Verifizierer keine Information über das Geheimnis erlangt.

Land Baden-Württemberg

„Null-Wissen-Beweis“ – Versionsunterschied

Version vom 13. Oktober 2006, 07:44 Uhr

Inhaltsverzeichnis

Historischer Zero-Knowledge-Beweis

Beispiel für ein Zero-Knowledge-Protokoll

Literatur

Weblinks

What are your Feelings

Wissen

Automated Chatbot

Data Security

Virtual Reality

Communication

Support

Über uns

Impressum

Datenschutz

Company

About Us

Services

Features

Our Pricing

Latest News

„Null-Wissen-Beweis“ – Versionsunterschied

Version vom 13. Oktober 2006, 07:44 Uhr

Historischer Zero-Knowledge-Beweis

Beispiel für ein Zero-Knowledge-Protokoll

Literatur

Weblinks

What are your Feelings

Share This Article :

Wissen

Automated Chatbot

Data Security

Virtual Reality

Communication

Support

Über uns

Impressum

Datenschutz

Company

About Us

Services

Features

Our Pricing

Latest News