Проблема социалистического миллионера - Socialist millionaire problem

В криптография, то проблема социалистического миллионера[1] это тот, в котором два миллионера хотят определить, равно ли их богатство, не раскрывая друг другу никакой информации о своем богатстве. Это вариант Проблема миллионера[2][3] при этом два миллионера хотят сравнить свое богатство, чтобы определить, у кого больше всего богатства, не раскрывая друг другу никакой информации о своем богатстве.

Часто используется как криптографический протокол это позволяет двум сторонам проверять идентичность удаленной стороны с помощью общего секрета, избегая атаки «злоумышленник посередине» без неудобств, связанных с ручным сравнением отпечатков открытого ключа через внешний канал. Фактически можно использовать относительно слабый пароль / кодовую фразу на естественном языке.

Мотивация

У Алисы и Боба есть секретные ценности и , соответственно. Алиса и Боб хотят узнать, не позволяя ни одной из сторон узнать что-либо еще о секретной ценности другой стороны.

Пассивный злоумышленник, просто шпионящий за сообщениями, которыми обмениваются Алиса и Боб, ничего не узнает. и , даже если .

Даже если одна из сторон нечестна и отклоняется от протокола, этот человек не может узнать больше, чем если .

Активный злоумышленник, способный произвольно вмешиваться в общение Алисы и Боба ( человек посередине ) не может узнать больше, чем пассивный злоумышленник, и не может повлиять на результат протокола, кроме как заставить его выйти из строя.

Следовательно, протокол может использоваться для проверки подлинности того, имеют ли две стороны одинаковую секретную информацию. Популярный пакет криптографии мгновенных сообщений Сообщения без записи использует протокол социалистического миллионера для аутентификации, в котором секреты и содержат информацию об открытых ключах долгосрочной аутентификации обеих сторон, а также информацию, введенную самими пользователями.

Протокол обмена сообщениями без записи

Государственный автомат реализации протокола социалистического миллионера (СМП).

Протокол основан на теория групп.

Группа премьер порядок и генератор согласованы априори, и на практике обычно фиксируются в данной реализации. Например, в протоколе обмена сообщениями без записи является фиксированным 1536-битным простым числом. является генератором подгруппы простого порядка группы , а все операции выполняются по модулю , или другими словами, в подгруппе мультипликативная группа, .

К , обозначим безопасное многостороннее вычисление, Обмен ключами Диффи-Хеллмана-Меркла, что для целых чисел , , возвращает каждой партии:

  • Алиса считает и отправляет его Бобу, который затем вычисляет .
  • Боб вычисляет и отправляет его Алисе, которая затем вычисляет .

как умножение в ассоциативно. Обратите внимание, что эта процедура небезопасна от человек посередине атаки.

Протокол социалистического миллионера[4] имеет только несколько шагов, которые не являются частью вышеупомянутой процедуры, и безопасность каждого зависит от сложности дискретный логарифм проблема, как и выше. Все отправленные значения также включают доказательства с нулевым разглашением, что они были созданы в соответствии с протоколом.

Часть безопасности также полагается на случайные секреты. Однако, как написано ниже, протокол уязвим для отравления, если Алиса или Боб выберут любой из , , , или же быть нулевым. Чтобы решить эту проблему, каждая сторона должна проверить во время Диффи-Хеллман обмены, что ни один из , , , или же что они получают, равно 1. Также необходимо проверить, что и .

АлисаМногопартийностьБоб
1Сообщение
Случайный
Общественные Сообщение
Случайный
2Безопасный
3Безопасный
4Тест , Тест ,
5
6Небезопасный обмен
7Безопасный
8Тест , Тест ,
9Тест Тест


Обратите внимание, что:

и поэтому

.

Поскольку случайные значения хранятся в секрете другой стороной, ни одна из сторон не может заставить и быть равным, если равно , в таком случае . Это доказывает правоту.

Смотрите также

Рекомендации

  1. ^ Маркус Якобссон, Моти Юнг (1996). «Доказательство без ведома: на испытателей, не обращающих внимания, агностиков и с завязанными глазами».. Достижения в криптологии - CRYPTO '96, том 1109 конспектов лекций по информатике. Берлин. С. 186–200. Дои:10.1007/3-540-68697-5_15.
  2. ^ Эндрю Яо (1982). «Протоколы для безопасной связи» (PDF). Proc. 23-й симпозиум IEEE по основам компьютерных наук (FOCS '82). С. 160–164. Дои:10.1109 / SFCS.1982.88.
  3. ^ Эндрю Яо (1986). «Как генерировать и обмениваться секретами» (PDF). Proc. 27-й симпозиум IEEE по основам компьютерных наук (FOCS '86). С. 162–167. Дои:10.1109 / SFCS.1986.25.
  4. ^ Фабрис Будо, Берри Шенмейкерс, Жак Траоре (2001). «Справедливое и эффективное решение проблемы социалистических миллионеров» (PDF). Дискретная прикладная математика. 111 (1): 23–36. Дои:10.1016 / S0166-218X (00) 00342-5.CS1 maint: несколько имен: список авторов (связь)

внешняя ссылка