Vietebooks Nguyn Hong Cng
Trang 16

Các bộ ba đợc tạo theo cách này có cùng phân bố xác suất các bộ ba
đợc tạo trong giao thức với giả thiết Vic chọn các yêu cầu của mình một
cách ngẫu nhiên. Tính không tiết lộ thông tin hoàn thiện (với v tuỳ ý) có thể
đợc chứng minh theo phơng pháp tơng tự nh đối với bái toán đẳng cấu
đồ thị. Nó đòi hỏi phải xây dựng một bộ mô phỏng s để giả định các yêu cầu
của v và chỉ giữ lại các bộ ba ứng với các giả định đúng.

Để minh hoạ thêm cho vấn đề này ta sẽ đa ra một ví dụ nữa về phép
chứng minh không tiết lộ thông tin hoàn thiện, đây là một phép chứng minh
cho một bái toán quyết định có liên quan đến bái toán logarit rời rạc. Bái toán
này đợc gọi là bái toán thành viên của nhóm con ( đợc mô tả ở hình 13.9 ).
Dĩ nhiên là số nguyên k ( nếu nó tồn tại ) chính là logarit rời rạc của

Hình 13.9. Thành viên của nhóm con.












Hình 13.10 Mô tả một phép chứng minh không tiết lộ thông tin hoàn
thiện cho bái toán thành viên nhóm con. Việc phân tích giao thức nỳ tơng tự

nh các giao thức mà ta đã xem xét ; các chi tiết đợc giành cho bạn đọc xem
xét.

Hình 13.10. Hệ thống chứng minh tơng hỗ không tiết lộ thông tin hoàn
thiện cho thành viên của nhóm con.








Đặc trng của bái toán : Hai số nguyên dơng n và l, và hai
phần tử phân biệt , Z
n
trong đó có cấp l trong Z
n
.
Vấn đề : phải chăng =
k
đối với một số nguyên tố k nào
đó sao cho 0kn-1 ?(nói một cách khác là phải chăng
là một thành viên của nhóm Z
n
đợc tạo bởi ?)

Vietebooks Nguyn Hong Cng
Trang 17


















13.3 Các cam kết bít

Hệ thống chứng minh không tiết lộ thông tin đối với bái toán đẳng cấu
đồ thị là một hệ thống thú vị, tuy nhiên sẽ là hữu ích hơn nếu có các hệ thống
chứng minh không tiết lộ thông tin cho các bái toán đợc coi là NP đầy đủ.
Về mặt lý thuyết, không tồn tại các phép chứng minh không tiết lộ thông tin
hoàn thiện cho các bái toán NP đầy đủ. Tuy nhiên ta có thể mô tả các hệ
thống chứng minh có dạng không tiết lộ thông tin về mặt tính toán. Các hệ
thống chứng minh thực tế sẽ đợc mô tả ở phần sau ; trong phần này ta sẽ mô
tả kỹ thuật cam kết bít là một công cụ quan trọng đợc dùng trong hệ thống
chứng minh .

Giả sử Peggy viết một thông báo lên một mẩu giấy rôì đặt nó vào một
két sắt mà cô ta biết mã số. Sau đó Peggy trao két sắt cho Vic. Mặc dù Vic

không biết thông báo là gì cho tới khi két đợc mở nhng ta sẽ coi rằng
Peggy đã bị ràng buộc với thông báo của mình vì cô ta không thể thay đổi nó.
Hơn nữa, Vic không thể biết thông báo là gì ( giả sử Vic không biết mã số
của két ).

Trừ phi Peggy mở két cho anh ta. ( Hãy nhớ lạI là ta đã dùng lập luận
tơng tự ở chơng 4 để mô tả ý tởng về một hệ mật công khai, tuy nhiên
trong trờng hợp đó Vic là ngời có thể mở két bởi vì anh ta là ngời nhận
thông báo ).

Đầu vào:Một số nguyên dơng n và hai phần tử phân biệt ,Z
n
trong đó
cấp của đợc ký hiệu bằng l và đợc công khai .

1. Lập lại các bớc sau log
2
n lần :
2. Peggy chọn một số ngẫu nhiên j sao chi 0 j l - 1 và tính =
j
mod n
Peggy gửi cho Vic.
3. Vic chọn một số ngẫu nhiên I = 0 hoặc i = 1 và gửi nó cho Peggy .
4. Peggy tính h = j+ik mod l trong đó k = log

và gửi cho Vic .
5. Vic kiểm tra xem liệu có thoả mãn đồng d thức sau không :

h


i
(mod n).
6. Vic sẽ chấp nhận chứng minh của Peeggy nếu tính toán ở bớc 5 đợc
kiểm tra cho mỗi vòng trong log
2
n vòng .
Vietebooks Nguyn Hong Cng
Trang 18
Giả sử thông báo là một bít = 0 và Peggy sẽ mã hoá b theo cách nào
đó. Dạng đã mã hoá của b đôI khi đợc gọi blob và phơng pháp mã hoá
đợc gọi là một sơ đồ cam kết bít. Nói chung , một sơ đồ cam kết bít là một
hàm f: {0,1} x X Y, trong đó X và Y là các tập hữu hạn. Một phép mã hoá
của b là giá trị bất kỳ f(b,x), xX. Ta có thể định nghĩa một cách phi hình
thức hai tính chất mà một sơ đồ cam kết phải thoả mãn .

Tính chất giấu kín:
Với một bít b = 0 hoặc 1, Vic không thể xác định đợc giá trị
của b từ blob f(b,x).
Tính ràng buộc :

Sau đó Peggy có thể mở đợc blob bằng cách tiết lộ giá trị x
dùng mã hoá b để thuyết phục Vic rằng b là giá trị đã mã.
Peggy không thể mở một blob bởi cả hai giá trị 0 và 1.

Nếu Peggy muốm cam kết ( ràng buộc) một xâu bit bất kỳ thì một cách
đơn giản là cô ta phảI ràng buộc từng bit một cách độc lập .

Một phơng pháp để thực hiện cam kết bit là sử dụng hệ mật xác suất
Goldwasser - micali mô tả ở phần 12.4 hãy nhớ lại rằng trong hệ mật này n =
pq trong đó p, q là các số nguyên tố và m ???QR(n). Các số nguyên m và

n là công khai và chỉ có Peggy biết phân tích n = pq trong sơ đồ cam kết bit
ta có X = Y = Z
n
*
và :

f(b,x)=m
b
x
2
mod n

Peggy sẽ mã hoá giá trị b bằng cách chọn một số ngẫu nhiên x và tính
y=f(b,x) ; giá trị y chính là blob .
Sau đó khi peggy muốn mở y, cô ta sẽ tiết lộ các giá trị b và x. Khi đó
Vic có thể kiểm tra thấy rằng :
y m
b
x
2
mod n

Ta xem xét tính giấu kín và tính ràng buộc. Một blob là một phép mã
hoá của 0 hoặc 1, và sẽ không để lộ thông tin về giá trị bản rõ x miễn là bái
toán các thặng d bậc hai là không có khả năng giảI ( ta đã thảo luận kỹ đIều
này chơng 12 ). Bởi vậy sơ đồ có tính giấu kín .
Liệu sơ đồ có tính ràng buộc không ? Nếu ta giả sử là không thì
m x
1
2

x
2
2
(mod n)
Với các giá trị x
1
, x
2
nào đó thuộc Zn. Tuy nhiên
Vietebooks Nguyn Hong Cng
Trang 19
m (x
2
x
1
-1
)
2
mod n
điều này mâu thuẫn bởi vì m ??????QR(n)
Các sơ đồ ràng buộc bit sẽ đợc dùng để xây dựng các phép chứng
minh không tiết lộ thông tin. Tuy nhiên chúng còn có một ứng dụng tuyết vời
khác vào một bái toán tung đồng xu qua đIện thoại. Giả sử Alice và Bob
muốn đa ra một quyết định nào đó dựa trên phép tung đồng xu ngẫu nhiên
nhng họ không ở cùng một địa đIểm .ĐIều này có nghĩa là không thể thực
hiện đợc công việc một ngời tung đồng xu thực còn ngời kia kiểm tra
phép thử này. Sơ đồ ràng buộc bit sẽ cho một phơng pháp thoát khỏi tình
trạng bế tắc này. Một trong hai ngời ( chẳng hạn Alice ) sẽ chọn một bit
ngẫu nhiên b và tính blob y .Cô ta sẽ trao y cho Bob. Bây giờ Bob sẽ giả định
giá trị của b và rồi Alice sẽ mở blob để tiết lộ b. ở đây, tính chất giấu kín có

nghĩa là Bob không có khả năng tính b theo y đã cho, và tính chất ràng buộc
có nghĩa là Alice không thể thay đổi đợc lựa chọn của mình sau khi Bob tiết
lộ giả định của anh ta .
Sau đây là một ví dụ khác về sơ đồ ràng buộc bit dựa trên bái toán
logarithm rời rạc. Từ phần 5.1.2 ta đã có : Nếu p 3 ( mod 4) là một số
nguyên tố sao cho bái toán logarithm trong Z
p
không giảI đợc thì bit bậc
thấp nhất thứ hai của một logarit rời rạc là an toàn. Trên thực tế, đối với các
số nguyên tố p 3 (mod 4), ngời ta chứng minh rằng thuật toán Monte -
Carlo bất kỳ cho bái toán về bit thứ hai sẽ có xác suất sai bằng 1/2 - với
>0 có thể đợc dùng để giảI toán logarit rời rạc trong Z
p
. Kết quả mạnh hơn
nhiều này là cơ sở cho sơ đồ ràng buộc bit .
Sơ đồ ràng buộc này sẽ có X = {1, , p-1}và Y = Z
p
.Bit bậc thấp nhất
thứ hai của số nguyên x ( ký hiệu là SLB (x)) đợc xác định nh sau :

sơ đồ ràng buộc bit đợc xác định bởi :


Nói cách khác bit b sẽ đợc mã bằng cách chọn một một phần tử ngẫu
nhiên có bit cuối cùng thứ hai là b và nâng lên luỹ thừa x modulo p.( Chú ý
rằng SLB ( p-x ) SLB (x) vì p 3 ( mod 4)).

3(mod4) 2, x Nếu 1
mod4) 1( 0,x Nếu 0
SLB



=
b SLB(x) Nếu pmod
b SLB(x) Nếu pmod
x)f(b,
1-p
x

=
=
Vietebooks Nguyn Hong Cng
Trang 20
Sơ đồ thoả mãn tính ràng buộc và theo các nhận xét đã nêu, nó cũng
thoả mãn tính giấu kín nếu bái toán logarit rời rạc trong Z
p
là không giảI đợc
.





13.4 .các chứng minh không tiết lộ thông tin về mặt
tính toán .

Trong phần này ta sẽ đa ra một hệ thống chứng minh không tiết lộ thông
tin cho bái toán quyết định NP đầy đủ là bái toán về khả năng tô màu một đồ
thị bằng ba màu, bái toán này đợc nêu ở hình 13.11.


Hệ thống chứng minh sẽ sử dụng một đồ thị cam kết ( ràng buộc ) bit:
để xác định ,ta sẽ áp dụng sơ đồ ràng buộc bit đợc mô tả ở 13.3 ( dựa trên
mã hoá xác suất ). Giả sử Peggy biết hàm ba màu của đồ thị G và cô ta
muốn thuyết phục Vic rằng có thể tô màu G bằng ba màu theo kiểu không
tiết lộ thông tin .Không mất tính tổng quát, giả sử rằng G có tập đỉnh V={1
n}. Ký hiệu m ={E}. Hệ thống chứng minh sẽ đợc mô tả theo các thuật ngữ
cuả sơ đồ ràng buộc f:{0,1} x X Y ( đợc đa ra công khai ). Vì không thể
mã hoá một màu bằng một bit nên ta thay màu 1 bằng hai bit 01, màu hai
bằng 10, màu ba bằng 11.Khi đó ta sẽ mã hoá mỗi bit trong hai bit (biểu thị
màu ) bằng hàm f.

Hình 13.11.khả năng tô đồ thị bằng ba mằu.











Hệ thống chứng minh tơng hỗ đợc trình bày trên hình 13.12.Một
cách không hình thức ,quá trình xẩy ra nh sau:ở mỗi vòng ,Peggy sẽ quy

Đặc trng của bái toán :Một đồ thị G = (V,E) có n đỉnh.
Vấn đề :Liệu có thể tô G bằng đúng 3 mầu hay không?
(Theo các thuật ngữ toán học có chăng một hàm :V(G)ặ{1,2,3}
sao cho {u,v} E thì (u)= (v)?).