Аккумулятор (криптография)

Эта статья может быть слишком технической для понимания большинства читателей . Пожалуйста, помогите улучшить его , чтобы он был понятен неспециалистам , не удаляя технических подробностей. ( Май 2021 г. ) ( Узнайте, как и когда удалить это сообщение )

В криптографии аккумулятор представляет собой одностороннюю членства хеш-функцию . Это позволяет пользователям подтверждать, что потенциальные кандидаты являются членами определенной группы, не раскрывая отдельных членов группы. Эта концепция была официально представлена ​​Джошем Бенало и Майклом де Маре в 1993 году. ^{[1] [2]}

В литературе предложено несколько формальных определений. В этом разделе они перечислены по предлагающим, примерно в хронологическом порядке. ^[2]

Бенало и де Маре определяют одностороннюю хэш-функцию как семейство функций. ${\displaystyle h_{\ell }:X_{\ell }\times Y_{\ell }\to Z_{\ell }}$ которые удовлетворяют следующим трем свойствам: ^{[1] [2]}

1. Для всех ${\displaystyle \ell \in \mathbb {Z} ,x\in X_{\ell },y\in Y_{\ell }}$, можно вычислить ${\displaystyle h_{\ell }(x,y)}$ вовремя ${\displaystyle {\text{poly}}(\ell ,|x|,|y|)}$. (Здесь символ «поли» относится к неопределенному, но фиксированному полиному.)
2. Ни один вероятностный алгоритм с полиномиальным временем не будет при достаточно больших ${\displaystyle \ell }$, сопоставьте входы ${\displaystyle \ell \in \mathbb {Z} ,(x,y)\in X_{\ell }\times Y_{\ell },y'\in Y_{\ell }}$, найди значение ${\displaystyle x'\in X_{\ell }}$ такой, что ${\displaystyle h_{\ell }(x,y)=h_{\ell }(x',y')}$ с более чем ничтожной вероятностью.
3. Для всех ${\displaystyle \ell \in \mathbb {Z} ,x\in X_{\ell },y_{1},y_{2}\in Y_{\ell }}$, у одного есть ${\displaystyle h(h(x,y_{1}),y_{2})=h(h(x,y_{2}),y_{1})}$. (Функция, удовлетворяющая этому свойству, называется квазикоммутативной .)

(С помощью первых двух свойств восстанавливается нормальное определение криптографической хеш-функции.)

С помощью такой функции можно определить «накопленный хэш» набора. ${\displaystyle \{y_{1},\dots ,y_{m}\}}$ и начальное значение ${\displaystyle x}$ относительно значения ${\displaystyle z}$ быть ${\displaystyle h(h(\cdots h(h(x,y_{1}),y_{2}),\dots ,y_{m-1}),y_{m})}$. Результат не зависит от порядка элементов ${\displaystyle y_{1},y_{2},...,y_{n}}$потому что ${\displaystyle h}$ оно квазикоммутативно. ^{[1] [2]}

Если ${\displaystyle y_{1},y_{2},...,y_{n}}$ принадлежат некоторым пользователям криптосистемы, то каждый может вычислить накопленное значение ${\displaystyle z.}$ Также пользователь ${\displaystyle y_{i}}$ может вычислить частичное накопленное значение ${\displaystyle z_{i}}$ из ${\displaystyle (y_{1},...,y_{i-1},y_{i+1},...,y_{n})}$. Затем, ${\displaystyle h(z_{i},y_{i})=z.}$ Итак, ${\displaystyle i-}$пользователь может предоставить пару ${\displaystyle (z_{i},y_{i})}$ в любую другую часть, чтобы аутентифицировать ${\displaystyle y_{i}}$.

Базовая функциональность квазикоммутативной хеш-функции не сразу вытекает из определения. Чтобы исправить это, Барич и Пфицманн дали несколько более общее определение, которое представляет собой понятие аккумуляторной схемы , состоящей из следующих компонентов: ^{[2] [3]}

1. Gen: вероятностный алгоритм, принимающий два параметра. ${\displaystyle \lambda ,N}$ (параметр безопасности и количество значений, которые можно безопасно накапливать соответственно) и возвращает соответствующий ключ ${\displaystyle k}$.
2. Eval: вероятностный алгоритм, принимающий ключ. ${\displaystyle k}$ и накопительный набор ${\displaystyle Y:=\{y_{1},\dots ,y_{N'}\}}$, где ${\displaystyle N'\leq N}$и возвращая накопленное значение ${\displaystyle z}$ и вспомогательная информация ${\displaystyle aux}$. Мы настаиваем на том, что Eval должен быть детерминированным для ${\displaystyle z}$.
3. Острословие: вероятностный алгоритм, принимающий ключ. ${\displaystyle k}$, значение ${\displaystyle y}$, накопленное значение ${\displaystyle z}$ из какого-то набора ${\displaystyle Y}$и некоторая вспомогательная информация ${\displaystyle aux}$и возвращает либо свидетель ${\displaystyle w}$ или специальный символ ${\displaystyle \bot }$. Мы настаиваем на том, что если ${\displaystyle y\in L}$, что Вит возвращает свидетеля, и что Вит в противном случае возвращает ${\displaystyle \bot }$.
4. Версия: детерминированный алгоритм, принимающий ключ. ${\displaystyle k}$, значение ${\displaystyle y}$, свидетель ${\displaystyle w}$, и накопленное значение ${\displaystyle z}$и возвращает значение Да/Нет. Мы настаиваем на том, что если ${\displaystyle w}$ был сгенерирован в результате запуска Wit в кортеже ${\displaystyle (k,y,z,aux)}$, где ${\displaystyle z,aux}$ были созданы в результате запуска Eval на некоторых ${\displaystyle k,L}$, и где ${\displaystyle L}$ был выбран произвольно и ${\displaystyle k}$ был выбран из числа работающих Gen, поэтому Вер всегда возвращал Yes.

Относительно легко увидеть, что можно определить схему аккумулятора из любой квазикоммутативной хеш-функции, используя метод, показанный выше. ^[2]

Можно заметить, что для многих приложений набор накопленных значений будет меняться много раз. Наивно, можно было бы каждый раз полностью переделывать расчет аккумулятора; однако это может быть неэффективно, особенно если наш набор очень велик, а изменение очень мало. Чтобы формализовать эту интуицию, Камениш и Лысянская определили динамическую аккумуляторную схему , состоящую из 4 компонентов обычной аккумуляторной схемы плюс еще три: ^{[2] [4]}

1. Добавить: (возможно, вероятностный) алгоритм, принимающий ключ. ${\displaystyle k}$, накопленное значение ${\displaystyle z}$и еще одно значение для накопления ${\displaystyle y}$и возвращает новое накопленное значение ${\displaystyle z'}$ и вспомогательная информация ${\displaystyle aux}$. Мы настаиваем на том, что если ${\displaystyle z}$ был сгенерирован путем накопления некоторого набора ${\displaystyle L}$, затем ${\displaystyle z'}$ должно быть так, как если бы оно было сгенерировано путем накопления набора ${\displaystyle L\cup \{y\}}$.
2. Del: (возможно, вероятностный) алгоритм, принимающий ключ. ${\displaystyle k}$, накопленное значение ${\displaystyle z}$и еще одно значение для накопления ${\displaystyle y}$и возвращает новое накопленное значение ${\displaystyle z'}$ и вспомогательная информация ${\displaystyle aux}$. Мы настаиваем на том, что если ${\displaystyle z}$ был сгенерирован путем накопления некоторого набора ${\displaystyle L}$, затем ${\displaystyle z'}$ должно быть так, как если бы оно было сгенерировано путем накопления набора ${\displaystyle L\backslash \{y\}}$.
3. Upd: детерминированный алгоритм, принимающий ключ ${\displaystyle k}$, значение ${\displaystyle y}$, свидетель ${\displaystyle w}$, накопленное значение ${\displaystyle z}$и вспомогательная информация ${\displaystyle aux}$и возвращает нового свидетеля ${\displaystyle w'}$. Мы настаиваем на том, что если ${\displaystyle k}$ был создан Геном, ${\displaystyle y}$ является частью набора ${\displaystyle L}$, ${\displaystyle w}$ является свидетелем ${\displaystyle y}$ будучи членом ${\displaystyle L}$, и ${\displaystyle z}$ представляет собой накопленную стоимость для ${\displaystyle L}$, и ${\displaystyle aux}$ был создан путем запуска Add или Del, затем ${\displaystyle w'}$ будет свидетелем ${\displaystyle y}$ быть членом нового набора.

Фацио и Николози отмечают, что, поскольку Add, Del и Upd можно моделировать путем повторного запуска Eval и Wit, это определение не добавляет каких-либо принципиально новых функций. ^[2]

Одним из примеров является умножение больших простых чисел . Это криптографический аккумулятор, поскольку для факторизации составного числа требуется суперполиномиальное время (по крайней мере, согласно гипотезе), но требуется лишь небольшое количество времени (полиномиальное по размеру), чтобы разделить простое число на целое число и проверить, является ли оно один из факторов и/или исключить его. Новые члены могут быть добавлены или вычтены из набора факторов путем умножения или вычитания числа соответственно. В этой системе два аккумулятора, которые накопили одно общее простое число, могут тривиально обнаружить его, вычислив их НОД, даже без предварительного знания простого числа (что в противном случае потребовало бы для обнаружения простого факторизации аккумулятора). ^{[ нужна ссылка ]}

В более практичных аккумуляторах используется квазикоммутативная хеш-функция, поэтому размер аккумулятора не увеличивается с увеличением числа членов. Например, Бенало и де Маре предлагают криптографический аккумулятор, вдохновленный RSA : квазикоммутативную функцию. ${\displaystyle h(x,y):=x^{y}{\pmod {n}}}$ для некоторого составного числа ${\displaystyle n}$. Они рекомендуют выбирать ${\displaystyle n}$ быть жестким целым числом (т.е. продуктом двух безопасных простых чисел ). ^[1] Барич и Пфицманн предложили вариант, в котором ${\displaystyle y}$ было ограничено, чтобы быть простым и не более ${\displaystyle n/4}$ (эта константа очень близка к ${\displaystyle \phi (n)}$, но не пропускает информацию о простой факторизации ${\displaystyle n}$). ^{[2] [3]}

Дэвид Наккеш заметил в 1993 году, что ${\displaystyle e_{n,c}(x,y):=x^{y}c^{y-1}{\pmod {n}}}$ квазикоммутативен для всех констант ${\displaystyle c,n}$, обобщая предыдущий криптографический аккумулятор на основе RSA. Наккеш также отметил, что полиномы Диксона квазикоммутативны по степени, но неизвестно, является ли это семейство функций односторонним. ^[1]

В 1996 году Ниберг сконструировал аккумулятор, который является теоретически безопасным с точки зрения теории случайных чисел в модели оракула . Выбор некоторого верхнего предела ${\displaystyle N=2^{d}}$ количества предметов, которые можно надежно накопить и ${\displaystyle \lambda }$ параметр безопасности, определите константу ${\displaystyle \ell :\approx {\frac {e}{\log _{2}(e)}}\lambda N\log _{2}(N)}$ быть целым числом, кратным ${\displaystyle d}$ (чтобы можно было написать ${\displaystyle \ell =rd}$) и пусть ${\displaystyle H:\{0,1\}^{*}\to \{0,1\}^{\ell }}$ быть некоторой криптографически безопасной хэш-функцией . Выберите ключ ${\displaystyle k}$ как случайный ${\displaystyle r}$-битовая строка битов. Затем для накопления по схеме Ниберга используйте квазикоммутативную хеш-функцию ${\displaystyle h(x,y):=x\odot \alpha _{r}(H(y))}$, где ${\displaystyle \odot }$ это побитовая операция и ${\displaystyle \alpha _{r}:\{0,1\}^{\ell }\to \{0,1\}^{r}}$ это функция, которая интерпретирует свои входные данные как последовательность ${\displaystyle d}$-битовые битовые строки длины ${\displaystyle r}$, заменяет каждую битовую строку, состоящую из всех нулей, одним 0, а все остальные битовые строки - на 1 и выводит результат. ^{[2] [5]}

Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( май 2021 г. )

Хабер и Сторнетта показали в 1990 году, что аккумуляторы можно использовать для временной отметки документов посредством криптографической цепочки. (Эта концепция предвосхищает современное понятие криптографического блокчейна .) ^{[1] [2] [6]} Бенало и де Маре в 1991 году предложили альтернативную схему, основанную на разделении времени на раунды. ^{[1] [7]}

Бенало и де Маре показали, что аккумуляторы можно использовать для того, чтобы большая группа людей могла узнать друг друга позже (что Фацио и Николози называют ситуацией «депонирования удостоверения личности»). Каждый человек выбирает ${\displaystyle y}$ представляющие свою личность, и группа коллективно выбирает общественный аккумулятор ${\displaystyle h}$ и секрет ${\displaystyle x}$. Затем группа публикует или сохраняет хэш-функцию и накопленный хэш всех идентификаторов группы относительно секрета. ${\displaystyle x}$ и общественный аккумулятор; одновременно каждый член группы сохраняет как свое значение идентичности, так и значение своей идентичности. ${\displaystyle y}$ и накопленный хэш всех идентификаторов группы, кроме участника . (Если большая группа людей не доверяет друг другу или если аккумулятор имеет криптографический люк, как в случае с аккумулятором на основе RSA, тогда они могут вычислить накопленные хэши путем безопасных многосторонних вычислений .) Чтобы проверить, что заявленный участник действительно позже принадлежал к группе, он представляет свою личность и личный накопленный хэш (или его доказательство с нулевым разглашением ); накапливая личность заявленного члена и сверяя ее с накопленным хешем всей группы, любой может проверить члена группы. ^{[1] [2]} Благодаря динамической накопительной схеме впоследствии можно легко добавлять или удалять участников. ^{[2] [4]}

Криптографические аккумуляторы также можно использовать для создания других криптографически безопасных структур данных :

• Барич и Пфицманн показывают, что можно создавать отказоустойчивые сигнатуры только с постоянным пространством, используя свойство сжатия. ^{[2] [3]}
• Гудрич и др. создал эффективный динамический аутентифицированный словарь, не учитывающий размер, (который позволяет ненадежным каталогам давать криптографически проверяемые ответы на запросы членства). ^{[2] [8]}
• Папаманту и др. построил криптографически безопасную хэш-таблицу , функциональность которой может быть проверена при удаленном хранении. ^[9]

Эта концепция получила новый интерес благодаря Zerocoin дополнению к биткойнам , которое использует криптографические аккумуляторы для устранения отслеживаемых связей в блокчейне биткойнов, что сделает транзакции анонимными и более конфиденциальными. ^{[10] [11] [12]} Более конкретно, чтобы отчеканить (создать) Zerocoin, необходимо опубликовать монету и криптографическое обязательство по серийному номеру с секретным случайным значением (которое примут все пользователи, если оно правильно отформатировано); Чтобы потратить (вернуть) Zerocoin, нужно опубликовать серийный номер Zerocoin вместе с неинтерактивным доказательством с нулевым разглашением того, что им известно о каком-то опубликованном обязательстве, которое относится к заявленному серийному номеру, а затем заявить о своей монете (которую все пользователи примут как до тех пор, пока НИЗКП действителен и серийный номер не появился ранее). ^{[10] [11]} С момента первоначального предложения Zerocoin на смену ему пришел протокол Zerocash , и в настоящее время он развивается в Zcash , полноценный протокол. ^{[ ласковые слова ]} цифровая валюта. ^{[13] [14]}

• Криптография
• Доказательство с нулевым разглашением