现代密码学(第六章)教材课件

第六章：第六章：密码技术应用一、秘密共享一、秘密共享二、不经意传输二、不经意传输三、电子投票三、电子投票四、零知识证明四、零知识证明五、电子现金支付五、电子现金支付2024/7/91一、秘密共享一、秘密共享“海盗分割藏宝图”是秘密共享方案的原始模型。设共有n个海盗有权参加宝物分配。为了防止独吞或联手作弊，规定：t个人以上同时到场才能找到宝物，而t-1个人以下同时到场是不能找到宝物的。恰当地分割藏宝图就是解决这个问题的有效方法。在这里，一个秘密被分成了n份，任何t份并在一起，都能复原秘密。t被称为门限值。t n。2024/7/92一、秘密共享一、秘密共享秘密共享方案有多种用途。比如：n遗产的分配与公证。遗产的分配与公证。n多用户通信。多用户通信。n电子商务中的各种交易方案。电子商务中的各种交易方案。n重大决策的控制阀（如核按钮等）。重大决策的控制阀（如核按钮等）。2024/7/93一、秘密共享一、秘密共享例：一个最简单的秘密共享方案例：一个最简单的秘密共享方案设保险柜有三把锁，分别编号为、。张三拥有、号锁的钥匙。李四拥有、号锁的钥匙。王五拥有、号锁的钥匙。三个人中，任何两个以上的人同时到场均可以打开保险柜；任何一个以下的人到场均打不开保险柜。此处，一个秘密指的是“、号锁的钥匙”；n=3（个人）；门限值t=2（个人）。2024/7/94一、秘密共享一、秘密共享Shamir的秘密共享门限方案的秘密共享门限方案选择一个大素数p。选择一个t-1次的整系数多项式h(x)：2024/7/95一、秘密共享一、秘密共享n设一共有n个参与者。n设第k位参与者拥有的公开身份名是ID(k)，其中ID(k)是整数。n设第k位参与者拥有的秘密身份名是h(ID(k)。此处k=1,2,3,n。n多项式h(x)对所有参与者保密。换句话说，多项式h(x)的系数a0,a1,a2,at-2,at-1对所有参与者保密。n第k位参与者拥有（ID(k)，h(ID(k)）。其中ID(k)对其他参与者公开，h(ID(k)对其他参与者保密。此处k=1,2,3,n。2024/7/96一、秘密共享一、秘密共享多项式h(x)（即多项式h(x)的系数a0,a1,a2,at-2,at-1）就是n个参与者所共享的秘密。任何t个人以上同时到场，每个人交出自己的身份名（ID(k)，h(ID(k)），拼在一起，就能计算出h(x)。任何t-1个人以下同时到场，每个人交出自己的身份名（ID(k)，h(ID(k)），拼在一起，则不能计算出h(x)。以下详细说明。2024/7/97一、秘密共享一、秘密共享不失一般性,不妨设第1位第t位参与者同时到场，每个人交出自己的身份名：（ID(k)，h(ID(k)），k=1,2,3,t。于是得到了如下的方程组：对于k=1,2,3,t，2024/7/98一、秘密共享一、秘密共享即2024/7/99一、秘密共享一、秘密共享这是一个关于未知系数a0,a1,a2,at-2,at-1的t元一次方程组（请注意，是模(modp)运算的t元一次方程组），有t个方程，因此容易解出a0,a1,a2,at-2,at-1。当任何t-1个人以下同时到场，每个人交出自己的身份名（ID(k)，h(ID(k)），则获得了关于未知系数的t元一次方程组，有t-1个以下方程，因此无法唯一地确定h(x)。2024/7/910一、秘密共享一、秘密共享在在Shamir秘密共享方案中秘密共享方案中检测检测“欺骗者欺骗者”设有设有t+1个以上参与者同时到场。个以上参与者同时到场。其中有一个参与者是“欺骗者”Eve，他出示的是身份名（ID(k)，h(ID(k)）是假的。设任何t个诚实的参与者组合在一起，计算出h(x)的系数向量都是真实的a0,a1,a2,at-2,at-1。设Eve与某t-1个诚实的参与者组合在一起，计算出h(x)的系数向量是a0,a1,a2,at-2,at-1。设Eve与另外t-1个诚实的参与者组合在一起，计算出h(x)的系数向量是 a0”,a1”,a2”,at-2”,at-1”。2024/7/911一、秘密共享一、秘密共享由于Eve难以由自己的所谓ID(k)求出对应的h(ID(k)，因此他的所谓身份名（ID(k)，h(ID(k)）很难成为“配套的”。因此，a0,a1,a2,at-2,at-1，a0,a1,a2,at-2,at-1，a0”,a1”,a2”,at-2”,at-1”，三个系数向量中的任何两个向量都很难相互相等。2024/7/912一、秘密共享一、秘密共享检测结论（一）检测结论（一）当某t个参与者组合计算出的系数向量与另外t个参与者组合计算出的系数向量不相等时，这两次被组合的全部人员中必有“欺骗者”。检测结论（二）检测结论（二）当某t个参与者组合计算出的系数向量与另外t个参与者组合计算出的系数向量相等时，（几乎可以断定）这两次被组合的全部人员都是诚实的参与者。2024/7/913一、秘密共享一、秘密共享习题习题 设：p=17；n=5；t=3；(ID(1),h(ID(1)=(1,8)；(ID(2),h(ID(2)=(2,7)；(ID(3),h(ID(3)=(3,10)；(ID(4),h(ID(4)=(4,0)；(ID(5),h(ID(5)=(5,11)。当第1位第3位参与者同时到场，求共享的秘密2024/7/914二、不经意传输二、不经意传输“不经意传输协议不经意传输协议”的特性的特性（不经意传输协议；（不经意传输协议；Oblivious Transfer；OT）设Alice欲告诉Bob 某个秘密。Alice使用一个“不经意传输协议”将此秘密发送给Bob。则发送/接收过程就具有以下的性质。2024/7/915二、不经意传输二、不经意传输（1）Bob能够获得此秘密的概率是1/2。换句话说，Bob不能获得此秘密的概率也是1/2。再换句话说，无论Alice或Bob怎样努力，只要Alice和Bob使用的是不经意传输协议，则Bob成功地获得秘密的概率就只能是1/2。再换句话说，Alice或Bob都无法影响秘密的成功接收。影响秘密的成功接收的因素只有一个，那就是概率分布。再换句话说，发/收过程实际上就是一个动作：高抛硬币，落地后正面朝上和反面朝上的概率各占1/2，任何人也无法干预落地后的结果。2024/7/916二、不经意传输二、不经意传输（2）发送/接收过程完结时，Alice无法确知Bob是否得到了秘密。换句话说，在发/收过程结束后，Alice仍然仅仅知道：Bob得到秘密和未得到秘密的可能性各占1/2。除此之外，Alice得不到任何新的消息。2024/7/917二、不经意传输二、不经意传输不经意传输的应用实例不经意传输的应用实例n设Alice欲向Bob 行贿。nBob不愿让Alice知道自己是否接受了贿赂。n而Alice也愿意让Bob放心，只关心自己行贿，不愿知道对方是否受贿。n于是他们使用一个“不经意传输协议”传输贿金帐号。这样，即使发现Alice行贿，也无法证明Bob受贿。2024/7/918二、不经意传输二、不经意传输Rabin的的“不经意传输协议不经意传输协议”预备知识：计算数论的一些结果预备知识：计算数论的一些结果设有两个大素数p和q。令N=pq。取整数x，1xN。令a=x2(modN)。2024/7/919二、不经意传输二、不经意传输结果一结果一 已知N，求p和q困难。（大数分解）结果二结果二 a一共有4个(modN)平方根，他们是：x；N-x；y；N-y。即：ax2(N-x)2y2(N-y)2(modN)，且x、N-x、y、N-y互不相等。4个(modN)平方根的关系如下：设xu(modp)，xv(modq)；则N-xp-u(modp)，N-xq-v(modq)；yu(modp)，yq-v(modq)；N-yp-u(modp)，N-yv(modq)。2024/7/920二、不经意传输二、不经意传输结果三结果三 （1）如果已知p，q，a，则可以求出a的4个(modN)平方根x，N-x，y，N-y。（2）如果仅仅已知N，a，则不能求出a的任何一个(modN)平方根。结果四结果四（1）如果已知N，x，y或已知N，x，N-y或已知N，N-x，y或已知N，N-x，N-y，则可以求出p和q。（2）如果仅仅已知N，x，N-x或仅仅已知N，y，N-y，则不能求出p和q。2024/7/921结果一2024/7/922结果二与结果三（2）2024/7/923结果三（1）2024/7/924结果四（1）2024/7/925结果四（2）2024/7/926二、不经意传输二、不经意传输Rabin的不经意传输协议的不经意传输协议（1）Alice取定两个大素数p和q，p，q就是Alice要发送给Bob的秘密。（2）Alice计算N=pq，并将N发送给Bob。（3）Bob取定整数x，1xN，计算a=x2(modN)，并将a发送给Alice。（4）Alice根据结果三，Alice计算出了a的4个(modN)平方根x，N-x，y，N-y。（5）Alice在4个平方根x，N-x，y，N-y中随机地选择一个，并将它发送给Bob。2024/7/927二、不经意传输二、不经意传输（6）Bob收到了Alice发送的一个“平方根”z。Bob首先检查是否z2(modN)=a。若是，则z是a的(modN)平方根；否则说明Alice作弊。再根据结果四，有：如果z=x，则Bob不能求出p和q；如果z=N-x，则Bob不能求出p和q；如果zx，zN-x，则Bob可以求出p和q。2024/7/928二、不经意传输二、不经意传输Bob在4个(modN)平方根x，N-x，y，N-y中随机地选择一个，因此他选择x或N-x的概率为1/2，他选择y或N-y的概率也为1/2。因此Bob获得秘密p，q和未获得秘密p，q的概率各占1/2。2024/7/929三、电子投票三、电子投票一般投票所需满足的安全特性：一般投票所需满足的安全特性：（1）合法性：只有合格者才能投票；（2）唯一性：一人只能投一次票；（3）匿名性：每个人投票的内容对他人保密，仅仅提交选举委员会；（4）不可追踪性：一个人投票的内容提交到选举委员会后，选举委员会无法由所投的票追踪到投票人。（5）可验证性：每位投票人都能够检验，自己投的票是否被正确地记入。2024/7/930三、电子投票三、电子投票回忆对盲签名的特殊要求：（1）签名者在对文件签名的时候，“看不见”自己所签名的文件的内容，只能“看见”要求自己签名的人。（2）签名者对文件的“封皮”签名。该签名值能够透过“封皮”印在文件上，形成对文件本身的签名。（3）日后当签名者“看见了”文件的内容以及自己对文件的签名，签名者也无法“回忆起”当时签名的场景（这份当时是谁来找自己签名的？等等）2024/7/931三、电子投票三、电子投票盲签名电子投票协议盲签名电子投票协议（核心是核心是Chaum的的盲签名算法）盲签名算法）选举委员会选择两个大的素数p和q；选择两个正整数e和d，使ed是(p-1)(q-1)的倍数加1；计算n=pq。选举委员会的公钥是（n，e），选举委员会的私钥是（p，q，d）。2024/7/932三、电子投票三、电子投票（一）投票人：按照自己的意愿选择投票的内容m。再随机地选择一个整数R，计算C=Rem(modn)。将C连同自己的身份发送给选举委员会。2024/7/933三、电子投票三、电子投票（二）选举委员会：检查投票人的身份。检查两点：投票人的身份是否符合规定；投票人的身份先前是否已经用过。如果投票人通过了检验，选举委员会将备注“此人的身份已经用过”。然后选举委员会进行签名过程。计算T=Cd(modn)。将T送还给投票人。（请注意，此时T=Cd(modn)=(Rem)d(modn)=Rmd(modn)2024/7/934三、电子投票三、电子投票（三）投票人：计算S=R-1T(modn)。检查是否Se(modn)=m。若是，则将S作为选举委员会对投票内容m的签名；否则认为选举委员会在欺骗。（请注意，如果选举委员会是诚实的，即T=Cd(modn)，则必有Se(modn)=(R-1T)e(modn)=(R-1Rmd)e(modn)=m。如果选举委员会在欺骗，即TCd(modn)，则Se(modn)m。）2024/7/935三、电子投票三、电子投票（四）投票人：将投票内容m与签名S联立成签名消息(m,S)。将(m,S)发送给选举委员会，完成投票。请注意：投票人此时并不发送自己的身份，这就是说，选举委员会不知道是谁在投票。2024/7/936三、电子投票三、电子投票（五）选举委员会：检查是否S=md(modn)。若是，则(m,S)是一张诚实的、经过选举委员会签名的选票；否则认为投票者在欺骗。验票完成。张榜公布所有的签名选票。2024/7/937三、电子投票三、电子投票（六）投票人：检查所有的签名选票中是否有一张为(m,S)。若有，则该投票人认为选举委员会对自己是诚实的。若没有，则该投票人认为选举委员会在欺骗自己。2024/7/938三、电子投票三、电子投票（七）附加步骤。投票人：若发现榜上没有(m,S)，则可以持(m,S)质询选举委员会，并将(m,S)公布于众。任何人在见到(m,S)后，都可以计算出Se(modn)=m。这就是说，任何人都知道(m,S)是被选举委员会签名的票。选举委员会一定败诉。2024/7/939三、电子投票三、电子投票S是选举委员会对投票内容是选举委员会对投票内容m的盲签名。的盲签名。（1）选举委员会在对投票内容m进行签名时，知道了投票人的身份，但并不知道被签名的投票内容m。（2）选举委员会实际上是在对C签名：T=Cd(modn)。而C=Rem(modn)，其中R是一个随机选择的整数，掩盖了投票内容m。（3）在投票时，选举委员会只能检验是否(m,S)是经过自己签名的票，而看不见投票人的身份。综上所述，选举委员会不能由选票来追踪投票人。2024/7/940三、电子投票三、电子投票此电子投票方案是否满足安全特性？此电子投票方案是否满足安全特性？n合法性：满足。在方案的第（二）步，选举委员会检查投票人的身份是否符合规定。n唯一性：满足。在方案的第（二）步，选举委员会检查投票人先前是否已经投过票。2024/7/941三、电子投票三、电子投票n匿名性：满足。在方案的第（二）步，虽然投票人的身份暴露给了选举委员会，但随机数R掩盖了投票内容m，使选举委员会不知道该投票人投的什么票。n不可追踪性：满足。在方案的第（五）步，选举委员会仅仅看见签名票(m,S)，而看不见投票人的身份，也无法将(m,S)与前面见过的C联系起来。因此选举委员会无法知道签名票(m,S)是谁投的。2024/7/942三、电子投票三、电子投票n可验证性：不满足。投票人能够向别人证明(m,S)是一张被选举委员会签名的合法选票，并且当榜上没有自己投的票(m,S)时，提出必胜的诉讼。但是，当榜上有(m,S)时，却不能说明选举委员会没有欺骗自己。注意到对投票内容m的签名值是唯一的：S=md(modn)。别人也可能选择m为投票内容，因此一个(m,S)有可能是别人投的票。2024/7/943三、电子投票三、电子投票投票人进行的攻击投票人进行的攻击投票人所拥有的工具：选举委员会的公钥（n，e）。投票人的攻击方法：利用基本RSA的安全性漏洞。（1）投票人选择一个“签名”S，用选举委员会的公钥（n，e），计算“投票内容”m：m=Se(modn)。2024/7/944三、电子投票三、电子投票（2）投票人绕过投票过程的第（一）、（二）、（三）步，直接进入投票过程的第（四）步，将(m,S)发送给选举委员会，完成投票。由于完成投票时是不需要显示身份的，因此投票人既可以无资格投票，也可以重复投票。（3）选举委员会进入投票过程的第（五）步，验证了S=md(modn)，即认定(m,S)是自己签名的合法票。攻击成功。2024/7/945三、电子投票三、电子投票投票人攻击的局限性投票人攻击的局限性注意到投票人是先选定了签名S的值，然后反过来对投票内容m进行伪造：m=Se(modn)。当规定投票内容只能是少数几个值时，伪造的投票内容m很难恰好是这几个值。比如：投票内容只能是“同意”或“反对”；又比如：投票内容只能是“张三”、“李四”等少数几个人的姓名。2024/7/946三、电子投票三、电子投票如果是这样的话，攻击难以成功。但如果先选定投票内容m，然后对签名S的值进行伪造，则投票人不知道选举委员会的私钥d，无法计算S。当不规定投票内容，或投票内容限定值的数量极大时，攻击的成功率就很大。投票人选择 S，再计算m=Se(modn)，m就会以很大的概率“撞进”投票内容限定的值范围，此时攻击就成功了。2024/7/947三、电子投票三、电子投票对协议的改进对协议的改进改进的协议克服了原来协议不满足可验证性的缺陷，并且能够抵抗投票人攻击。改进的协议额外使用一个公开的杂凑函数H和一个随机数U，并在协议中用H(m,U)来代替m。2024/7/948三、电子投票三、电子投票（一）投票人：按照自己的意愿选择投票的内容m。再随机地选择两个整数R和U，计算C=ReH(m,U)(modn)。将C连同自己的身份发送给选举委员会。（二）选举委员会：检查投票人的身份：投票人的身份是否符合规定；投票人先前是否已经用过。如果投票人通过了检验，选举委员会将备注“此人的身份已经用过”，并签名T=Cd(modn)。2024/7/949三、电子投票三、电子投票（三）投票人：计算S=R-1T(modn)。检查是否Se(modn)=H(m,U)。若是，则将S作为选举委员会对投票内容m的签名；否则认为选举委员会在欺骗。（四）投票人：将投票内容m，随机数U，签名S联立成签名消息(m,U,S)。将(m,U,S)发送给选举委员会，完成投票。投票人此时并不发送自己的身份，因此选举委员会不知道(m,U,S)是谁的投票。2024/7/950三、电子投票三、电子投票（五）选举委员会：检查是否S=H(m,U)d(modn)。若是，则(m,U,S)是一张诚实的、经过选举委员会签名的选票；否则认为投票者在欺骗。验票完成。张榜公布所有的签名选票。（六）投票人：检查所有的签名选票中是否有一张为(m,U,S)。若有，则选举委员会对自己是诚实的。若没有，则选举委员会在欺骗自己。2024/7/951三、电子投票三、电子投票（七）附加步骤。投票人：若发现榜上没有(m,U,S)，则可以持(m,U,S)质询选举委员会，并将(m,U,S)公布于众。任何人在见到(m,U,S)后，都可以计算出Se(modn)=H(m,U)。这就是说，任何人都知道(m,S)是被选举委员会签名的票。2024/7/952三、电子投票三、电子投票改进的协议的安全性改进的协议的安全性n合法性：满足。（与原协议相同）n唯一性：满足。（与原协议相同）n匿名性：满足。（与原协议相同）n不可追踪性：满足。（与原协议相同）n可验证性：满足。当投票人发现榜上没有(m,U,S)，则将(m,U,S)公布于众。任何人都可以计算出Se(modn)=H(m,U)。这样就向公众证明了选举委员会欺骗。两个投票人选择的投票内容m可能相同，但随机数U几乎不可能相同，因此签名值S几乎不可能相同。2024/7/953三、电子投票三、电子投票n投票人攻击对于改进的协议方案：无效。设投票人试图要伪造一个签名票(m,U,S)，满足Se(modn)=H(m,U)。如果投票人先选定了签名S的值，然后对(m,U)进行伪造，则他面临着“给定H(m,U)的值，要计算(m,U)”的任务。由杂凑函数的特性，这个任务是不可能完成的。如果投票人先选定了(m,U)的值，然后对签名S进行伪造，则他面临着“给定H(m,U)的值，要计算S=(H(m,U)d(modn)”的任务。由于投票人不知道选举委员会的私钥d，这个任务也是不可能完成的。2024/7/954三、电子投票三、电子投票选举委员会进行的攻击选举委员会进行的攻击（对于改进的协议方案来说，）选举委员会不能对一个真的投票人进行假签名、榜上不公布票。但它却能伪装成一个投票者投票。这是因为选举委员会同时拥有公钥和私钥。因此必须用物理手段断绝选举委员会的投票行为，只允许它签名、验票、张榜公布票。2024/7/955四、零知识证明四、零知识证明概述概述示证者：示证者：P（prover）。验证者：验证者：V（verifier）。P知道某个秘密；他想让V相信他知道该秘密。最大泄露证明最大泄露证明：完整地泄露该秘密。最最小小泄泄露露证证明明：P使用一种证明方法，让V相信他知道该秘密，但对该秘密的泄露程度最小。2024/7/956四、零知识证明四、零知识证明最小泄露证明满足下述条件最小泄露证明满足下述条件：(1)P无法欺骗V。这就是说，若P真的知道该秘密，则使V确信P知道该秘密；若P不知道该秘密，则他不能使V相信他知道该秘密。(2)V无法欺骗P。这就是说，在验证/证明过程中，无论P怎样努力都不可能得到该秘密的更多信息。特别是，V不可能向其他人证明P知道该秘密。2024/7/957四、零知识证明四、零知识证明零知识证明零知识证明：P使用一种证明方法，让使用一种证明方法，让V相信他知相信他知道该秘密，又能保证不泄露该秘密。道该秘密，又能保证不泄露该秘密。即即(1)P无法欺骗V。这就是说，P只有真的知道该秘密，才能使V相信他知道该秘密。(2)V无法欺骗P。这就是说，在验证/证明过程中，无论P怎样努力都只知道“P知道该秘密”，除此以外一无所获。特别是，V不可能向其他人证明P知道该秘密。2024/7/958四、零知识证明四、零知识证明一般的公钥加解密不是零知识证明一般的公钥加解密不是零知识证明设P公布公钥，他想让V相信他知道私钥。V随机地取一个明文m用公钥加密，将密文c送给P。如果P能够将c正确解密，则V相信P知道私钥。当V将一个明文m用公钥加密得到密文c 时，他实际上已经获得了私钥的一条知识：“私钥对c解密会得到m”。当然这条知识不足为患，但绝对破坏了零知识证明的前提条件。2024/7/959四、零知识证明四、零知识证明关于零知识证明的若干说明关于零知识证明的若干说明验证/证明过程不能由P决定，而应该由V决定。V提问（challenge），P回答（reply）。因此零知识证明是一个交互证明过程。每一次V向P提问，若P知道秘密则可正确回答V的提问；若P不知道秘密，则对提问给出正确回答概率仅为1/2。V以足够多的提问就可推定P是否知道秘密。要保证这些提问及其相应的回答不会泄露秘密。2024/7/960四、零知识证明四、零知识证明 零知识证明的基本协议零知识证明的基本协议 例例Quisquater等1989。A 设P知道咒语，可打开C和 D之间的秘密门，不知道者 B 都将走向死胡同中。C D 2024/7/961四、零知识证明四、零知识证明协议协议1：(1)V站在洞口A点；(2)P进入洞中任一点C或D；(3)当P进洞之后，V走到B点；(4)V叫P：(a)从左边出来，或(b)从右边出来；(5)P按要求实现(以咒语，即解数学难题帮助)；(6)P和V重复执行(1)(5)共n次。若A不知咒语，则在B点，只有50%的机会满足B的要求。协议执行n次，则只有2-n的机会完全满足，若n=16，则若每次均通过B的检验，B受骗机会仅为1/65536。2024/7/962四、零知识证明四、零知识证明此协议又称作分分割割和和选选择择(Cut and Choose)协议，是一个实现公平分享的经典协议。即其功能等价于 协议协议 2：(1)A将东西切成两半；(2)B选其中之一；(3)A拿剩下的一半。显然，A为了自己的利益在(1)中要公平分割，否则(2)中B先于他的的选择将对其不利。2024/7/963四、零知识证明四、零知识证明实现零知识身份证明的密码体制实现零知识身份证明的密码体制简简化化F-F-S识识别别体体制制。可信赖仲裁选定一个随机模m=p1p2，m为512 bits或1024 bits。证明者共用此m，仲裁可实施公钥私钥的分配，他产生随机数y，计算y2=v，即v为模m的平方剩余，且有v-1 modm。以v作为P的公钥，而后计算满足下式的最小的正整数s（一定能计算出！），作为P的私钥分发给P。2024/7/964四、零知识证明四、零知识证明实施身份证明的协议如下。(1)P取随机数r(m)，计算x=r2 modm，将x送给V。(2)V将一随机比特b送给P。(3)若b=0，则P将r送给V；若b=1，则P将y=rs送给V。(4)若b=0，则V证实x=r2 modm；若b=1，则V证实x=y2 v modm。P和V可将此协议重复t次，直到B相信A知道s为止。2024/7/965四、零知识证明四、零知识证明安全性（一）：安全性（一）：P骗V的可能性注意到动作顺序是：P将x送给V；V将随机比特b送给P；P根据b=0或b=1将r或y送给V。设P不知道s。他事先设计(x,r)的方法只能是：先选r，后计算x=r2 modm。他事先设计(x,y)的方法只能是：先选y，后计算x=y2v modm。他不可能事先设计(x,r,y)同时满足x=r2 modm 和 x=y2v modm。因此他在协议中骗V成功的概率为1/2。将此协议重复t次，P骗V全部成功的概率为1/2t。2024/7/966四、零知识证明四、零知识证明安全性（二）：安全性（二）：V骗P的可能性设V骗P以获取s的信息。注意到在协议中V的获得：当b=0时：V获得(x,r)满足x=r2 modm；当b=1时：V获得(x,y)满足x=y2v modm。v是公开的。(x,r)或(x,y)除了满足各自的方程以外，不含有s的任何信息。因此，在协议中V完全得不到关于s的任何信息。换句话说，该协议是一个零知识协议。2024/7/967五、电子现金支付五、电子现金支付传统支付与电子支付传统支付与电子支付电子支付具有以下特征：（1）电子支付是采用全电子化的信息流来控制全电子化的资金流；而传统支付常常是采用非电子化的信息流（口述、发票等）来控制实物化的资金流（现金、支票等）。（2）电子支付的工作环境是一个开放的系统平台（即因特网），而传统支付的工作环境常常是一个封闭的系统（如收银台）。2024/7/968五、电子现金支付五、电子现金支付（3）电子支付比传统支付对软硬件设施的要求高得多。（4）电子支付比传统支付具有方便、快捷、高效、经济等方面的优势。当然，这里所说的“经济”是指在进行电子支付时的费用低廉，而不是指建立电子支付系统的成本低廉。通常建立电子支付系统的成本并不低廉，需要大量的设备。2024/7/969五、电子现金支付五、电子现金支付（5）电子支付带来了新的风险。特别是安全问题，一直是困扰电子支付发展的一个关键问题。安全问题包括：完整地认证客户，信息完整地传输，无拒付的支付，有效的查帐机制，隐私权的保护，可靠的信息服务。这些安全问题在传统支付中也存在，但电子支付使得这些安全问题更加突出。（因为：电子信息易变更；交易对象不谋面）2024/7/970五、电子现金支付五、电子现金支付(电子支付方式共有五种：电子现金；银行卡；电子支票；电子钱包；智能卡支付方式。)电子现金与真实现金的比较电子现金与真实现金的比较电子现金（E-cash），又称为数字现金。是一种以数字形式存在，通过计算机网络流通的货币。电子现金中的“一张钞票”实际上是一个加密序列数。注意到，真实的现金有许多优点和缺点。那么，从技术上来说，电子现金能够继承真实现金的这些特点吗？不妨做以下的比较。2024/7/971五、电子现金支付五、电子现金支付当场可验证性当场可验证性真实现金当场可以验证真伪，而不需要时间的等待和任何其它的证明材料。这是因为，真实现金本身就被制造成防伪的（虽然防伪标志未必完善）。真实现金的这种当场可验证性还说明，钞票丢失就意味着用户的钱确实不再有了。因为从原理上来说，真实现金没有设置辅助的挂失功能，钞票本身是唯一的证据。2024/7/972五、电子现金支付五、电子现金支付电子现金能够比较容易地继承真实现金的这个优点（或者说，这个缺点）。加密和认证等密码技术帮助电子现金比较容易地实现当场可验证性。而且，电子现金的当场可验证性比真实现金的当场可验证性更加可靠。由于实物防伪技术的局限性，真实现金始终处在伪造和防伪的斗争中。而电子现金几乎是一劳永逸地解决了防伪问题。2024/7/973五、电子现金支付五、电子现金支付匿名性和不可追踪性匿名性和不可追踪性真实现金在进行支付的时候，接受的一方无法获取支付的一方的任何身份信息，称之为匿名性。在支付完成双方分手以后，接受的一方无法追踪支付的一方，称之为不可追踪性。这两种性质保护了消费者的隐私权。电子现金可以被设计得具有匿名性，也可以被设计得具有不可追踪性。但如果同时具有这两种性质，则会给电子商务带来极大的威胁。2024/7/974五、电子现金支付五、电子现金支付为什么这样说呢？实际上，真实现金的支付如果出现了欺骗或犯罪，仍然有蛛丝马迹可以“追踪”（面相，声音，指纹，现金票号与近期银行付出的现金票号之比对等等）。电子现金的支付如果出现了欺骗或犯罪，而电子现金又同时具有匿名性和不可追踪性的话，则犯罪分子将逃脱得无影无踪。因此，现在一般的电子现金系统都被设计成具有匿名性，但必须是在一定条件下可以追踪的。2024/7/975五、电子现金支付五、电子现金支付可重复使用性可重复使用性真实现金可以重复使用。任何人在任何时候，只要持有一张钞票，他就有资格把这张钞票支付给任何其他人。电子现金必须被设计成“一次性的”，即使其不能重复使用。Alice将“一张电子钞票”付给Bob，则“这张电子钞票”立即进入银行，结算后被销毁。以后如果再见到“这张电子钞票”，则会被检验出是“假钞”。2024/7/976五、电子现金支付五、电子现金支付这样做的原因是，电子现金太容易被复制了，电子现金太容易被复制了，复制的电子现金可以做到不留任何痕迹。复制的电子现金可以做到不留任何痕迹。实现“一次性的”电子现金有多种办法。其中最典型的两种办法介绍如下。办法一：在线电子现金。银行随时监视电子现金的支付过程，并设有数据库存放已经使用过的电子现金号码。一旦发现有重复使用，立即报警。实用的电子现金采用这个办法。2024/7/977五、电子现金支付五、电子现金支付办法二：离线电子现金。银行并不实时地监视电子现金的支付过程，支付过程仅仅是用户向商家支付的过程。而在用户支付完毕已经离开以后，商家才与银行进行资金清算。但电子现金中存有用户的身份秘密信息，保证：如果用户按照规定使用电子现金一次，则用户的秘密身份不会被泄露；而如果重复使用电子现金，则用户的秘密身份就会被泄露，因而被追踪。2024/7/978五、电子现金支付五、电子现金支付综合以上可以看出：在线电子现金对重复花费电子现金的用户当场拒绝，无论如何不会暴露用户的秘密身份。离线电子现金对重复花费电子现金的用户事后惩罚，但必须事先存储用户的秘密身份信息，一旦重复花费，就会泄露出用户的身份。在线电子现金比较简单，离线电子现金似乎更加人性化。然而离线电子现金违背了“匿名性”。2024/7/979五、电子现金支付五、电子现金支付不可分性不可分性真实现金是不可分割的。一张100元的钞票不能分为两张50元的钞票。弥补此缺陷的方法是“找零钱”。一般的电子现金也是不可分割的。由于对电子现金“找零钱”非常复杂，因此一般的电子现金支付时不“找零钱”，而将电子现金的票面价值设计得尽可能小，以“电子硬币”形式出现。近年来人们设计了可分割的电子现金，还处在科研阶段。总体来说，可分割的电子现金成本过高。2024/7/980五、电子现金支付五、电子现金支付真实现金与电子现金的比较：真实现金与电子现金的比较：真实现金真实现金电子现金电子现金当场可验证性当场可验证性匿名性匿名性不可追踪性不可追踪性（）（）可重复使用性可重复使用性不可分性不可分性（）2024/7/981五、电子现金支付五、电子现金支付离线电子现金离线电子现金离线电子现金就是可以脱离银行实时监视进行支付的电子现金，它是目前正在进行的科研项目。离线电子现金要保证进行支付时，银行不在场。支付完毕后，银行再参与资金清算。一旦发现重复使用的电子现金，就能够追踪重复使用者的身份。未重复使用的电子现金，使用者的身份不会暴露。2024/7/982五、电子现金支付五、电子现金支付第和第是很容易保证的。困难在于第。银行或商家不能预先获得顾客的秘密身份信息，必须恰好在顾客两次花费同一个电子现金之后才能获得顾客的秘密身份信息。公钥密码原理使这个问题得以解决，解决方案就是Schnorr协议（为了方便理解，本课程只介绍Schnorr协议的简化版）。在Schnorr协议的初始化阶段，选择一个大素数p，一个正整数g。p和g都被公开。2024/7/983五、电子现金支付五、电子现金支付设顾客的身份秘密信息是(m,b)，其中m和b都是正整数。顾客的身份公开信息是(c,n)，其中c=gb(modp)；n=gm(modp)。Schnorr支付协议如下。第一步：顾客出示电子现金。电子现金上有其身份公开信息(c,n)。第二步：商家随机地选择一个正整数x，发送给顾客。（询问）2024/7/984五、电子现金支付五、电子现金支付第三步：顾客用自己的身份秘密信息(m,b)，计算：y=mx+b(modp-1)。顾客将y发送给商家。（回答）第四步：商家用顾客的身份公开信息(c,n)，验证是否有gy=nxc(modp)。若成立则接受这个电子现金；否则拒绝接受该电子现金。（检验）2024/7/985五、电子现金支付五、电子现金支付Schnorr支付协议的支付协议的分析结果一：分析结果一：知道身份秘密信息(m,b)的人将通过检验。换句话说，用(m,b)计算出来的y=mx+b(modp-1)将通过检验。这是因为gy=gmx+b(modp)=gmxgb(modp)=nxc(modp)。（这里使用了数论的一个基本结论：当y=mx+b(modp-1)时，必有 gy=gmx+b(modp)）2024/7/986五、电子现金支付五、电子现金支付Schnorr支付协议的支付协议的分析结果二：分析结果二：一次使用该电子现金不会暴露顾客的身份秘密信息(m,b)。商家知道了顾客的身份公开信息(c,n)，又通过询问值x得到了顾客的回答值y。商家还知道x与y的关系为：y=mx+b(modp-1)。但是商家计算出(m,b)的途径只能有两条：第一条途径是通过方程组c=gb(modp)，n=gm(modp)计算(m,b)，该计算问题是离散对数问题。第二条途径是通过方程y=mx+b(modp-1)来计算(m,b)。该方程无法唯一地解出(m,b)。2024/7/987五、电子现金支付五、电子现金支付Schnorr支付协议的支付协议的分析结果三：分析结果三：两次使用该电子现金将暴露顾客的身份秘密信息(m,b)。第一次使用该电子现金，询问值/回答值为(x,y)。第二次使用该电子现金，询问值/回答值为(u,v)。于是商家获得了两个方程：y=mx+b(modp-1)；v=mu+b(modp-1)。这是一个“二元一次方程组”，解出的值为：m=(v-y)(u-x)-1(modp-1)；b=v-mu(modp-1)。2024/7/988五、电子现金支付五、电子现金支付Schnorr支付协议的支付协议的分析结果四：分析结果四：同一个顾客所使用的不同的电子现金，应该含有该顾客的不同的身份公开信息，隐含该顾客的不同的身份秘密信息。否则，设该顾客的若干电子现金都含有其同一个身份公开信息(c,n)，隐含其同一个身份秘密信息(m,b)。该顾客如果在同一个商家使用了两个不同的电子现金，则该商家就能计算出(m,b)。2024/7/989五、电子现金支付五、电子现金支付顾客使用一个电子现金时，询问值/回答值为(x,y)。顾客使用另一个电子现金时，询问值/回答值为(u,v)。于是商家获得了两个方程：y=mx+b(modp-1)；v=mu+b(modp-1)；(m,b)容易解出。因此，顾客要想大量地使用电子现金，就要准备大量的身份秘密信息。这是不现实的。这也是Schnorr支付协议的致命缺陷之一。2024/7/990五、电子现金支付五、电子现金支付Schnorr支付协议的支付协议的分析结果五：分析结果五：顾客的原始欺骗无法防止。顾客在申请电子现金时，完全可以选择无关紧要的信息(m,b)作为“身份秘密信息”，然后计算对应的“身份公开信息”(c,n)，将(c,n)发送给银行。如果银行认可，并发放电子现金，则当顾客重复使用电子现金时，所揭露的“身份秘密信息”(m,b)并不能使该顾客受到惩罚。2024/7/991五、电子现金支付五、电子现金支付那么，在顾客申请电子现金时，银行怎样确认顾客的身份信息？这里有两个相互矛盾的要求：（1）银行不能获得顾客的身份秘密信息，只能获得顾客提交的身份公开信息。（2）银行从顾客提交的身份公开信息中，能够辨别顾客是否隐含了真正的身份秘密信息。2024/7/992六、密码技术的其它应用六、密码技术的其它应用信息隐藏信息隐藏信息隐藏是一个庞大而繁杂的工程。信息隐藏比信息加密有更强的要求：l信息加密要求信息“变形”，从可懂变为不可懂；l信息隐藏要求信息“消失”，从可见变为不可见。信息隐藏技术的应用非常广泛，包括隐匿通信，数字产品的版权保护，叛逆者追踪等。信息隐藏的核心技术有两个，一个是密码技术，另一个是信息处理技术。2024/7/993