Zero Knowledge Proof

A nulla tudásigazolás (információ) a kriptográfiában ( eng.  Zero-knowledge proof ) egy interaktív kriptográfiai protokoll , amely lehetővé teszi, hogy az egyik interakcióban részt vevő fél ("The verifier" - ellenőrző) ellenőrizze bármely (általában matematikai) állítás érvényességét anélkül ennek birtoklása nem más információ a második féltől („A bizonyító” – bizonyítva). Sőt, az utolsó feltételre is szükség van, mivel általában triviális annak bizonyítása, hogy egy fél rendelkezik bizonyos információkkal , ha joga van egyszerűen nyilvánosságra hozni. Az egész nehézséget annak bizonyítása jelenti, hogy az egyik fél információval rendelkezik anélkül, hogy felfedné annak tartalmát. A jegyzőkönyvnek figyelembe kell vennie, hogy a bizonyító csak akkor tudja meggyőzni a hitelesítőt , ha az állítás valóban beigazolódik. Ellenkező esetben ez lehetetlen, vagy rendkívül valószínűtlen a számítási bonyolultság miatt .

A protokoll interaktivitása a felek közötti közvetlen információcserére vonatkozik [1] [2] .

Így a vizsgált protokoll interaktív bevitelt igényel a hitelesítőtől , általában feladat vagy probléma formájában. A jogi bizonyító (a bizonyíték birtokában ) célja ebben a jegyzőkönyvben az, hogy meggyőzze az ellenőrzőt arról, hogy van megoldása, anélkül, hogy a „titkos” bizonyíték egy részét is feladná („nulla tudás”). A hitelesítő célja annak biztosítása, hogy a bizonyító fél "nem hazudik" [2] [3] .

Kifejlesztettek olyan nulla tudás-ellenőrző protokollokat [4] [5] is, amelyek nem igényelnek interaktív bevitelt, és amelyek bizonyítása jellemzően egy ideális kriptográfiai hash függvény feltételezésére támaszkodik , vagyis azt feltételezik, hogy egy egy kimenete -way hash -függvény nem jósolható meg, ha a bemenete nem ismert [6] .

A nulla tudásalapú bizonyítást több blokkláncban alkalmazzák, emellett az információ meglétének ellenőrzésére szolgál anélkül, hogy magát az információt továbbítanák [7] [8] .

Definíció

A zéró tudás bizonyítása egy interaktív valószínűségi protokoll , amely lehetővé teszi annak bizonyítását, hogy a bizonyított állítás igaz, és a Prover ismeri ezt a bizonyítást, ugyanakkor magáról az állítás bizonyításáról nem ad információt [9] . Ennek a kriptográfiai protokollnak három tulajdonsággal kell rendelkeznie:

1. Teljesség : Ha az állítás valóban igaz, akkor a bizonyító az ellenőrzőt bármilyen előre meghatározott pontossággal meggyőzi erről.
2. Helyesség : ha az állítás hamis, akkor a Prover nem tudja meggyőzni a Hitelesítőt, kivéve ha elhanyagolható valószínűséggel , még "becstelen" is .
3. Nulla tudás : ha az állítás igaz, akkor bármely, még a "becstelen" ellenőrző sem fog mást tudni, csak azt a tényt, hogy az állítás igaz [10] .

A zéró tudású bizonyítások a fogalom matematikai értelmében nem bizonyítások , mert van némi esély arra, hogy a bizonyítót meg lehet csalni, hogy meggyőzze a hitelesítőt egy hamis állításról ( helyességi hiba ). Más szóval, a nulla tudású bizonyítások valószínűségi bizonyítások, nem determinisztikusak . Vannak azonban módszerek a helyességi hiba elhanyagolható értékre való csökkentésére [11] [12] .

Különféle típusú nulla tudás

A nulla tudásalapú bizonyítási protokoll futtatása Elfogadás/Elutasítás eredményt ad , és a bizonyítás átiratát is generálja . A zéró tudás különféle változatai határozhatók meg úgy, hogy magát a fogalmat formalizáljuk , és a különböző modellek információinak eloszlását összehasonlítjuk a protokollal a következő módokon [13] [14] :

• Ideális nulla tudás protokoll  , ha a szóban forgó modell bizonyító átiratában a valószínűségi változók egyenletes eloszlásúak , és nem függenek a közös bemenetektől [15] . Jó példa erre Peggy és Victor példája a barlangban .
• A statisztikailag nulla tudás [16] azt jelenti, hogy az eloszlás nem feltétlenül azonos, de legalább statisztikailag közel , a statisztikai különbség [17] jelentéktelen függvénye .
• Egy ilyen modellt számításilag nulla tudásnak nevezünk , ha jelenleg nincs olyan hatékony algoritmus, amely meg tudná különböztetni az értékek eloszlását az információeloszlástól egy ideális protokollban [ 18] .

Fejlesztési előzmények

1986- ban Silvio Micali , Oded Goldreich és Wigderson leírták a nulla tudásalapú bizonyítékok használatát olyan kriptográfiai protokollok létrehozására , amelyeknek biztosítaniuk kell a felek "tisztességes viselkedését" a titkosság megőrzése mellett [19] .

A nulla tudásalapú bizonyítást a következő tudósok alkották meg és fejlesztették ki: Shafi Goldwasser , Silvio Micali és Charles Reckoff, és ők publikálták a "Knowledge and Complexity of an Interactive System with Proof" [20] című tanulmányában 1989 -ben . Ez a munka az interaktív bizonyítási rendszerek hierarchiáját mutatta be, amely azon bizonyítási információ mennyiségén alapul, amelyet át kell adni a Prover-től a Verifier-nek. Javaslatot tettek egy konkrétan meghatározott zéró tudás bizonyítására, egy négyzetes maradék modulo m első bizonyítására is [21] . Ezt követően munkájukat kiegészítve 1993 - ban elnyerték az első Gödel-díjat [22] .

Ezenkívül a Goldwasser-Micali titkosítási rendszer , amely a figyelembe vett interaktív protokollon alapul, amely egy nyilvános kulcsú kriptográfiai rendszer , amelyet Shafi Goldwasser és Silvio Micali fejlesztett ki 1982 -ben, az első olyan nyilvános kulcsú valószínűségi titkosítási séma , amely a szabványos kriptográfiai feltételezések mellett bizonyíthatóan biztonságos . . A javasolt rendszert a zsűri nagyra értékelte: Goldowasser és Micali a 2012 -es Turing-díj kitüntetettjei lettek [23] , egy valószínűségi titkosítással rendelkező kriptorendszer létrehozásáért, amelyet a jelölésben innovatív alkotásként jegyeztek meg, amely jelentős hatással volt a modern világra. kriptográfia . A titkosítási rendszer azonban nem hatékony, mivel az általa generált titkosított szöveg több százszor hosszabb lehet, mint a titkosított üzenet .

A kriptorendszer biztonsági tulajdonságainak bizonyítására Goldwasser és Micali bevezette a szemantikai biztonság fogalmát [24] [25] .

2021-ben Lovas László és Avi Wigderson Abel-díjat kapott az elméleti számítástechnika területén végzett munkájukért , amelyek nagymértékben hozzájárultak a számítási komplexitás-elmélet, a gráfelmélet, az elosztott számítási módszerek és a nulla tudásalapú bizonyítások koncepciójának fejlesztéséhez . 26] .

A nulla tudású bizonyítások általános szerkezete

Minden forduló, vagy bizonyítási akkreditáció három szakaszból áll. Sematikusan a következőképpen ábrázolhatók:

•  : bizonyíték (tanú)
•  : kihívás
•  : válasz

Először A kiválaszt egy elemet egy előre meghatározott nem üres halmazból , amely a titkos- magán kulcsa lesz . Ezen elem alapján a rendszer kiszámítja a nyilvános kulcsot , majd közzéteszi . A titok ismerete meghatározza azt a kérdéssort, amelyre A mindig helyes választ tudja adni. Ezután A kiválaszt egy véletlenszerű elemet a halmazból, bizonyos szabályok szerint (az adott algoritmustól függően) kiszámítja a bizonyítást, majd elküldi B -nek . Ezt követően B választ egy kérdést az egész halmazból, és megkéri A -t, hogy válaszoljon rá (kihívás). A kérdéstől függően A választ küld B - nek [27] . A kapott B információ elegendő annak ellenőrzésére, hogy valóban A birtokolja-e a titkot. A köröket tetszőleges számú alkalommal meg lehet ismételni, amíg annak a valószínűsége , hogy A „kitalálja” a válaszokat, elég kicsi lesz. Ezt a megközelítést "cut-and-choose"-nek is nevezik, először Michael Rabin [28] [29] használta a kriptográfiában .

Példák

Zero Knowledge Cave

Ezt a példát először Jean-Jacques Kiskater „Hogyan magyarázd el a zéró tudás-ellenőrzési protokollt a gyerekeidnek” című jól ismert zéró tudásellenőrző dokumentumban.[30] .

Ebben az esetben Peggy a Prover, a Victor pedig az ellenőrző szerepét tölti be (az angol irodalomban általában a felek Peggy és Victor nevét használják (a "Prover" és a "Verifier" szóból). Peggy ismeri a varázsszót ("kulcs"). "), bemenet, amely lehetővé teszi számára, hogy kinyitja az ajtót C és D között. Victor tudni akarja, hogy Peggy valóban tudja-e a jelszót, míg Peggy nem akarja magát a jelszót kiadni. A barlangnak kerek alakja van, ahogy az a ábra.A probléma megoldása érdekében a következőképpen járnak el: Amíg Victor az A pontban van, Peggy az ajtóhoz megy, majd miután eltűnt a látómezőből, Victor a villához, azaz a B ponthoz megy, és kiabál onnan: "Peggynek jobbra kell kilépnie" vagy "Peggynek balra kell kilépnie " Minden alkalommal azt kapjuk, hogy annak a valószínűsége, hogy Peggy nem tudja a jelszót, egyenlő 50%.Ha k -szer megismételjük a folyamatot, akkor a valószínűség a következő lesz . 20 ismétlés esetén ez a valószínűség 10 −6 nagyságrendű lesz , ami elegendő a méltányossághoz . Ezek a feltételezések, hogy Peggy ismeri a kulcsot [30] .

Ha Victor mindent rögzít, ami a kamerán történik, akkor a kapott videó nem lesz bizonyíték a másik fél számára. Hiszen előre megegyezhettek volna, hogy Peggy honnan jön. Ennek megfelelően képes lesz megtalálni a kiutat anélkül, hogy ismerné magát a kulcsot. Van egy másik út: Victor egyszerűen kivágja Peggy összes sikertelen próbálkozását. A fenti lépések bizonyítják, hogy a barlangi példa kielégíti a teljesség , a helyesség és a nulla tudás tulajdonságait [31] .

Hamilton-ciklus nagy gráfokhoz

Ezt a példát Manuel Blum találta ki, és 1986 -ban írt cikkében [32] . Nevezzük Victornak a tesztelőt és Peggynek. Tegyük fel, hogy Peggy ismer egy Hamilton-ciklust egy nagy G gráfban . Victor ismeri a G gráfot , de nem ismeri a benne lévő Hamilton-ciklust. Peggy be akarja bizonyítani Victornak, hogy ismeri a Hamilton-ciklust, anélkül, hogy felfedné magát a ciklust vagy bármilyen információt róla (lehet, hogy Victor információt akar vásárolni Peggytől erről a Hamilton-ciklusról, de előtte meg akar bizonyosodni arról, hogy Peggy valóban ismeri őt ).

Ehhez Victor és Peggy közösen hajtják végre a protokoll több körét :

• Először Peggy létrehoz egy H gráfot , amely izomorf G -vel . Egy Hamilton-ciklus átalakítása izomorf gráfok  között triviális feladat , így ha Peggy ismeri a Hamilton-ciklust G -ben, akkor ismeri a Hamilton-ciklust is a generált H gráfban .
• Peggy átadja H grófot Victornak.
• Victor kiválaszt egy véletlenszerű b {0, 1} bitet.
  • Ha b = 0, akkor Victor arra kéri Peggyt, hogy bizonyítsa be, hogy G és H izomorf , vagyis adjon egy az egyhez egyezést a két gráf csúcsai között. Victor ellenőrizheti, hogy G és H valóban izomorf-e.
  • Ha b = 1, akkor Victor megkéri Peggyt, hogy keressen egy Hamilton-ciklust H -ben . A gráfizomorfizmus-probléma esetében jelenleg sem az osztályba való tartozása , sem a -teljessége nem bizonyított , ezért itt feltételezzük, hogy lehetetlen Hamilton-ciklust kiszámítani egy izomorf G -ben a H -beli Hamilton-ciklusból [32]. .

Victor minden körben választ egy új véletlenszerű bitet , amelyet Peggy nem ismer, így ahhoz, hogy Peggy mindkét kérdésre válaszoljon, H -nak valóban izomorfnak kell lennie G -vel , és Peggy-nek ismernie kell a Hamilton-ciklust H -ban (és így G -ben is ). Ezért Victor kellő számú kör után biztos lehet benne, hogy Peggy valóban ismeri a Hamilton-ciklust G -ben . Másrészt Peggy nem árul el semmilyen információt a G -beli Hamilton-ciklusról . Sőt, Victornak nehéz lesz bebizonyítania másnak, hogy ő vagy Peggy ismeri a Hamilton-ciklust G -ben [32] .

Tegyük fel, hogy Peggy nem ismeri a Hamilton-ciklust G -ben, de be akarja csalni Victort. Ekkor Peggynek szüksége van egy nem izomorf G - gráfra G′ , amelyben még ismeri a Hamilton-ciklust . Minden körben átadhatja Victornak H′-t  – G -vel izomorf , vagy H -t – G  -vel izomorf . Ha Victor a gráfok izomorfizmusának bizonyítását kéri, és H -t adták neki , akkor a megtévesztés nem derül ki. Hasonlóképpen, ha egy Hamilton-ciklust kér, és H′ -t kapott . Ebben az esetben annak a valószínűsége, hogy Peggy k kör után mégis megtéveszti Victort, egyenlő , ami kisebb lehet bármely előre meghatározott értéknél megfelelő számú kör mellett [32] .

Tegyük fel, hogy Victor nem ismeri fel a Hamilton-ciklust, de be akarja bizonyítani Bobnak, hogy Peggy ismeri. Ha például Victor videóra veszi a protokoll összes menetét, Bob aligha hinné el neki. Bob feltételezheti, hogy Victor és Peggy kahooban vannak, és Victor minden körben elmondja Peggynek, hogy véletlenszerűen választott bitet, hogy Peggy átadhassa neki H -t az izomorfizmusteszteknél és H′-t a Hamiltoni ciklusteszteknél. Így Peggy részvétele nélkül csak úgy lehet bizonyítani, hogy ismeri a Hamilton-ciklust, ha bebizonyítjuk, hogy a protokoll minden fordulójában valóban véletlenszerű biteket választottak [33] .

Alkalmazás a gyakorlatban

Oded Goldreich , Silvio Micali és Avi Wigderson [ 19] bizonyítja azt a tételt, amely szerint bármely NP-teljes probléma esetén létezik nulla tudású bizonyítás, míg az egyirányú függvények használatával korrekt kriptográfiai protokollokat lehet létrehozni. 34] . Vagyis bármely szkeptikusnak bebizonyíthatja, hogy rendelkezik valamilyen matematikai tétel bizonyításával, anélkül, hogy magát a bizonyítást felfedné. Ez azt is mutatja, hogyan használható ez a protokoll gyakorlati célokra [13] .

A következő módszer, ahol a nulla tudásszintű bizonyítást alkalmazhatjuk, az identitás-meghatározás, melynek során Peggy privát kulcsa az úgynevezett „identitásjelző”, és a szóban forgó protokoll segítségével igazolható a személyazonossága. Vagyis különböző fizikai eszközök és adatok (szimbólumok), például útlevél, különféle személyi kép (retina, ujjak, arc stb.) használata nélkül is igazolhatja személyazonosságát, de alapvetően más módon [35] . Ennek azonban számos hátránya van, amelyek segítségével megkerülheti a védelmet. A fent leírt módszert először Amos Fiat , Adi Shamir és Uriel Feige javasolta 1987 - ben [36] .

A nulla tudásalapú igazolások is használhatók bizalmas számítási protokollokban , amelyek lehetővé teszik több résztvevő számára, hogy ellenőrizze, hogy a másik fél becsületesen követi-e a protokollt [19] .

A nulla tudásalapú igazolásokat a Zcash , a Byzantium ( az Ethereum egyik villája), a Zerocoin és mások kriptovaluták blokkláncaiban használják . Létrehozták a nulla tudásalapú protokollok megvalósítását, különösen a QED-IT szoftverfejlesztő készletet. A holland ING bank létrehozta a protokoll saját verzióját, a ZKRP-t ( Zero-Knowledge Range Proof ), és ennek segítségével igazolta, hogy az ügyfélnek elegendő fizetése van anélkül, hogy felfedné a valódi méretét [7] [8] .

A legelterjedtebb protokollok a zk-SNARK-ok, ennek az osztálynak a protokolljait használják a ZCash, Zcoin és az Ethereum blokklánc Metropolis protokollja [37] [8] .

A zk-SNARK rövidítés a   zéró tudás tömör, nem interaktív argumentumát jelenti [37] [8] . A zk-SNARK algoritmus egy kulcsgenerátorból, egy bebizonyítóból és egy ellenőrzőből áll, szükségszerűen támogatja a nulla tudást, rövid (rövid időn belül számítva), nem interaktív (az ellenőrző csak egy üzenetet kap a bizonyítótól) [8] .

Visszaélés

Számos módszert javasoltak a nulla tudásszinttel való visszaélésre, amelyek kihasználják a protokoll bizonyos gyengeségeit:

Nagymester probléma

Ebben a példában néhány fél bizonyítani tudja a titok birtoklását anélkül, hogy ténylegesen birtokában lenne, vagy más szóval, utánozni tudja azt a személyt, aki a titok tényleges tulajdonosa [38] . Jelenleg Thomas Beth és Ivo Desmedt javasolta a probléma megoldásának módját [39] .

Megtévesztés több identitással

Ha egy párt több titkot is létrehozhat, akkor ennek megfelelően "több identitást" is létrehozhat. Soha ne használjuk egyiküket. Ez a lehetőség egyszeri névtelenséget biztosít, ami lehetővé teszi például a felelősség kibújását: a fél soha nem használt személyként azonosítja magát, és bűncselekményt követ el. Ezt követően ezt az "identitást" soha többé nem használják. Szinte lehetetlen az elkövetőt felkutatni vagy bárkivel összehozni. Az ilyen visszaélések megakadályozhatók, ha a második titok létrehozásának lehetőségét eleve kizárják [40] .

A maffia által végrehajtott megtévesztés

Újabb példa arra, hogy az egyik oldal úgy tesz, mintha a másik lenne. Legyen 4 résztvevő: A , B , C , D . Sőt , B és C együttműködnek egymással („ugyanahhoz a maffiához tartoznak”). A személyazonosságát igazolja B -nek, C pedig A-t akarja személyesíteni D előtt . B -nek egy maffia tulajdonában lévő étterem, C  szintén a maffia képviselője, D  ékszerész. A és D nem tudnak a közelgő csalásról. Abban a pillanatban , amikor A kész fizetni a vacsoráért, és azonosítani magát B -vel , B értesíti C -t a csalás kezdetéről. Ez a köztük lévő rádiócsatorna jelenléte miatt lehetséges. Ekkor C kiválasztja a megvásárolni kívánt gyémántot, D pedig elkezdi azonosítani C személyét , aki A -t kiadja. C átadja a protokollkérdést B -nek, aki viszont felteszi A -nak. A válasz továbbítása fordított sorrendben történik. Így A nemcsak a vacsoráért fizet, hanem a drága gyémántért is. Amint a fentiekből kitűnik, az ilyen csalásnak vannak bizonyos követelményei. Amikor A elkezdi igazolni személyazonosságát B -nek, C  pedig D -nek , B és C cselekedeteit szinkronizálni kell. Ez a visszaélés is megengedett. Például, ha van egy Faraday-ketrec egy ékszerüzletben , akkor a "maffiózók" nem tudnak üzenetet váltani [41] .

Lehetséges támadások

Választott titkosított szöveges támadás

Ez a támadás megvalósítható egy nem interaktív interakciós módszerrel egy nulla tudás protokollban.

Számos probléma van ezzel a protokollal. Először is el kell döntenie, hogyan kíván interakciót folytatni, miközben magának a protokollnak az alapvető jellemzőit meg kell őriznie: teljességet, helyességet és „nulla tudást”. Amellett, hogy a zéró tudást elég könnyű bizonyítani a másik félnek, ha le lehet hallgatni a csatornát, vagyis szembesülni a nagymesteri problémával .

Tehát maga a támadás a következő: a támadó a tudás birtoklásának bizonyításának összetettségét felhasználva tartalmazza a „támadó” rejtjelszöveget , becsúsztatva egy csomó más rejtjelezett szövegbe, amelyeket meg kell fejteni. Ezt a támadást "playback" támadásnak nevezik [42] .

Egy lehetséges megoldás Moni Naor és Moti Yung munkáján alapul , ami a következő: Prover and Verifier titkosítja az üzeneteket nyilvános kulccsal , ez okozza a fenti támadás meghiúsulását [43] .

Támadás egy többprotokollú nulla tudású rendszer ellen

Chida és Yamamoto a zéró tudás protokoll megvalósítását javasolta, amely jelentősen megnöveli a nulla tudás bizonyításának sebességét, miközben több állítást egyszerre bizonyít, és ennek eredményeként a teljes rendszer teljesítményét [44] . A legfontosabb jellemző az iterációk számának korlátozása a bizonyításhoz. Amint azt K. Peng [45] munkája mutatja , ez az algoritmus teljesen instabilnak bizonyult a következő támadásra. Több jól megválasztott iteráció használatával a támadó átmegy az ellenőrzésen , és megsértheti a protokoll főbb rendelkezéseit. Sőt, bebizonyosodott, hogy ez a támadás mindig megvalósítható egy ilyen rendszeren.

Támadás kvantumszámítógéppel

2005- ben John Watrus mutatta be , hogy nem minden zéró tudású rendszer ellenáll a kvantumszámítógépes támadásoknak . Azonban bebizonyosodott, hogy mindig lehet olyan rendszert építeni, amely ellenáll a kvantumtámadásoknak, feltételezve, hogy léteznek "kötelezettségek eltitkolásával" rendelkező kvantumrendszerek [46] .

Lásd még

• Nyilvános kulcsú kriptorendszer
• Kriptográfiai hash függvény
• Választott titkosított szöveges támadás
• Schnorr-séma
• Fiat-Shamira protokoll
• Feig - Fiat - Shamir protokoll
• Gellu Protokoll – Kiskatra

Jegyzetek

1. ↑ Goldreich, 2013 .
2. ↑ 1 2 Schneier, 2002 , pp. 87-92.
3. ↑ Goldwasser, Micali, Rackoff, 1989 , pp. 186-189.
4. ↑ Santis, Micali, Persiano, 1988 .
5. ↑ Blum, Feldman, Micali, 1988 .
6. ↑ Schneier, 2002 , pp. 90-91.
7. ↑ 12 ForkLog , 2019 .
8. ↑ 1 2 3 4 5 Gubanova, 2018 .
9. ↑ Blum, 1988 , p. 1444.
10. ↑ Menezes et al, 1996 , pp. 406-408.
11. ↑ Schneier, 2002 , pp. 86-89.
12. ↑ Goldwasser, Micali, Rackoff, 1989 , pp. 188-189.
13. ↑ 1 2 Schneier, 2002 , pp. 91-92.
14. ↑ Mao, 2005 , pp. 683-696.
15. ↑ Mao, 2005 , pp. 684-688.
16. ↑ Sahai, Vadhan, 2003 .
17. ↑ Mao, 2005 , p. 696.
18. ↑ Mao, 2005 , pp. 692-696.
19. ↑ 1 2 3 Goldreich, Micali, Wigderson, 1986 .
20. ↑ Goldwasser, Micali, Rackoff, 1989 .
21. ↑ Goldwasser, Micali, Rackoff, 1989 , pp. 198-205.
22. ↑ Goldwasser, Micali és Rackoff Gödel-díjat kapnak 1993-ban (a link nem érhető el) . ACM Sigact (1993). Az eredetiből archiválva: 2015. december 8. (határozatlan) 
23. ↑ Goldwasser, Micali megkapta az ACM Turing-díjat a kriptográfiai előrelépésekért (a link nem érhető el) . ACM. Letöltve: 2013. március 13. Az eredetiből archiválva : 2013. március 16.. (határozatlan) 
24. ↑ Goldwasser, Micali, 1982 .
25. ↑ Mao, 2005 , pp. 524-528.
26. ↑ Abel-díj – 2021 • Andrej Raigorodszkij • Tudományos hírek az „elemekről” • Matematika, tudomány és társadalom . Letöltve: 2021. május 17. Az eredetiből archiválva : 2021. június 3. (határozatlan)
27. ↑ Mao, 2005 , pp. 678-682.
28. ↑ MORabin. digitális aláírások . — A biztonságos számítástechnika alapjai. - New York: Academic Press, 1978. - P. 155-168. — ISBN 0122103505 .
29. ↑ Schneier, 2002 , pp. 87-89.
30. ↑ 12 Quisquater et al, 1990 .
31. ↑ Schneier, 2002 , pp. 87-88.
32. ↑ 1 2 3 4 Blum, 1988 .
33. ↑ Schneier, 2002 , pp. 89-90.
34. ↑ Goldreich, Micali, Wigderson, 1987 .
35. ↑ Schneier, 2002 , p. 92.
36. ↑ Fiat, Shamir, 1987 .
37. ↑ 12 Chain Media, 2017 .
38. ↑ Schneier, 2002 , pp. 92-93.
39. ↑ Beth, Desmedt, 1991 .
40. ↑ Schneier, 2002 , pp. 93-94.
41. ↑ Schneier, 2002 , p. 93.
42. ↑ Rackoff, Simon, 1992 .
43. ↑ Naor, Yung, 1990 .
44. ↑ Chida, Yamamoto, 2008 .
45. ↑ Peng, 2012 .
46. ↑ Vizes, 2006 .

Irodalom

• Mao V. Modern kriptográfia : Elmélet és gyakorlat / ford. D. A. Klyushina - M .: Williams , 2005. - 768 p. — ISBN 978-5-8459-0847-6
• Schneier B. Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód in C. - M .: Triumph, 2002. - 816 p. - 3000 példányban.  - ISBN 5-89392-055-4 .
• Menezes A. J. , Oorschot P. v. , Vanstone S. A. Chapter 10 // Handbook of Applied Cryptography  (angolul) - CRC Press , 1996. - P. 405-417. — 816 p. — ( Diszkrét matematika és alkalmazásai ) — ISBN 978-0-8493-8523-0
• Salomaa A. Nyilvános kulcsú titkosítás - M .: Mir , 1995. - 318 p. — ISBN 978-5-03-001991-8
• Goldreich O. A Zero-Knowledge rövid bemutatója  (angol) // Secure Multi-Party Computation - Amsterdam , Berlin , Tokió , Washington : IOS Press , 2013. - P. 28-60. — 285 p. — ISBN 978-1-61499-168-7

• Goldwasser S. , Micali S. Valószínűségi titkosítás és mentális pókerezés, minden részleges információ titokban tartása  // STOC'82 :of the tizennegyedik éves ACM szimpózium a számítástudomány elméletéről - New York, NY, USA : ACM , 1982. - P. 365-377. - ISBN 978-0-89791-070-5 - doi:10.1145/800070.802212
• Blum M. Hogyan bizonyítsunk be egy tételt, hogy senki más ne állíthassa azt  // ICM'86 : Matematikusok Nemzetközi Kongresszusa . Berkeley, California, USA, 1986. augusztus 3-11., Proceedings / A. Gleason - Providence : AMS , 1988. - P. 1444-1451. — 1850 p. — ISBN 978-0-8218-0110-9
• Goldreich O. , Micali S. , Wigderson A. Bizonyítékok, amelyek semmi mást nem hoznak, csak érvényességüket, vagy az összes nyelv az NP-ben nulla tudású bizonyítási rendszerrel rendelkezik  // FOCS'86 : 27. éves szimpózium a számítástechnika alapjairól, Toronto , - IEEE Computer Society , 1986. - P. 174-187. — ISBN 978-0-8186-0740-0
• Goldreich O. , Micali S. , Wigderson A. Hogyan lehet bizonyítani az összes NP-állítást nulla tudásban és a kriptográfiai protokoll tervezésének módszertana  : Extended Abstract // Advances in Cryptology - CRYPTO '86 : 6th Annual International Cryptology Conference, Santa Barbara California, USA, 1986, Proceedings / A. M. Odlyzko - Berlin , Heidelberg , New York, NY , London [stb.] : Springer Berlin Heidelberg , 1987. - P. 171-185. — 490 p. - ( Számítástechnikai előadások jegyzetei ; 263. kötet) - ISBN 978-3-540-18047-0 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-47721-7_11
• Fiat A. , Shamir A. Hogyan bizonyítsd be magad: Az azonosítási és aláírási problémák gyakorlati megoldásai  // Advances in Cryptology - CRYPTO '86 :6th Annual International Cryptology Conference, Santa Barbara, California, USA, 1986, Proceedings / A. M. Odlyzko - Berlin , Heidelberg , New York, NY , London [stb.] : Springer Berlin Heidelberg , 1987. - P. 186-194. — 490 p. - ( Számítástechnikai előadások jegyzetei ; 263. kötet) - ISBN 978-3-540-18047-0 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-47721-7_12
• Desmedt Y. G. , Goutier C. , Bengio S. A Fiat-Shamir útlevélprotokoll különleges felhasználásai és visszaélései (kibővített absztrakt  ) // Advances in Cryptology - CRYPTO '87 : Konferencia a kriptográfiai technikák elméletéről és alkalmazásairól, Santa Barbara, Kalifornia , USA, 1987. augusztus 16-20., Proceedings / C. Pomerance - Berlin : Springer Berlin Heidelberg , 1987. - P. 21-39. - ( Számítástechnikai előadások jegyzetei ; 293. kötet) - ISBN 978-3-540-18796-7 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48184-2_3
• Santis A. D. , Micali S. , Persiano G. Non-Interactive Zero-Knowledge Proof Systems  (angol) // Advances in Cryptology - CRYPTO '87 : Konferencia a kriptográfiai technikák elméletéről és alkalmazásairól, Santa Barbara, Kalifornia, USA, augusztus 16-20, 1987, Proceedings / C. Pomerance - Berlin : Springer Berlin Heidelberg , 1988. - P. 52-72. - ( Számítástechnikai előadások jegyzetei ; 293. kötet) - ISBN 978-3-540-18796-7 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48184-2_5
• Blum M. , Feldman P. , Micali S. Non-interactive zero-knowledge and its applications  (angol) // STOC'88 : Proceedings of the huszadik éves ACM szimpózium a számítástudomány elméletéről - NYC : ACM , 1988. - P1038 -112. - ISBN 978-0-89791-264-8 - doi:10.1145/62212.62222
• Goldwasser S. , Micali S. , Rackoff C. Az interaktív bizonyító rendszerek tudáskomplexitása  (angol) // SIAM J. Comput. / M. Sudan - SIAM , 1989. - Vol. 18, Iss. 1. - P. 186-208. — ISSN 0097-5397 ; 1095-7111 - doi:10.1137/0218012
• Quisquater J. , Quisquater M. , Quisquater M. , Quisquater M. , Guillou L. C. , Hogyan magyarázzuk el a nulla tudású protokollokat a gyerekeknek Guillou S.,Guillou G.,Guillou A.,Guillou G.,M. A.Guillou // Advances in Cryptology - CRYPTO '89 : 9th Annual International Cryptology Conference, Santa Barbara, California, USA, 1989. augusztus 20-24, Proceedings / G. Brassard - Berlin , Heidelberg , New York, NY , London [stb. ] : Springer New York , 1990. - P. 628-631. - ( Számítástechnikai előadások jegyzetei ; 435. kötet) - ISBN 978-0-387-97317-3 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/0-387-34805-0_60
• Naor M. , Yung M. Nyilvános kulcsú kriptorendszerek bizonyíthatóan biztonságosak a kiválasztott titkosított szöveges támadások ellen  // STOC'90 : Proceedingsof the huszonkettedik éves ACM szimpózium on Theory of Computing - NYC : ACM , 1990. - P. 427-437. - ISBN 978-0-89791-361-4 - doi:10.1145/100216.100273
• Beth T. , Desmedt Y. G. Azonosító jelzők - avagy: A sakk nagymesteri problémájának megoldása  // Advances in Cryptology - CRYPTO '90 : 10th Annual International Cryptology Conference, Santa Barbara, California, USA, 1990. augusztus 11-15., Proceedings J. Menezes / A. , S. A. Vanstone - Berlin , Heidelberg , New York, NY , London [stb.] : Springer Berlin Heidelberg , 1991. - P. 169-176. - ( Számítástechnikai előadások jegyzetei ; 537. kötet) - ISBN 978-3-540-54508-8 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-38424-3_12
• Rackoff C. , Simon D. R. A tudás nem interaktív zéró tudása és választott titkosított szöveges támadása  // Advances in Cryptology - CRYPTO'91 :11th Annual International Cryptology Conference, Santa Barbara, California, USA, 1991, Feigenbaum / J. Berlin , Heidelberg , New York, NY , London [stb.] : Springer Science + Business Media , 1992. - P. 433-444. — 484 p. - ( Számítástechnikai előadások jegyzetei ; 576. kötet) - ISBN 978-3-540-55188-1 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-46766-1_35
• Bleichenbacher D. Választott titkosított szöveges támadások az RSA titkosítási szabványon alapuló PKCS #1 protokollok ellen  // Advances in Cryptology — CRYPTO '98 :18th Annual International Cryptology Conference Santa Barbara, California, USA, 1998. augusztus 23–27. Proceedings / Krawczyk - H. Berlin , Heidelberg , New York, NY , London [stb.] : Springer Berlin Heidelberg , 1998. - 1-12. o. — 524 p. - ( Számítástechnikai előadások jegyzetei ; 1462. kötet) - ISBN 978-3-540-64892-5 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/BFB0055716
• Sahai A. , Vadhan S. A teljes probléma a statisztikai nulla tudáshoz  (angol) // J. ACM / D. J. Rosenkrantz - New York, NY : Association for Computing Machinery , 2003. - Vol. 50, Iss. 2. - P. 196-249. — ISSN 0004-5411 ; 1557-735X - doi:10,1145/636865,636868
• Watrous J. Zero-Knowledge against Quantum Attacks  (angolul) // STOC'06 : Proceedings of the 38th éves ACM szimpózium on Theory of Computing - ACM , 2006. - P. 296-305. — ISBN 978-1-59593-134-4 — doi:10.1137/060670997 — arXiv:quant-ph/0511020
• Chida K. , Yamamoto G. Kötegelt feldolgozás a részleges tudás bizonyítására és alkalmazásai  // IEICE Trans. alap. elektron. Comm. Comput. sci. - 2008. - Vol. E91-A, Iss. 1. - P. 150-159. — ISSN 0916-8508 ; 1745-1337 ; 0913-5707 - doi:10.1093/IETFEC/E91-A.1.150
• Peng K. Attack against a batch zero-knowledge proof system  (angol) // IET Information Security - IET , 2012. - Vol. 6, Iss. 1. - P. 1-5. — ISSN 1751-8709 ; 1751-8717 - doi:10.1049/IET-IFS.2011.0290

Linkek

• Gubanova, L. Mi az a ZKP? A teljes útmutató a nulla tudás bizonyításához  : [ arch. 2021. január 21. ] // 101 Blockchains. - 2018. - december 21.
• Mi az a zéró tudásigazolás? // ChainMedia. - 2017. - november 21.
• Mi a nulla tudás bizonyítása?  : [ arch. 2020. július 21. ] // ForkLog. - 2019. - május 21.