Протокол Фиата — Шамира

Протокол Фиата — Шамира — это один из наиболее известных протоколов идентификации с нулевым разглашением (Zero-knowledge protocol). Протокол был предложен Амосом Фиатом (Шаблон:Lang-en) и Ади Шамиром (Шаблон:Lang-en)

Пусть А знает некоторый секрет s. Необходимо доказать знание этого секрета некоторой стороне В без разглашения какой-либо секретной информации. Стойкость протокола основывается на сложности извлечения квадратного корня по модулю достаточно большого составного числа n, факторизация которого неизвестна.

A доказывает B знание s в течение t раундов. Раунд называют также аккредитацией. Каждая аккредитация состоит из 3х этапов.

• Доверенный центр Т выбирает и публикует модуль ${\displaystyle n=p*q}$, где p, q — простые и держатся в секрете.
• Каждый претендент A выбирает s взаимно-простое с n, где ${\displaystyle s\in [1,n-1]}$. Затем вычисляется V${\displaystyle =s^2(\mathrm{mod}n)}$. V регистрируется T в качестве открытого ключа A

• A${\displaystyle \Rightarrow }$B : ${\displaystyle x=r^2(\mathrm{mod}n)}$
• A${\displaystyle \Leftarrow }$B : ${\displaystyle e\in 0,1}$
• A${\displaystyle \Rightarrow }$B : ${\displaystyle y=r*s^e(\mathrm{mod}n)}$

Следующие действия последовательно и независимо выполняются t раз. В считает знание доказанным, если все t раундов прошли успешно.

• А выбирает случайное r , такое, что ${\displaystyle r\in [1,n-1]}$ и отсылает ${\displaystyle x=r^2(\mathrm{mod}n)}$ стороне B (доказательство)
• B случайно выбирает бит e (e=0 или е=1) и отсылает его A (вызов)
• А вычисляет у и отправляет его обратно к B. Если e=0, то ${\displaystyle y=r}$, иначе ${\displaystyle y=r*s(\mathrm{mod}n)}$ (ответ)
• Если y=0, то B отвергает доказательство или, другими словами, А не удалось доказать знание s. В противном случае, сторона B проверяет, действительно ли ${\displaystyle y^2=x*v^e(\mathrm{mod}n)}$ и, если это так, то происходит переход к следующему раунду протокола.

Выбор е из множества {0,1} предполагает, что если сторона А действительно знает секрет, то она всегда сможет правильно ответить, вне зависимости от выбранного e. Допустим, что А хочет обмануть B. В этом случае А, может отреагировать только на конкретное значение e. Например, если А знает, что получит е=0, то А следует действовать строго по инструкции и В примет ответ. В случае, если А знает, что получит е=1, то А выбирает случайное r и отсылает ${\displaystyle x=r^2/v}$ на сторону В, в результате получаем нам нужное ${\displaystyle y=r}$. Проблема заключается в том, что А изначально не знает какое e он получит и поэтому не может со 100 % вероятностью выслать на сторону В нужные для обмана r и х (${\displaystyle x=r^2}$ при e=0 и ${\displaystyle x=r^2/v}$ при e=1). Поэтому вероятность обмана в одном раунде составляет 50 %. Чтобы снизить вероятность жульничества (она равна ${\displaystyle 1/2^t)}$) t выбирают достаточно большим (t=20, t=40). Таким образом, B удостоверяется в знании А тогда и только тогда, когда все t раундов прошли успешно.

• Пусть доверенный центр выбрал простые p=683 и q=811, тогда n=683*811=553913. А выбирает s=43215.

Откуда ${\displaystyle v=43215^2(\mathrm{mod}553913)=1867536225(\mathrm{mod}553913)=295502}$

• A выбирает r=38177 и считает ${\displaystyle x=38177^2(\mathrm{mod}553913)=1457483329(\mathrm{mod}553913)=138226}$
• Если B отправил e=0, то A возвращает y=38177. Иначе, A возвращает ${\displaystyle y=38177*43215(\mathrm{mod}553913)=1649819055(\mathrm{mod}553913)=266141}$
• Проверка B: ${\displaystyle y^2\equiv x*v^e(\mathrm{mod}n)}$

Если e было равно 0, то ${\displaystyle y^2=38177^2(\mathrm{mod}553913)=1457483329=138266}$ Подтверждено.

Иначе, ${\displaystyle y^2=266141^2(\mathrm{mod}553913)=70831031881(\mathrm{mod}553913)=514832}$

и ${\displaystyle x*v=138226*295502(\mathrm{mod}553913)=40846059452(\mathrm{mod}553913)=514832}$ Подтверждено.

• Шаблон:Книга
• Шаблон:Книга:Шнайер Б.: Прикладная криптография