Эта статья входит в число добротных статей

Доказательство с нулевым разглашением: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[отпатрулированная версия][отпатрулированная версия]
Содержимое удалено Содержимое добавлено
м Неизвестен- пишется слитно в данном случае.
Метки: через визуальный редактор с мобильного устройства из мобильной версии
(не показано 469 промежуточных версий 69 участников)
Строка 1: Строка 1:
В [[Криптография|криптографии]] '''Доказательство с нулевым разглашением (информации)''' ({{lang-en|Zero-knowledge proof}}) — это интерактивный протокол, позволяющий одной из сторон (проверяющему, verifier) убедиться в достоверности какого-либо утверждения (обычно математического), не получив при этом никакой другой информации от второй стороны (доказывающего, prover).
'''Доказа́тельство с нулевы́м разглаше́нием (информа́ции)''' в [[Криптография|криптографии]] ({{lang-en|Zero-knowledge proof}}) — интерактивный [[криптографический протокол]], позволяющий одной из [[Интерактивность|взаимодействующих]] сторон («The verifier» — проверяющей) убедиться в [[Достоверность|достоверности]] какого-либо утверждения (обычно математического), не имея при этом никакой другой информации от второй стороны («The prover» — доказывающей). Причём последнее условие является [[Необходимое и достаточное условие|необходимым]], так как обычно доказать, что сторона обладает определёнными сведениями в большинстве случаев [[Тривиальность|тривиально]], если она имеет право просто раскрыть информацию. Вся сложность состоит в том, чтобы доказать, что у одной из сторон есть информация, не раскрывая её содержания. Протокол должен учитывать, что ''доказывающий'' сможет убедить ''проверяющего'' только в случае, если утверждение действительно доказано. В противном случае сделать это будет невозможно, или крайне маловероятно из-за [[Вычислительная сложность|вычислительной сложности]].


Под [[интерактивность]]ю протокола подразумевается непосредственный обмен информацией сторонами{{sfn|Goldreich|2013}}{{sfn|Шнайер|2002|pp=87—92}}.
Доказательство с нулевым разглашением должно обладать тремя свойствами:
# '''Полнота''': если утверждение действительно верно, то доказывающий убедит в этом проверяющего.
# '''Корректность''': если утверждение неверно, то даже нечестный доказывающий не сможет убедить проверяющего за исключением пренебрежимо малой вероятности.
# '''Нулевое разглашение''': если утверждение верно, то любой даже нечестный проверяющий не узнает ничего кроме самого факта, что утверждение верно.


Таким образом, рассматриваемый протокол требует наличия интерактивных исходных данных (interactive input) от ''проверяющего'', как правило, в виде задачи или проблемы. Цель легального ''доказывающего'' (имеющего доказательство) в этом протоколе — убедить ''проверяющего'' в том, что у него есть решение, не выдав при этом даже части «секретного» доказательства («нулевое разглашение»). Цель ''проверяющего'' же — это удостовериться в том, что доказывающая сторона «не лжёт»{{sfn|Шнайер|2002|pp=87—92}}{{sfn|Goldwasser, Micali, Rackoff|1989|pp=186—189}}.
Доказательства с нулевым разглашением нашли применение в [[Криптографический протокол|криптографических протоколах]] чтобы убедиться в том, что другая сторона следует протоколу честно. На практике доказательства с нулевым разглашением также используются в [[Протокол конфиденциального вычисления|протоколах конфиденциального вычисления]].

Также были разработаны протоколы доказательства с нулевым разглашением{{sfn|Santis, Micali, Persiano|1988}}{{sfn|Blum, Feldman, Micali|1988}}, для которых не требовалось наличия интерактивных исходных данных, при этом доказательство которых, как правило, опирается на предположение об [[Криптографическая хеш-функция|идеальной криптографической хеш-функции]], то есть предполагается, что выход [[Однонаправленная функция|однонаправленной хеш-функции]] невозможно предсказать, если неизвестен её вход{{sfn|Шнайер|2002|pp=90—91}}.

Доказательство с нулевым разглашением используется в нескольких блокчейнах, кроме того, находит применение для проверки наличия сведений без передачи самих сведений{{sfn|ForkLog|2019}}{{sfn|Губанова|2018}}.

== Определение ==
Доказательство с нулевым разглашением — [[Интерактивность|интерактивный]] [[Вероятность|вероятностный]] [[Криптографический протокол|протокол]], который позволяет доказать, что доказываемое утверждение верно, и Доказывающий знает ''это'' доказательство, в то же время не предоставляя никакой информации о самом доказательстве данного утверждения{{sfn|Blum|1988|p=1444}}. Данный криптографический протокол должен обладать тремя свойствами:
# '''Полнота''': если утверждение действительно верно, то Доказывающий убедит в этом Проверяющего с любой наперед заданной точностью.
# '''Корректность''': если утверждение неверно, то любой, даже «нечестный», Доказывающий не сможет убедить Проверяющего за исключением пренебрежимо малой [[Вероятность|вероятности]].
# '''Нулевое разглашение''': если утверждение верно, то любой, даже «нечестный», Проверяющий не узнает ничего кроме самого факта, что утверждение верно{{sfn|Menezes et al|1996|pp=406—408}}.

Доказательства с нулевым разглашением не являются доказательствами в [[Математическое доказательство|математическом смысле]] этого термина, потому что есть некоторая небольшая вероятность, что обманом доказывающая сторона сможет убедить Проверяющего в ложном утверждении (ошибка ''корректности''). Иными словами, доказательства с нулевым разглашением — это вероятностные доказательства, а не [[Детерминированность|детерминированные]]. Тем не менее, есть методы, позволяющие уменьшить ошибку ''корректности'' до пренебрежимо малых значений{{sfn|Шнайер|2002|pp=86—89}}{{sfn|Goldwasser, Micali, Rackoff|1989|pp=188—189}}.

== Различные виды нулевого разглашения ==
Выполнение [[Криптографический протокол|протокола]] ''доказательства с нулевым разглашением'' приводит к выводу результата ''Принять/Отклонить'' и также порождает [[Стенография|стенограмму]] доказательства. Различные варианты нулевого разглашения могут быть определены путём [[Формализация|формализации]] самого понятия и сравнения распространения информации различных моделей с [[Криптографический протокол|протоколом]] следующими способами{{sfn|Шнайер|2002|pp=91—92}}{{sfn|Мао|2005|pp=683—696}}:
* ''Идеальный протокол нулевого разглашения'' — если случайные величины в стенограмме доказательства рассматриваемой модели являются [[Непрерывное равномерное распределение|равномерно распределенными]] и не зависят от общих входных данных{{sfn|Мао|2005|pp=684—688}}. Хорошей иллюстрацией будет [[#Пещера нулевого разглашения|пример Пегги и Виктора в пещере]].
* ''Статистически нулевое разглашение''{{sfn|Sahai, Vadhan|2003}} означает, что распределение не обязательно такое же, но они по крайней мере {{нп5|Статистически близкое распределение|статистически близки|en|Statistically close}}, при этом статистическая разница есть {{нп5|Незначительная функция|незначительная функция|en|Negligible function}}{{sfn|Мао|2005|p=696}}.
* ''С [[Вычислительная сложность|вычислительно]] нулевым разглашением'' называют такую модель, если не существует на данный момент такого эффективного алгоритма, который смог бы отличить распределение величин от распространения информации в идеальном протоколе{{sfn|Мао|2005|pp=692—696}}.

== История развития ==
[[Файл:Shafi Goldwasser.JPG|мини|upright|[[Шафи Гольдвассер]]]]
В [[1986 год]]у в работе [[Микали, Сильвио|Сильвио Микали]], {{нп5|Голдрейх, Одед|Одеда Голдрейха|en|Oded Goldreich}} и [[Вигдерсон, Ави|Ави Вигдерсона]] было описано применение доказательств с нулевым разглашением для создания [[Криптографический протокол|криптографических протоколов]], которые должны обеспечивать ''«честное поведение»'' сторон, сохраняя при этом [[конфиденциальность]]{{sfn|Goldreich, Micali, Wigderson|1986}}.

Доказательство с нулевым разглашением было придумано и разработано следующими учёными: [[Гольдвассер, Шафи|Шафи Гольдвассер]], [[Микали, Сильвио|Сильвио Микали]] и Чарльзом Реккофом, и опубликовано ими в статье «Знание и сложность интерактивной системы с доказательством»{{sfn|Goldwasser, Micali, Rackoff|1989}} в [[1989 год]]у. Эта работа представила иерархию [[Интерактивность|интерактивных]] систем с доказательством, основываясь на объёме информации о доказательстве, который необходимо передать от Доказывающего до Проверяющего. Ими также было предложено первое доказательство конкретно поставленного доказательства с нулевым разглашением — [[Квадратичный вычет|квадратичного вычета]] по некоторому [[Сравнение по модулю|модулю ''m'']]{{sfn|Goldwasser, Micali, Rackoff|1989|pp=198—205}}. Впоследствии, дополнив свою работу, они были удостоены первой [[Премия Гёделя|премии Гёделя]] в [[1993 год]]у<ref>{{cite web|title=Goldwasser, Micali and Rackoff Receive Gödel Prize in 1993|url=http://www.sigact.org/Prizes/Godel/1993.html|publisher=ACM Sigact|year=1993|deadlink=yes|archiveurl=https://web.archive.org/web/20151208062326/http://www.sigact.org/Prizes/Godel/1993.html|archivedate=2015-12-08}}</ref>.
[[Файл:Avi_Wigderson_(London_2012)_Cropped.jpg|мини|upright|[[Ави Вигдерсон]]]]

В дальнейшем [[криптосистема Гольдвассер — Микали]], основанная на рассматриваемом интерактивном протоколе, являющаяся [[криптографическая система с открытым ключом|криптографической системой с открытым ключом]], разработанная Шафи Гольдвассер и Сильвио Микали в [[1982 год]]у, является первой схемой [[Вероятностное шифрование|вероятностного шифрования]] с открытым ключом, [[Доказуемая стойкость криптосистемы|доказуемо стойкая]] при стандартных криптографических предположениях. Предложенная система была высоко оценена жюри: Гольдовассер и Микали стали лауреатами [[Премия Тьюринга|Премии Тьюринга]] за [[2012 год]]<ref>{{cite web|title=Goldwasser, Micali Receive ACM Turing Award for Advances in Cryptography|url=http://www.acm.org/press-room/news-releases/2013/turing-award-12|publisher=ACM|accessdate=2013-03-13|deadlink=yes|archiveurl=https://web.archive.org/web/20130316052703/http://www.acm.org/press-room/news-releases/2013/turing-award-12|archivedate=2013-03-16}}</ref>, за создание криптосистемы с вероятностным шифрованием, отмеченная в номинации как новаторская работа, оказавшая существенное влияние на современную [[Криптография|криптографию]]. Однако, криптосистема является неэффективной, так как порождаемый ею [[шифротекст]] может быть в сотни раз длиннее, чем [[Открытый текст|шифруемое сообщение]].

Для доказательства свойств стойкости криптосистемы Голдвассер и Микали ввели понятие [[Семантическая стойкость|семантической стойкости]]{{sfn|Goldwasser, Micali|1982}}{{sfn|Мао|2005|pp=524—528}}.

В 2021 году [[Ласло Ловас]] и [[Ави Вигдерсон]] были удостоены [[премия Абеля|Абелевской премии]], за их работы в области [[теоретическая информатика|теоретической информатики]], внесшие важнейший вклад в развитие теории сложности вычислений, теории графов, методы распределенных вычислений и концепцию доказательств с нулевым разглашением<ref>{{Cite web |url=https://elementy.ru/novosti_nauki/433790/Abelevskaya_premiya_2021 |title=Абелевская премия — 2021 • Андрей Райгородский • Новости науки на «Элементах» • Математика, Наука и общество |access-date=2021-05-17 |archive-date=2021-06-03 |archive-url=https://web.archive.org/web/20210603111510/https://elementy.ru/novosti_nauki/433790/Abelevskaya_premiya_2021 |deadlink=no }}</ref>.


== Общая структура доказательств с нулевым разглашением ==
== Общая структура доказательств с нулевым разглашением ==
Каждый раунд или аккредитация доказательства состоит из трёх этапов. Схематично их можно изобразить следующим образом:
Каждый раунд, или [[аккредитация]] доказательства, состоит из трёх этапов. Схематично их можно изобразить следующим образом:
* <math>A \Rightarrow B</math> : доказательство (witness)
* <math>A \Rightarrow B</math> : доказательство (witness)
* <math>A \Leftarrow B</math> : вызов (challenge)
* <math>A \Leftarrow B</math> : вызов (challenge)
* <math>A \Rightarrow B</math> : ответ (response)
* <math>A \Rightarrow B</math> : ответ (response)


Сначала '''A''' выбирает из заранее определенного множества некоторый элемент, который становится её секретом (закрытый ключ). На основе этого элемента вычисляется, а затем публикуется открытый ключ. Знание секрета определяет множество вопросов, на которые '''А''' всегда сможет дать правильные ответы. Затем '''A''' выбирает случайный элемент из множества, по определенным правилам (в зависимости от конкретного алгоритма) вычисляет '''доказательство''' и затем отсылает его '''B'''. После этого '''B''' выбирает из всего множества вопросов один и просит '''A''' ответить на него ('''вызов'''). В зависимости от вопроса, '''А''' посылает '''B ответ'''. Полученной информации '''B''' достаточно, чтобы проверить действительно ли '''А''' владеет секретом. Раунды можно повторять сколько угодно раз, пока вероятность того, что '''A''' «угадывает» ответы не станет достаточно низкой.
Сначала ''A'' выбирает из заранее определённого непустого [[Множество|множества]] некоторый элемент, который становится её секретом — [[Закрытый ключ|закрытым ключом]]. По этому элементу вычисляется, а затем публикуется [[открытый ключ]]. Знание секрета определяет множество вопросов, на которые ''А'' всегда сможет дать правильные ответы. Затем ''A'' выбирает случайный элемент из множества, по определённым правилам (в зависимости от конкретного алгоритма) вычисляет доказательство и затем отсылает его ''B''. После этого ''B'' выбирает из всего множества вопросов один и просит ''A'' ответить на него (вызов). В зависимости от вопроса, ''А'' посылает ''B'' ответ{{sfn|Мао|2005|pp=678—682}}. Полученной информации ''B'' достаточно, чтобы проверить действительно ли ''А'' владеет секретом. Раунды можно повторять сколько угодно раз, пока [[вероятность]] того, что ''A'' «угадывает» ответы, не станет достаточно низкой.
Такой подход называется также «разрезать и выбрать» («cut-and-choose»), впервые использованный в криптографии [[Рабин, Михаэль Ошер|Михаэлем Рабином]]<ref>{{книга|автор= M.O.Rabin|заглавие= Digital signatures|ссылка= https://smartech.gatech.edu/bitstream/handle/1853/40598/g-36-619_142482.pdf?sequence=1|издание= Foundations of Secure Computation|издательство= Academic Press|место= New York|год= 1978|страницы= 155—168|isbn= 0122103505|ref= Rabin|archivedate= 2015-11-21|archiveurl= https://web.archive.org/web/20151121065359/https://smartech.gatech.edu/bitstream/handle/1853/40598/g-36-619_142482.pdf?sequence=1}}</ref>{{sfn|Шнайер|2002|pp=87—89}}.


== Примеры ==
Такая техника называется также «разрезать и выбрать» (cut-and-choose).


=== Пещера нулевого разглашения ===
== Пример ==
[[Файл:Cave for Zero-knowledge proof.jpg|thumb|145px|Пещера нулевого разглашения]]
{{main|Пещера нулевого разглашения}}
Впервые данный пример был написан в хорошо известной работе по доказательству с нулевым разглашением «Как объяснить протокол доказательства с нулевым разглашением вашим детям» {{Нп3|Кискатер, Жан-Жак|Жан-Жаком Кискатером|en|Jean-Jacques Quisquater}}{{sfn|Quisquater et al|1990}}.


В данном случае Пегги выступает в качестве Доказывающего утверждение, и Виктор — в качестве Проверяющего (в англоязычной литературе обычно используются наименование сторон ''Пегги'' и ''Виктор'' (от «Prover» и «Verifier» соответственно). Пегги знает магическое слово («ключ»), ввод которого позволяет открыть ей дверь между C и D. Виктор хочет узнать, действительно ли Пегги знает пароль, при этом Пегги не хочет выдавать сам пароль. Пещера имеет круглую форму, как представлено на рисунке. Для того чтобы решить проблему, они поступают следующим способом. Пока Виктор находится в точке А, Пегги идёт к двери, и после того, как она исчезает из виду, Виктор идёт к разветвлению, то есть в точку B, и кричит оттуда: «Пегги нужно выйти ''справа''» или «Пегги нужно выйти ''слева''». Получаем каждый раз вероятность того, что Пегги не знает пароль, равна 50 %. Если же повторить процесс ''k'' раз, то вероятность будет <math>\frac{1}{2^k}</math>. При 20 же повторениях эта вероятность будет порядка 10<sup>−6</sup>, что является достаточным для справедливости предположения о том, что Пегги знает ключ{{sfn|Quisquater et al|1990}}.
Назовем проверяющую сторону Петей, а доказывающую сторону Димой (в англоязычной литературе обычно используются пары Alice и Bob). Допустим Диме известен [[Гамильтонов цикл]] в большом графе ''G''. Пете известен граф ''G'', но он не знает гамильтонова цикла в нём. Дима хочет доказать Пете, что он знает гамильтонов цикл, не выдавая при этом ни самого цикла, ни какой-либо информации о нём (возможно Петя хочет купить этот гамильтонов цикл у Димы, но перед этим удостовериться, что он у Димы действительно есть).


Если Виктор запишет все происходящее на камеру, то полученная видеозапись не будет являться доказательством для какой-либо другой стороны. Ведь они могли заранее сговориться, откуда будет выходить Пегги. Соответственно, она сможет найти выход, не зная при этом самого ключа. Существует ещё один способ: Виктор просто вырезает все неудачные попытки Пегги. Эти описанные выше действия доказывают, что пример с пещерой удовлетворяет свойствам: [[#Определение|полноты]], [[#Определение|корректности]] и [[#Определение|нулевому разглашению]]{{sfn|Шнайер|2002|pp=87—88}}.
Для этого Петя и Дима совместно выполняют несколько раундов протокола:
* Вначале Дима создает граф ''H'', [[Изоморфизм (математика)|изоморфный]] ''G''. Преобразовывание гамильтонова цикла между [[Изоморфизм графов|изоморфными графами]] — тривиальная задача, поэтому если Диме известен гамильтонов цикл в ''G'', то он также знает гамильтонов цикл в ''H''.
* Дима передает граф ''H'' Пете.
* Петя выбирает случайный бит ''b'' ← {0,1}
** Если ''b''=0, то Петя просит Диму доказать изоморфизм ''G'' u ''H'', то есть предоставить соответствие вершин этих двух графов. Петя может проверить, действительно ли ''G'' u ''H'' изоморфны.
** Если ''b''=1, то Петя просит Диму показать гамильтонов цикл в ''H''. Для задачи изоморфизма графов на данный момент не доказана ни её принадлежность [[класс P|классу <math>P</math>]], ни её [[NP-полная задача|<math>NP</math>-полнота]], поэтому будем здесь считать, что невозможно из гамильтонова цикла в ''H'' вычислить гамильтонов цикл в ''G''.


=== Гамильтонов цикл для больших графов ===
В каждом раунде Петя выбирает новый случайный бит, который неизвестен Диме, поэтому чтобы Дима мог ответить на оба вопроса, нужно чтобы ''H'' был в самом деле изоморфен ''G'' и Дима должен знать гамильтонов цикл в ''H'' (а значит также и в ''G''). Поэтому после достаточного числа раундов, Петя может быть уверен в том, что у Димы действительно есть гамильтонов цикл в ''G''. С другой стороны, Дима не раскрывает никакой информации о гамильтоновом цикле в ''G''. Более того, Пете сложно будет доказать кому-либо ещё, что он сам или Дима знает гамильтонов цикл в ''G''.
[[Файл:Hamiltonian Dodecahedron Graph.svg|250px|thumb|right|Граф додекаэдра с выделенным циклом Гамильтона.]]
Этот пример был придуман [[Блюм, Мануэль|Мануэлем Блюмом]] и описан в его работе в [[1986 год]]у{{sfn|Blum|1988}}. Назовём проверяющую сторону Виктор, а доказывающую сторону Пегги. Допустим, Пегги известен [[гамильтонов цикл]] в большом [[Граф (математика)|графе]] ''G''. Виктору известен граф ''G'', но он не знает гамильтонова цикла в нём. Пегги хочет доказать Виктору, что она знает гамильтонов цикл, не выдавая при этом ни самого цикла, ни какой-либо информации о нём (возможно Виктор хочет купить информацию об этом гамильтоновом цикле у Пегги, но перед этим желает удостовериться, что Пегги действительно знает его).


Для этого Виктор и Пегги совместно выполняют несколько раундов [[Криптографический протокол|протокола]]:
Предположим, что у Димы нет гамильтонова цикла в ''G'' и он хочет обмануть Петю. Тогда Диме необходим неизоморфный ''G'' граф ''G' '', в котором он всё-таки знает гамильтонов цикл. В каждом раунде он может передавать Пете либо ''H' '' — изоморфный ''G' '', либо ''H'' — изоморфный ''G''. Если Петя попросит доказать изоморфизм и был передан ''H'', то обман не вскроется. Аналогично, если он просит показать гамильтонов цикл и был передан ''H' ''. В таком случае вероятность того, что Дима все-таки обманет Петю после ''n'' раундов, равна 1/2<sup>n</sup>, что может быть меньше любой заранее заданной величы при достаточном числе раундов.
* Вначале Пегги создаёт граф ''H'', [[Изоморфизм графов|изоморфный]] ''G''. Преобразование гамильтонова цикла между [[Изоморфизм графов|изоморфными графами]] — [[Тривиальность|тривиальная задача]], поэтому если Пегги известен гамильтонов цикл в ''G'', то она также знает гамильтонов цикл в порождаемом графе ''H''.
* Пегги передаёт граф ''H'' Виктору.
* Виктор выбирает случайный бит ''b'' <math>\in</math> {0, 1}.
** Если ''b'' = 0, то Виктор просит Пегги доказать изоморфизм ''G'' и ''H'', то есть предоставить [[Биекция|взаимнооднозначное соответствие]] вершин этих двух графов. Виктор может проверить, действительно ли ''G'' и ''H'' изоморфны.
** Если ''b'' = 1, то Виктор просит Пегги указать гамильтонов цикл в ''H''. Для задачи изоморфизма графов на данный момент не доказана ни её принадлежность [[класс P|классу <math>P</math>]], ни её [[NP-полная задача|<math>NP</math>-полнота]], поэтому будем здесь считать, что невозможно из гамильтонова цикла в ''H'' вычислить гамильтонов цикл в изоморфном ''G''{{sfn|Blum|1988}}.


В каждом раунде Виктор выбирает новый случайный [[бит]], который неизвестен Пегги, поэтому, чтобы Пегги могла ответить на оба вопроса, нужно чтобы ''H'' был в самом деле изоморфен ''G'', и Пегги должна знать гамильтонов цикл в ''H'' (а значит также и в ''G''). Поэтому после достаточного числа раундов, Виктор может быть уверен в том, что у Пегги действительно есть знание о гамильтоновом цикле в ''G''. С другой стороны, Пегги не раскрывает никакой информации о гамильтоновом цикле в ''G''. Более того, Виктору сложно будет доказать кому-либо ещё, что он сам или Пегги знают гамильтонов цикл в ''G''{{sfn|Blum|1988}}.
Предположим, что Петя не узнал гамильтонов цикл, но хочет доказать Васе, что Дима его знает. Если Петя, например, заснял на видео все раунды протокола, Вася едва ли ему поверит. Вася может предположить, что Петя и Дима в сговоре и в каждом раунде Петя заранее сообщал Диме свой выбор случайного бита, чтобы Дима мог передавать ему ''H'' для проверок изоморфизма и ''H' '' для проверок гамильтонова цикла. Таким образом без участия Димы доказать, что он знает гамильтонов цикл, можно лишь доказав, что во всех раундах протокола выбирались действительно случайные биты.

Предположим, что Пегги неизвестен гамильтонов цикл в ''G'', но она хочет обмануть Виктора. Тогда Пегги необходим неизоморфный ''G'' граф ''G′'', в котором она всё-таки знает [[Гамильтонов граф|гамильтонов цикл]]. В каждом раунде она может передавать Виктору либо ''H′'' — изоморфный ''G′'', либо ''H'' — изоморфный ''G''. Если Виктор попросит доказать изоморфизм графов, и ему был передан ''H'', то обман не вскроется. Аналогично, если он просит показать гамильтонов цикл, и ему был передан ''H′''. В таком случае вероятность того, что Пегги всё-таки обманет Виктора после ''k'' раундов, равна <math>\frac{1}{2^k}</math>, что может быть меньше любой заранее заданной величины при достаточном числе раундов{{sfn|Blum|1988}}.

Предположим, что Виктор не узнал гамильтонов цикл, но хочет доказать Бобу, что Пегги его знает. Если Виктор, например, заснял на видео все раунды протокола, Боб едва ли ему поверит. Боб может предположить, что Виктор и Пегги в сговоре, и в каждом раунде Виктор заранее сообщал Пегги свой выбор случайного бита, чтобы Пегги могла передавать ему ''H'' для проверок изоморфизма и ''H′'' для проверок гамильтонова цикла. Таким образом без участия Пегги доказать, что она знает гамильтонов цикл, можно лишь доказав, что во всех раундах протокола выбирались действительно случайные биты{{sfn|Шнайер|2002|pp=89—90}}.

== Применение на практике ==
Теорема, гласящая, что для любой [[NP-полная задача|NP-полной задачи]] существует доказательство с нулевым разглашением, при этом, если использовать [[Односторонняя функция|односторонние функции]], можно создать корректные [[Криптографический протокол|криптографические протоколы]], была доказана {{нп5|Голдрейх, Одед|Одедом Голдрейхом|en|Oded Goldreich}}, [[Микали, Сильвио|Сильвио Микали]] и [[Вигдерсон, Ави|Ави Вигдерсоном]]{{sfn|Goldreich, Micali, Wigderson|1986}}{{sfn|Goldreich, Micali, Wigderson|1987}}. То есть, можно доказать любому скептику, что обладаешь доказательством некоей математической теоремы, не раскрывая самого доказательства. Это тоже показывает, как может быть использован данный протокол в практических целях{{sfn|Шнайер|2002|pp=91—92}}.

Следующим методом, где может быть использовано доказательство с нулевым разглашением, является определением идентичности, при этом [[закрытый ключ]] у Пегги является так называемым «показателем идентичности», и, используя рассматриваемый протокол, можно доказать свою идентичность. То есть, можно доказать свою личность без использования различных физических устройств и данных (символов), таких как паспорта, различных снимков человека (сетчатки глаза, пальцев рук, лица и т. д.), а принципиально другим образом{{sfn|Шнайер|2002|p=92}}. Однако, он имеет ряд недостатков, которые могут быть применены для обхода защиты. Описанный выше [[Протокол Фиата — Шамира|метод]] был впервые предложен {{нп5|Фиат, Амос|Амосом Фиатом|en|Amos Fiat}}, [[Шамир, Ади|Ади Шамиром]] и [[Фейге, Уриэль|Уриэлем Фейге]] в [[1987 год]]у{{sfn|Fiat, Shamir|1987}}.

Также доказательства с нулевым разглашением могут быть использованы в [[Протокол конфиденциального вычисления|протоколах конфиденциального вычисления]], которые позволяют нескольким участникам убедиться в том, что другая сторона следует протоколу честно{{sfn|Goldreich, Micali, Wigderson|1986}}.

Доказательства с нулевым разглашением применяются в [[блокчейн]]ах [[Криптовалюта|криптовалют]] [[Zcash]], Byzantium (форк [[Ethereum]]), Zerocoin и других. Созданы реализации протоколов доказательства с нулевым разглашением, в частности, Software Development Kit QED-IT. Голландский банк ING создал свой вариант протокола, ZKRP ({{lang-en2|Zero-Knowledge Range Proof}}), и применил его для доказательства наличия у клиента достаточного размера заработной платы без раскрытия её истинного размера{{sfn|ForkLog|2019}}{{sfn|Губанова|2018}}.

Наибольшее распространение получили протоколы zk-SNARKs, именно протоколы такого класса используются в ZCash, Zcoin и в протоколе Metropolis блокчейна Ethereum{{sfn|Chain Media|2017}}{{sfn|Губанова|2018}}.

Аббревиатура zk-SNARK расшифровывается как {{ref-en}} zero-knowledge succinct non-interactive argument of knowledge — краткий неинтерактивный аргумент знания с нулевым разглашением{{sfn|Chain Media|2017}}{{sfn|Губанова|2018}}. Алгоритм zk-SNARK состоит из генератора ключей, доказывающего и верификатора, обязательно поддерживает нулевое знание, имеет краткость (вычисляется за короткое время), является неинтерактивным (верификатор получает только одно сообщение от доказывающего){{sfn|Губанова|2018}}.


== Злоупотребления ==
== Злоупотребления ==
Предложено несколько способов злоупотребления доказательством с нулевым разглашением:
Предложено несколько способов злоупотребления доказательством с нулевым разглашением, которые используют те или иные слабые стороны протокола:

* [[Проблема гроссмейстера]]
=== Проблема гроссмейстера ===
* [[Обман, выполненный мафией]]
{{main|Проблема гроссмейстера}}
* [[Обман с несколькими личностями]]
В данном примере некоторая сторона может доказать владение секретом, не обладая им на самом деле или, другими словами, может имитировать то лицо, которому на самом деле принадлежит секрет{{sfn|Шнайер|2002|pp=92—93}}. В настоящее время предложен способ решения проблемы {{нп5|Бет, Томас|Томасом Бетом|de|Thomas Beth}} и {{нп5|Десмедт, Иво|Иво Десмедтом|en|Yvo G. Desmedt}}{{sfn|Beth, Desmedt|1991}}.

=== Обман с несколькими личностями ===
{{main|Обман с несколькими личностями}}
Если сторона сможет создать несколько секретов, то соответственно она также сможет создать «несколько личностей». Пусть одна из них никогда не будет использоваться. Такая возможность обеспечивает разовую анонимность, что позволяет, например, уйти от ответственности: сторона идентифицирует себя никогда не используемой личностью и совершает преступление. После этого данная «личность» никогда больше не используется. Выследить или сопоставить с кем-либо правонарушителя практически невозможно. Такое злоупотребление предотвращается, если изначально исключить возможность создания второго секрета{{sfn|Шнайер|2002|pp=93—94}}.

=== Обман, выполненный мафией ===
{{main|Обман, выполненный мафией}}
Ещё один пример, когда одна сторона выдает себя за другую. Пусть имеется 4 участника: ''A'', ''B'', ''C'', ''D''. Причём ''B'' и ''С'' сотрудничают между собой («принадлежат одной мафии»). ''А'' доказывает свою личность ''B'', а ''С'' хочет выдать себя за ''A'' перед ''D''. ''B'' владеет рестораном, принадлежащим мафии, ''С'' — также представитель мафии, ''D'' — ювелир. ''A'' и ''D'' не знают о предстоящем мошенничестве. В момент, когда ''A'' готов заплатить за обед и идентифицировать себя перед ''B'', ''B'' извещает ''С'' о начале мошенничества. Это возможно благодаря наличию радиоканала между ними. В это время ''С'' выбирает бриллиант, который хочет купить, и ''D'' начинает идентифицировать личность ''С'', который выдает себя за ''A''. ''С'' передаёт протокольный вопрос к ''B'', а тот в свою очередь, задаёт его ''А''. Ответ передаётся в обратном порядке. Таким образом ''А'' заплатит не только за обед, но и за дорогой бриллиант. Как видно из вышеописанного, существуют определённые требования для подобного мошенничества. Когда ''А'' начинает доказывать свою личность перед ''B'', а ''С'' — перед ''D'', действия ''B'' и ''С'' должны быть синхронизированы. Данное злоупотребление тоже разрешимо. Например, если в магазине ювелира будет [[клетка Фарадея]], то «мафиози» не смогут обмениваться сообщениями{{sfn|Шнайер|2002|p=93}}.

== Возможные атаки ==

=== Атака на основе подобранного шифротекста ===
{{main|Атака на основе подобранного шифротекста}}

Данная атака осуществима при использовании неинтерактивного метода взаимодействия в протоколе нулевого разглашения.

При использовании такого протокола возникает несколько проблем. Во-первых, нужно решить, как нужно осуществлять взаимодействие, и при этом должны быть сохранены фундаментальные особенности самого протокола: полнота, корректность и «нулевое разглашение». Помимо того, что можно достаточно просто доказать нулевое знание другой стороне, если можно прослушивать канал, то есть столкнуться с [[Проблема гроссмейстера|проблемой гроссмейстера]].

Так вот сама атака заключается в следующем: злоумышленник, используя сложность доказательства обладанием знания, включает «атакующий» [[шифротекст]], подсовывая его в кучу других шифротекстов, которые должны быть расшифрованы. Данная атака называется «playback» атака{{sfn|Rackoff, Simon|1992}}.

Возможное решение основано на работе {{нп5|Наор, Мони|Мони Наора|en|Moni Naor}} и {{нп5|Юнг, Моти|Моти Юнга|en|Moti Yung}}, которая заключается в следующем: Доказывающий и Проверяющий шифруют сообщения [[Криптосистема с открытым ключом|публичным ключом]], это приводит к тому, что описанная выше атака перестает работать{{sfn|Naor, Yung|1990}}.

=== Атака на мультипротокольную систему нулевого знания ===
Тида и Ямамото предложили такую реализацию протокола нулевого знания, которая значительно повышает скорость доказательств обладанием нулевым знанием при одновременном доказательстве сразу нескольких утверждений и, как следствие, производительность всей системы в целом{{sfn|Chida, Yamamoto|2008}}. Ключевой особенностью является ограничение на количество [[Итерация (математика)|итераций]] для доказательства. Как было показано в работе К. Пэна{{sfn|Peng|2012}}, данный алгоритм оказался полностью неустойчивым к следующей атаке. Используя несколько правильно подобранных итераций, злоумышленник может пройти [[Верификация|верификацию]] и нарушить главные положения о протоколе. Причём было показано, что данная атака всегда осуществима на такую систему.

=== Атака с помощью квантового компьютера ===
В [[2005 год]]у {{нп5|Ватрус, Джон|Джоном Ватрусом|en|John Watrous (computer scientist)}} было показано{{нет АИ|15|12|2015}} , что не все системы с нулевым знанием являются устойчивыми к атакам с помощью [[Квантовый компьютер|квантового компьютера]]. Однако было доказано, что можно всегда построить такую систему, которая будет устойчива против квантовых атак, в предположении, что существуют квантовые системы с «сокрытием обязательств»{{sfn|Watrous|2006}}.


== См. также ==
== См. также ==
{{кол}}
* [[Ослепление (криптография)]]
* [[Криптосистема с открытым ключом]]
* [[Криптографическая хеш-функция]]
* [[Атака на основе подобранного шифротекста]]
* [[Схема Шнорра]]
* [[Схема Шнорра]]
* [[Протокол Фиата-Шамира]]
* [[Протокол Фиата — Шамира]]
* [[Протокол Фейга-Фиата-Шамира]]
* [[Протокол ФейгаФиатаШамира]]
* [[Протокол Гиллу-Кискатра]]
* [[Протокол ГиллуКискатра]]
{{кол|конец}}

== Примечания ==
{{примечания|3}}


== Литература ==
== Литература ==
; книги и монографии
* {{книга|автор = A. Menezes, P.van Oorschot, S. Vanstone.|заглавие = Handbook of Applied Cryptography|издательство = CRC Press|год = 1996|страницы = |страниц = 816|isbn = 0-8493-8523-7}}
* {{source|Q21704663|ref=Мао}} <!-- Современная криптография: Теория и практика -->
* {{Книга:Шнайер Б.: Прикладная криптография}}
* {{Книга:Шнайер Б.: Прикладная криптография}}
* {{source|Q21725116|ref=Menezes et al|pages=405—417|part=Chapter 10|parturl=http://cacr.uwaterloo.ca/hac/about/chap10.pdf}}
* {{source|Q21725143|ref=Саломаа}} <!-- Криптография с открытым ключом — 1995 -->
* {{source|Q21725177|ref=Goldreich}} <!-- A Short Tutorial of Zero-Knowledge // Secure Multi-Party Computation — 2013 -->


; статьи
{{columns-list|2|
* {{source|Q21714951|ref=Goldwasser, Micali}} <!-- Probabilistic encryption & how to play mental poker keeping secret all partial information // STOC'82 -->
* {{source|Q21704769|ref=Blum}} <!-- How to Prove a Theorem So No One Else Can Claim It // ICM'86 -->
* {{source|Q21714558|ref=Goldreich, Micali, Wigderson}} <!-- Proofs that Yield Nothing but Their Validity or All Languages in NP Have Zero-Knowledge Proof Systems // FOCS'86 -->
* {{source|Q21721320|ref=Goldreich, Micali, Wigderson}} <!-- How to Prove All NP Statements in Zero-Knowledge and a Methodology of Cryptographic Protocol Design // CRYPTO’86 -->
* {{source|Q21721403|ref=Fiat, Shamir}} <!-- How to Prove Yourself: Practical Solutions to Identification and Signature Problems // CRYPTO’86 -->
* {{source|Q21714635|ref=Desmedt, Goutier, Bengio}} <!-- Special Uses and Abuses of the Fiat-Shamir Passport Protocol // CRYPTO’87 -->
* {{source|Q21704689|ref=Santis, Micali, Persiano}} <!-- Non-Interactive Zero-Knowledge Proof Systems // CRYPTO’87 -->
* {{source|Q21714544|ref=Blum, Feldman, Micali}} <!-- Non-interactive zero-knowledge and its applications // STOC'88 -->
* {{source|Q21694644|ref=Goldwasser, Micali, Rackoff}} <!-- The knowledge complexity of interactive proof systems // SIAM Journal on Computing — 1989 -->
* {{source|Q21694670|ref=Quisquater et al}} <!-- How to Explain Zero-Knowledge Protocols to Your Children // CRYPTO’89 -->
* {{source|Q21722728|ref=Naor, Yung}} <!-- Public-key Cryptosystems Provably Secure against Chosen Ciphertext Attacks // STOC'90 -->
* {{source|Q21704652|ref=Beth, Desmedt}} <!-- Identification Tokens-or: Solving the Chess Grandmaster Problem // CRYPTO’90 -->
* {{source|Q21721409|ref=Rackoff, Simon}} <!-- Non-Interactive Zero-Knowledge Proof of Knowledge and Chosen Ciphertext Attack // CRYPTO’91 -->
* {{source|Q21722642|ref=Bleichenbacher}} <!-- Chosen ciphertext attacks against protocols based on the RSA encryption standard PKCS #1 // CRYPTO’98 -->
* {{source|Q21694677|ref=Sahai, Vadhan}} <!-- A complete problem for statistical zero knowledge // Journal of the ACM — 2003 -->
* {{source|Q21725078|ref=Watrous}} <!-- Zero-Knowledge against Quantum Attacks // STOC'06 -->
* {{source|Q21724669|ref=Chida, Yamamoto}} <!-- Batch Processing for Proofs of Partial Knowledge and Its Applications // IEICE Transactions on Fundamentals… — 2008 -->
* {{source|Q21725038|ref=Peng}} <!-- Attack against a batch zero-knowledge proof system // IET Information Security — 2012 -->
}}
== Ссылки ==
* {{публикация|статья
|автор=Губанова
|автор имя=Л.
|заглавие=Что такое ZKP? Полное руководство по доказательству с нулевым разглашением
|издание=101 Blockchains
|год=2018 |месяц=12 |день=21
|ссылка=https://101blockchains.com/ru/доказательство-с-нулевым-разглашени/
|архив дата=2021-01-21
|архив=https://web.archive.org/web/20210121165449/https://101blockchains.com/ru/%D0%B4%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D1%82%D0%B2%D0%BE-%D1%81-%D0%BD%D1%83%D0%BB%D0%B5%D0%B2%D1%8B%D0%BC-%D1%80%D0%B0%D0%B7%D0%B3%D0%BB%D0%B0%D1%88%D0%B5%D0%BD%D0%B8/
|ref=Губанова
}}
* {{публикация|статья
|заглавие=Что такое Zero Knowledge Proof?
|издание=Chain Media
|год=2017 |месяц=11 |день=21
|ссылка=http://chainmedia.ru/newcomers/zero-knowledge-proof/
|архив дата=
|архив=
|ref=Chain Media
}}
* {{публикация|статья
|заглавие=Что такое доказательство с нулевым разглашением (zero-knowledge proof)?
|издание=ForkLog
|год=2019 |месяц=05 |день=21
|ссылка=https://forklog.com/chto-takoe-dokazatelstvo-s-nulevym-razglasheniem-zero-knowledge-proof/
|архив дата=2020-07-21
|архив=https://web.archive.org/web/20200721225315/https://forklog.com/chto-takoe-dokazatelstvo-s-nulevym-razglasheniem-zero-knowledge-proof/
|ref=ForkLog
}}


{{Добротная статья|Теория информации и криптография}}
[[Категория:Доказательства с нулевым разглашением]]
{{Нерабочие сноски}}


[[Категория:Доказательства с нулевым разглашением|*]]
[[da:Vidensløst bevis]]
[[de:Zero Knowledge]]
[[en:Zero-knowledge proof]]
[[es:Prueba de conocimiento cero]]
[[fa:اثبات دانایی صفر]]
[[fr:Preuve à divulgation nulle de connaissance]]
[[he:הוכחה באפס ידע]]
[[it:Dimostrazione a conoscenza zero]]
[[ja:ゼロ知識証明]]
[[ko:영지식 증명]]
[[pl:Dowód z wiedzą zerową]]
[[pt:Provas de conhecimento-zero]]
[[simple:Zero-knowledge proof]]
[[uk:Доведення з нульовим пізнанням]]

Версия от 19:23, 2 августа 2024

Доказа́тельство с нулевы́м разглаше́нием (информа́ции) в криптографии (англ. Zero-knowledge proof) — интерактивный криптографический протокол, позволяющий одной из взаимодействующих сторон («The verifier» — проверяющей) убедиться в достоверности какого-либо утверждения (обычно математического), не имея при этом никакой другой информации от второй стороны («The prover» — доказывающей). Причём последнее условие является необходимым, так как обычно доказать, что сторона обладает определёнными сведениями в большинстве случаев тривиально, если она имеет право просто раскрыть информацию. Вся сложность состоит в том, чтобы доказать, что у одной из сторон есть информация, не раскрывая её содержания. Протокол должен учитывать, что доказывающий сможет убедить проверяющего только в случае, если утверждение действительно доказано. В противном случае сделать это будет невозможно, или крайне маловероятно из-за вычислительной сложности.

Под интерактивностью протокола подразумевается непосредственный обмен информацией сторонами[1][2].

Таким образом, рассматриваемый протокол требует наличия интерактивных исходных данных (interactive input) от проверяющего, как правило, в виде задачи или проблемы. Цель легального доказывающего (имеющего доказательство) в этом протоколе — убедить проверяющего в том, что у него есть решение, не выдав при этом даже части «секретного» доказательства («нулевое разглашение»). Цель проверяющего же — это удостовериться в том, что доказывающая сторона «не лжёт»[2][3].

Также были разработаны протоколы доказательства с нулевым разглашением[4][5], для которых не требовалось наличия интерактивных исходных данных, при этом доказательство которых, как правило, опирается на предположение об идеальной криптографической хеш-функции, то есть предполагается, что выход однонаправленной хеш-функции невозможно предсказать, если неизвестен её вход[6].

Доказательство с нулевым разглашением используется в нескольких блокчейнах, кроме того, находит применение для проверки наличия сведений без передачи самих сведений[7][8].

Определение

Доказательство с нулевым разглашением — интерактивный вероятностный протокол, который позволяет доказать, что доказываемое утверждение верно, и Доказывающий знает это доказательство, в то же время не предоставляя никакой информации о самом доказательстве данного утверждения[9]. Данный криптографический протокол должен обладать тремя свойствами:

  1. Полнота: если утверждение действительно верно, то Доказывающий убедит в этом Проверяющего с любой наперед заданной точностью.
  2. Корректность: если утверждение неверно, то любой, даже «нечестный», Доказывающий не сможет убедить Проверяющего за исключением пренебрежимо малой вероятности.
  3. Нулевое разглашение: если утверждение верно, то любой, даже «нечестный», Проверяющий не узнает ничего кроме самого факта, что утверждение верно[10].

Доказательства с нулевым разглашением не являются доказательствами в математическом смысле этого термина, потому что есть некоторая небольшая вероятность, что обманом доказывающая сторона сможет убедить Проверяющего в ложном утверждении (ошибка корректности). Иными словами, доказательства с нулевым разглашением — это вероятностные доказательства, а не детерминированные. Тем не менее, есть методы, позволяющие уменьшить ошибку корректности до пренебрежимо малых значений[11][12].

Различные виды нулевого разглашения

Выполнение протокола доказательства с нулевым разглашением приводит к выводу результата Принять/Отклонить и также порождает стенограмму доказательства. Различные варианты нулевого разглашения могут быть определены путём формализации самого понятия и сравнения распространения информации различных моделей с протоколом следующими способами[13][14]:

  • Идеальный протокол нулевого разглашения — если случайные величины в стенограмме доказательства рассматриваемой модели являются равномерно распределенными и не зависят от общих входных данных[15]. Хорошей иллюстрацией будет пример Пегги и Виктора в пещере.
  • Статистически нулевое разглашение[16] означает, что распределение не обязательно такое же, но они по крайней мере статистически близки[англ.], при этом статистическая разница есть незначительная функция[англ.][17].
  • С вычислительно нулевым разглашением называют такую модель, если не существует на данный момент такого эффективного алгоритма, который смог бы отличить распределение величин от распространения информации в идеальном протоколе[18].

История развития

Шафи Гольдвассер

В 1986 году в работе Сильвио Микали, Одеда Голдрейха[англ.] и Ави Вигдерсона было описано применение доказательств с нулевым разглашением для создания криптографических протоколов, которые должны обеспечивать «честное поведение» сторон, сохраняя при этом конфиденциальность[19].

Доказательство с нулевым разглашением было придумано и разработано следующими учёными: Шафи Гольдвассер, Сильвио Микали и Чарльзом Реккофом, и опубликовано ими в статье «Знание и сложность интерактивной системы с доказательством»[20] в 1989 году. Эта работа представила иерархию интерактивных систем с доказательством, основываясь на объёме информации о доказательстве, который необходимо передать от Доказывающего до Проверяющего. Ими также было предложено первое доказательство конкретно поставленного доказательства с нулевым разглашением — квадратичного вычета по некоторому модулю m[21]. Впоследствии, дополнив свою работу, они были удостоены первой премии Гёделя в 1993 году[22].

Ави Вигдерсон

В дальнейшем криптосистема Гольдвассер — Микали, основанная на рассматриваемом интерактивном протоколе, являющаяся криптографической системой с открытым ключом, разработанная Шафи Гольдвассер и Сильвио Микали в 1982 году, является первой схемой вероятностного шифрования с открытым ключом, доказуемо стойкая при стандартных криптографических предположениях. Предложенная система была высоко оценена жюри: Гольдовассер и Микали стали лауреатами Премии Тьюринга за 2012 год[23], за создание криптосистемы с вероятностным шифрованием, отмеченная в номинации как новаторская работа, оказавшая существенное влияние на современную криптографию. Однако, криптосистема является неэффективной, так как порождаемый ею шифротекст может быть в сотни раз длиннее, чем шифруемое сообщение.

Для доказательства свойств стойкости криптосистемы Голдвассер и Микали ввели понятие семантической стойкости[24][25].

В 2021 году Ласло Ловас и Ави Вигдерсон были удостоены Абелевской премии, за их работы в области теоретической информатики, внесшие важнейший вклад в развитие теории сложности вычислений, теории графов, методы распределенных вычислений и концепцию доказательств с нулевым разглашением[26].

Общая структура доказательств с нулевым разглашением

Каждый раунд, или аккредитация доказательства, состоит из трёх этапов. Схематично их можно изобразить следующим образом:

  •  : доказательство (witness)
  •  : вызов (challenge)
  •  : ответ (response)

Сначала A выбирает из заранее определённого непустого множества некоторый элемент, который становится её секретом — закрытым ключом. По этому элементу вычисляется, а затем публикуется открытый ключ. Знание секрета определяет множество вопросов, на которые А всегда сможет дать правильные ответы. Затем A выбирает случайный элемент из множества, по определённым правилам (в зависимости от конкретного алгоритма) вычисляет доказательство и затем отсылает его B. После этого B выбирает из всего множества вопросов один и просит A ответить на него (вызов). В зависимости от вопроса, А посылает B ответ[27]. Полученной информации B достаточно, чтобы проверить действительно ли А владеет секретом. Раунды можно повторять сколько угодно раз, пока вероятность того, что A «угадывает» ответы, не станет достаточно низкой. Такой подход называется также «разрезать и выбрать» («cut-and-choose»), впервые использованный в криптографии Михаэлем Рабином[28][29].

Примеры

Пещера нулевого разглашения

Пещера нулевого разглашения

Впервые данный пример был написан в хорошо известной работе по доказательству с нулевым разглашением «Как объяснить протокол доказательства с нулевым разглашением вашим детям» Жан-Жаком Кискатером[англ.][30].

В данном случае Пегги выступает в качестве Доказывающего утверждение, и Виктор — в качестве Проверяющего (в англоязычной литературе обычно используются наименование сторон Пегги и Виктор (от «Prover» и «Verifier» соответственно). Пегги знает магическое слово («ключ»), ввод которого позволяет открыть ей дверь между C и D. Виктор хочет узнать, действительно ли Пегги знает пароль, при этом Пегги не хочет выдавать сам пароль. Пещера имеет круглую форму, как представлено на рисунке. Для того чтобы решить проблему, они поступают следующим способом. Пока Виктор находится в точке А, Пегги идёт к двери, и после того, как она исчезает из виду, Виктор идёт к разветвлению, то есть в точку B, и кричит оттуда: «Пегги нужно выйти справа» или «Пегги нужно выйти слева». Получаем каждый раз вероятность того, что Пегги не знает пароль, равна 50 %. Если же повторить процесс k раз, то вероятность будет . При 20 же повторениях эта вероятность будет порядка 10−6, что является достаточным для справедливости предположения о том, что Пегги знает ключ[30].

Если Виктор запишет все происходящее на камеру, то полученная видеозапись не будет являться доказательством для какой-либо другой стороны. Ведь они могли заранее сговориться, откуда будет выходить Пегги. Соответственно, она сможет найти выход, не зная при этом самого ключа. Существует ещё один способ: Виктор просто вырезает все неудачные попытки Пегги. Эти описанные выше действия доказывают, что пример с пещерой удовлетворяет свойствам: полноты, корректности и нулевому разглашению[31].

Гамильтонов цикл для больших графов

Граф додекаэдра с выделенным циклом Гамильтона.

Этот пример был придуман Мануэлем Блюмом и описан в его работе в 1986 году[32]. Назовём проверяющую сторону Виктор, а доказывающую сторону Пегги. Допустим, Пегги известен гамильтонов цикл в большом графе G. Виктору известен граф G, но он не знает гамильтонова цикла в нём. Пегги хочет доказать Виктору, что она знает гамильтонов цикл, не выдавая при этом ни самого цикла, ни какой-либо информации о нём (возможно Виктор хочет купить информацию об этом гамильтоновом цикле у Пегги, но перед этим желает удостовериться, что Пегги действительно знает его).

Для этого Виктор и Пегги совместно выполняют несколько раундов протокола:

  • Вначале Пегги создаёт граф H, изоморфный G. Преобразование гамильтонова цикла между изоморфными графами — тривиальная задача, поэтому если Пегги известен гамильтонов цикл в G, то она также знает гамильтонов цикл в порождаемом графе H.
  • Пегги передаёт граф H Виктору.
  • Виктор выбирает случайный бит b {0, 1}.
    • Если b = 0, то Виктор просит Пегги доказать изоморфизм G и H, то есть предоставить взаимнооднозначное соответствие вершин этих двух графов. Виктор может проверить, действительно ли G и H изоморфны.
    • Если b = 1, то Виктор просит Пегги указать гамильтонов цикл в H. Для задачи изоморфизма графов на данный момент не доказана ни её принадлежность классу , ни её -полнота, поэтому будем здесь считать, что невозможно из гамильтонова цикла в H вычислить гамильтонов цикл в изоморфном G[32].

В каждом раунде Виктор выбирает новый случайный бит, который неизвестен Пегги, поэтому, чтобы Пегги могла ответить на оба вопроса, нужно чтобы H был в самом деле изоморфен G, и Пегги должна знать гамильтонов цикл в H (а значит также и в G). Поэтому после достаточного числа раундов, Виктор может быть уверен в том, что у Пегги действительно есть знание о гамильтоновом цикле в G. С другой стороны, Пегги не раскрывает никакой информации о гамильтоновом цикле в G. Более того, Виктору сложно будет доказать кому-либо ещё, что он сам или Пегги знают гамильтонов цикл в G[32].

Предположим, что Пегги неизвестен гамильтонов цикл в G, но она хочет обмануть Виктора. Тогда Пегги необходим неизоморфный G граф G′, в котором она всё-таки знает гамильтонов цикл. В каждом раунде она может передавать Виктору либо H′ — изоморфный G′, либо H — изоморфный G. Если Виктор попросит доказать изоморфизм графов, и ему был передан H, то обман не вскроется. Аналогично, если он просит показать гамильтонов цикл, и ему был передан H′. В таком случае вероятность того, что Пегги всё-таки обманет Виктора после k раундов, равна , что может быть меньше любой заранее заданной величины при достаточном числе раундов[32].

Предположим, что Виктор не узнал гамильтонов цикл, но хочет доказать Бобу, что Пегги его знает. Если Виктор, например, заснял на видео все раунды протокола, Боб едва ли ему поверит. Боб может предположить, что Виктор и Пегги в сговоре, и в каждом раунде Виктор заранее сообщал Пегги свой выбор случайного бита, чтобы Пегги могла передавать ему H для проверок изоморфизма и H′ для проверок гамильтонова цикла. Таким образом без участия Пегги доказать, что она знает гамильтонов цикл, можно лишь доказав, что во всех раундах протокола выбирались действительно случайные биты[33].

Применение на практике

Теорема, гласящая, что для любой NP-полной задачи существует доказательство с нулевым разглашением, при этом, если использовать односторонние функции, можно создать корректные криптографические протоколы, была доказана Одедом Голдрейхом[англ.], Сильвио Микали и Ави Вигдерсоном[19][34]. То есть, можно доказать любому скептику, что обладаешь доказательством некоей математической теоремы, не раскрывая самого доказательства. Это тоже показывает, как может быть использован данный протокол в практических целях[13].

Следующим методом, где может быть использовано доказательство с нулевым разглашением, является определением идентичности, при этом закрытый ключ у Пегги является так называемым «показателем идентичности», и, используя рассматриваемый протокол, можно доказать свою идентичность. То есть, можно доказать свою личность без использования различных физических устройств и данных (символов), таких как паспорта, различных снимков человека (сетчатки глаза, пальцев рук, лица и т. д.), а принципиально другим образом[35]. Однако, он имеет ряд недостатков, которые могут быть применены для обхода защиты. Описанный выше метод был впервые предложен Амосом Фиатом[англ.], Ади Шамиром и Уриэлем Фейге в 1987 году[36].

Также доказательства с нулевым разглашением могут быть использованы в протоколах конфиденциального вычисления, которые позволяют нескольким участникам убедиться в том, что другая сторона следует протоколу честно[19].

Доказательства с нулевым разглашением применяются в блокчейнах криптовалют Zcash, Byzantium (форк Ethereum), Zerocoin и других. Созданы реализации протоколов доказательства с нулевым разглашением, в частности, Software Development Kit QED-IT. Голландский банк ING создал свой вариант протокола, ZKRP (Zero-Knowledge Range Proof), и применил его для доказательства наличия у клиента достаточного размера заработной платы без раскрытия её истинного размера[7][8].

Наибольшее распространение получили протоколы zk-SNARKs, именно протоколы такого класса используются в ZCash, Zcoin и в протоколе Metropolis блокчейна Ethereum[37][8].

Аббревиатура zk-SNARK расшифровывается как  (англ.) zero-knowledge succinct non-interactive argument of knowledge — краткий неинтерактивный аргумент знания с нулевым разглашением[37][8]. Алгоритм zk-SNARK состоит из генератора ключей, доказывающего и верификатора, обязательно поддерживает нулевое знание, имеет краткость (вычисляется за короткое время), является неинтерактивным (верификатор получает только одно сообщение от доказывающего)[8].

Злоупотребления

Предложено несколько способов злоупотребления доказательством с нулевым разглашением, которые используют те или иные слабые стороны протокола:

Проблема гроссмейстера

В данном примере некоторая сторона может доказать владение секретом, не обладая им на самом деле или, другими словами, может имитировать то лицо, которому на самом деле принадлежит секрет[38]. В настоящее время предложен способ решения проблемы Томасом Бетом[нем.] и Иво Десмедтом[англ.][39].

Обман с несколькими личностями

Если сторона сможет создать несколько секретов, то соответственно она также сможет создать «несколько личностей». Пусть одна из них никогда не будет использоваться. Такая возможность обеспечивает разовую анонимность, что позволяет, например, уйти от ответственности: сторона идентифицирует себя никогда не используемой личностью и совершает преступление. После этого данная «личность» никогда больше не используется. Выследить или сопоставить с кем-либо правонарушителя практически невозможно. Такое злоупотребление предотвращается, если изначально исключить возможность создания второго секрета[40].

Обман, выполненный мафией

Ещё один пример, когда одна сторона выдает себя за другую. Пусть имеется 4 участника: A, B, C, D. Причём B и С сотрудничают между собой («принадлежат одной мафии»). А доказывает свою личность B, а С хочет выдать себя за A перед D. B владеет рестораном, принадлежащим мафии, С — также представитель мафии, D — ювелир. A и D не знают о предстоящем мошенничестве. В момент, когда A готов заплатить за обед и идентифицировать себя перед B, B извещает С о начале мошенничества. Это возможно благодаря наличию радиоканала между ними. В это время С выбирает бриллиант, который хочет купить, и D начинает идентифицировать личность С, который выдает себя за A. С передаёт протокольный вопрос к B, а тот в свою очередь, задаёт его А. Ответ передаётся в обратном порядке. Таким образом А заплатит не только за обед, но и за дорогой бриллиант. Как видно из вышеописанного, существуют определённые требования для подобного мошенничества. Когда А начинает доказывать свою личность перед B, а С — перед D, действия B и С должны быть синхронизированы. Данное злоупотребление тоже разрешимо. Например, если в магазине ювелира будет клетка Фарадея, то «мафиози» не смогут обмениваться сообщениями[41].

Возможные атаки

Атака на основе подобранного шифротекста

Данная атака осуществима при использовании неинтерактивного метода взаимодействия в протоколе нулевого разглашения.

При использовании такого протокола возникает несколько проблем. Во-первых, нужно решить, как нужно осуществлять взаимодействие, и при этом должны быть сохранены фундаментальные особенности самого протокола: полнота, корректность и «нулевое разглашение». Помимо того, что можно достаточно просто доказать нулевое знание другой стороне, если можно прослушивать канал, то есть столкнуться с проблемой гроссмейстера.

Так вот сама атака заключается в следующем: злоумышленник, используя сложность доказательства обладанием знания, включает «атакующий» шифротекст, подсовывая его в кучу других шифротекстов, которые должны быть расшифрованы. Данная атака называется «playback» атака[42].

Возможное решение основано на работе Мони Наора[англ.] и Моти Юнга[англ.], которая заключается в следующем: Доказывающий и Проверяющий шифруют сообщения публичным ключом, это приводит к тому, что описанная выше атака перестает работать[43].

Атака на мультипротокольную систему нулевого знания

Тида и Ямамото предложили такую реализацию протокола нулевого знания, которая значительно повышает скорость доказательств обладанием нулевым знанием при одновременном доказательстве сразу нескольких утверждений и, как следствие, производительность всей системы в целом[44]. Ключевой особенностью является ограничение на количество итераций для доказательства. Как было показано в работе К. Пэна[45], данный алгоритм оказался полностью неустойчивым к следующей атаке. Используя несколько правильно подобранных итераций, злоумышленник может пройти верификацию и нарушить главные положения о протоколе. Причём было показано, что данная атака всегда осуществима на такую систему.

Атака с помощью квантового компьютера

В 2005 году Джоном Ватрусом[англ.] было показано[источник не указан 3311 дней] , что не все системы с нулевым знанием являются устойчивыми к атакам с помощью квантового компьютера. Однако было доказано, что можно всегда построить такую систему, которая будет устойчива против квантовых атак, в предположении, что существуют квантовые системы с «сокрытием обязательств»[46].

См. также

Примечания

  1. Goldreich, 2013.
  2. 1 2 Шнайер, 2002, pp. 87—92.
  3. Goldwasser, Micali, Rackoff, 1989, pp. 186—189.
  4. Santis, Micali, Persiano, 1988.
  5. Blum, Feldman, Micali, 1988.
  6. Шнайер, 2002, pp. 90—91.
  7. 1 2 ForkLog, 2019.
  8. 1 2 3 4 5 Губанова, 2018.
  9. Blum, 1988, p. 1444.
  10. Menezes et al, 1996, pp. 406—408.
  11. Шнайер, 2002, pp. 86—89.
  12. Goldwasser, Micali, Rackoff, 1989, pp. 188—189.
  13. 1 2 Шнайер, 2002, pp. 91—92.
  14. Мао, 2005, pp. 683—696.
  15. Мао, 2005, pp. 684—688.
  16. Sahai, Vadhan, 2003.
  17. Мао, 2005, p. 696.
  18. Мао, 2005, pp. 692—696.
  19. 1 2 3 Goldreich, Micali, Wigderson, 1986.
  20. Goldwasser, Micali, Rackoff, 1989.
  21. Goldwasser, Micali, Rackoff, 1989, pp. 198—205.
  22. Goldwasser, Micali and Rackoff Receive Gödel Prize in 1993. ACM Sigact (1993). Архивировано из оригинала 8 декабря 2015 года.
  23. Goldwasser, Micali Receive ACM Turing Award for Advances in Cryptography. ACM. Дата обращения: 13 марта 2013. Архивировано из оригинала 16 марта 2013 года.
  24. Goldwasser, Micali, 1982.
  25. Мао, 2005, pp. 524—528.
  26. Абелевская премия — 2021 • Андрей Райгородский • Новости науки на «Элементах» • Математика, Наука и общество. Дата обращения: 17 мая 2021. Архивировано 3 июня 2021 года.
  27. Мао, 2005, pp. 678—682.
  28. M.O.Rabin. Digital signatures. — Foundations of Secure Computation. — New York: Academic Press, 1978. — С. 155—168. — ISBN 0122103505. Архивировано 21 ноября 2015 года.
  29. Шнайер, 2002, pp. 87—89.
  30. 1 2 Quisquater et al, 1990.
  31. Шнайер, 2002, pp. 87—88.
  32. 1 2 3 4 Blum, 1988.
  33. Шнайер, 2002, pp. 89—90.
  34. Goldreich, Micali, Wigderson, 1987.
  35. Шнайер, 2002, p. 92.
  36. Fiat, Shamir, 1987.
  37. 1 2 Chain Media, 2017.
  38. Шнайер, 2002, pp. 92—93.
  39. Beth, Desmedt, 1991.
  40. Шнайер, 2002, pp. 93—94.
  41. Шнайер, 2002, p. 93.
  42. Rackoff, Simon, 1992.
  43. Naor, Yung, 1990.
  44. Chida, Yamamoto, 2008.
  45. Peng, 2012.
  46. Watrous, 2006.

Литература

книги и монографии
статьи

Ссылки