Vietebooks Nguyn Hong Cng
Trang 6
Ví dụ 9.3
Giả sử ta cũng có các tham số nh trong ví dụ 9.2: p = 88667, q =
1031, t= 10, = 70322, a = 755 và v = 13136. Giả sử Olga nghiên cứu thấy
rằng:

851
v
1000

454
v
19
(mod p).
khi đó có thể tính:
a =(851 - 454)(1000 - 19)
-1
mod 1031 = 755
và nh vậy sẽ khám phá ra số mũ mật của Alice.
Chúng ta đã chứng minh rằng, giao thức có tính đúng đắn và đầy đủ.
Song tính đúng đắn và đầy đủ cha đủ để bảo đảm rằng giao thức là an toàn.
Chẳng hạn, nếu Alice để lộ số mũ mật a của mình khi chứng minh danh tính
của cô với Olga thì giao thức vẫn còn đúng đắn và đầy đủ. Tuy nhiên nó sẽ
hoàn toàn không an toàn vì sau đó Olga có thể mạo danh Alice.
Điều này thúc đẩy động cơ xem xét thông tin mật đã cho ngời xác
minh - ngời cũng tham gia trong giao thức - biết (trong giao thức này, thông
mật là a). Hy vọng là không có thông tin nào về a có thể bị gia tăng bởi Olga
khi Alice chứng minh danh tính của mình cho cô ta, để sau đó Olga có thể
giả dạng nh Alice.
Nói chung, có thể hình dung tình huống khi Alice chứng minh danh

tính của mình với Olga trong một số tình huống khác nhau. Có lẽ Olga
không chọn các yêu cầu của cô (tức các giá trị r) theo kiểu ngẫu nhiên. Sau
vài lần thực hiện giao thức, Olga sẽ cố gắng xác định giá trị a để sau đó có
thể mạo danh Alice. Nếu Olga không thể xác định đợc chút thông tin nào
về a qua tham gia với số lần đa thức thực hiện giao thức và sau đó thực hiện
một lợng tính toán đa thức thì giao thức có thể đợc gọi là an toàn.
Hiện tại vẫn cha chứng minh đợc rằng giao thc Schnorr là an toàn,
song trong phần tiếp sau, ta sẽ đa ra một cải tiến về sơ đồ này (do Okmoto
đa ra) mà có thể chứng minh đợc nó là an toàn khi cho trớc giả thuyết
tính toán nào đó.
Sơ đồ Schnorr đã đợc thiết kế với tốc độ nhanh và hiệu quả theo quan
điểm cả về tính toán lẫn lợng thông tin cần thiết để trao đổi trong giao thức.
Nó cũng đợc thiết kế nhằm tối thiểu hoá lợng tính toán mà Alice phải thực
hiện. Đây là những đặc tính tốt vì trong thực tế, các tính toán của Alice sẽ
phải tính trên các thẻ thông minh có khả năng tính toán thấp trong khi các
tính toán của Bob lại trên các máy lớn.
Vì mục đích thảo luận, ta hãy giả sử rằng, ID(Alice) là chuỗi 512 bit, v
cũng gồm 512 bit, còn s bằng 320 bit nến DSS đợc dùng nh sơ đồ chữ kí.
Kích thớc tổng cộng của dấu xác nhận C(Alice) (cần đợc lu trên thẻ của
Alice) là 1444 bit.
Xét các tính toán của Alice: Bớc 1 cần lấy mũ theo modulo, b
ớc 5
so sánh một phép công modulo và một phép nhân modulo. Đó là phép luỹ
Vietebooks Nguyn Hong Cng
Trang 7
thừa modulo mạnh về tính toán song có thể tính toán gián tiếp nếu muốn.
Còn các tính toán trực tiếp đợc Alice thực hiện bình thờng.
Việc tính số bit cần thiết trong quá trình liên lạc để thực hiện giao thức
cũng khá đơn giản. Có thể mô tả thông tin đợc liên lạc ở dạng đồ hình nh
sau

C,
Alice r Bob
y

Alice đa cho Bob 1444 + 512 = 1956 bit thông tin trong bớc 2: Bob
đa cho Alice 40 bit trong bớc 4 và Alice đa cho Bob 160 bit trong bớc 6.
Nh vậy các yêu cầu về liên lạc rất mức độ.

9.3 Sơ đồ định danh của Okamoto.
Trong phần này ta sẽ đa ra một biến thể của sơ đồ Schnorr do
Okamoto đa ra. Sơ đồ cải tiến này Zp không giải đợc.
Để thiết lập sơ đồ, TA chọn p và q nh trong sơ đồ Schnorr. TA cũng
chọn hai phần tử
1
và
2

*
p
Z đều có bậc q. Giá trị c = log

1

2
đợc giữ bí
mật kể cả đối với Alice. Ta sẽ giả thiết rằng, không ai có thể giải đợc (thậm
chí Alice và Olga liên minh với nhau) để tính ra giá trị c. Nh trớc đây, TA
chọn sơ đồ chữ kí số và hàm hash. Dấu xác nhận mà TA đã phát cho Alice
đợc xây dựng nh mô tả ở hình 9.4.
Dới đây là một ví dụ về sơ đồ Okamoto.

Ví dụ 9.4.
Cũng nh ví dụ trớc, ta lấy p = 88667, q = 1031, t = 10. Cho
1
=
58902 và cho
2
= 73611 (cả
1
lẫn
2
đều có bậc q trong
*
p
Z ). Giả sử
a
1
=846, a
2
= 515, khi đó v = 13078.
Giả sử Alice chọn k
1
= 899, k
2
= 16, khi đó = 14573. Nếu Bob đa ra
yêu cầu r = 489 thì Alice sẽ trả lời y
1
= 131 và y
2
= 287. Bob sẽ xác minh
thấy:

58902
131
78611
287
1378
489
14574 (mod 88667).
Vì thế Bob chấp nhận bằng chứng của Alice về danh tính của cô.
Việc chứng minh giao thức là đầy đủ không khó (tức là Bob sẽ chấp
nhận bằng chứng về danh tính của cô). Sự khác nhau giữa sơ đồ của
Okamoto và Schnorr là ở chỗ, ta có thể chứng minh rằng sơ đồ Okamota an
toàn miễn là bài toán logarithm rời rác không giải đợc.
Hình 9.4: Đóng dấu xác nhận cho Alice.
1. TA thiết lập danh tính của Alice và phát chuỗi định danh ID(Alice).
2. Alice chọn bí mật hai số mũ ngẫu nhiên a
1
,a
2
trong đó 0 a
1
,a
2
q -1
Alice tính:
Vietebooks Nguyn Hong Cng
Trang 8
v = p
aa
mod
21

11



và đa cho TA.

3. TA tạo chữ kí
s = sig
TA
(I,v).
và đa dấu xác nhận
C(Alice) = (ID(Alice),v,s)
cho Alice
Phép chứng minh về tính an toàn rất tinh tế. Đây là ý kiến chung: Nh
trớc đây, Alice tự định danh với Olga trong nhiều thời gian đa thức thông
qua thực hiện giao thức. Khi đó ta giả thiết rằng Olga có khả năng nghiên
cứu một số thông tin về các giá trị a
1
,a
2
. Nếu nh vậy thì Olga và Alice kết
hợp với nhau có khả năng tính đợc logarithm rời rạc c trong thời gian đa
thức. Điều này mâu thuẫn với giả định ở trên và chứng tỏ rằng Olga chắc
không thể nhận đợc chút thông tin nào về các số mũ của Alice thông qua
việc tham gia vào giao thức.
Phần đầu tiên của giao thức này tơng tự với chứng minh tính đầy đủ
trong sơ đồ Schnorr.
Định lý 9.2.
Giả sử Olga biết a giá trị


mà nhờ nó cô có xác suất thành công




1/2
t-1
khi đánh giá Alice trong giao thức xác minh. Khi đó, Olga có thể tính
các giá trị b
1
,b
2
trong thời gian đa thức sao cho
v

p
bb
mod
21
11


.
Chứng minh:
Với phần

trên 2
t
yêu cầu có thể r, Olga có thể tính các giá trị y
1

, y
2
,
z
1
, z
2
, r và s với r s và:

2
1
21
y
y

v
r

2
1
21


z
v
8
(mod p).
Ta định nghĩa: b
1
= (y

1
- z
1
)(r - s)
-t
mod q
và b
1
= (y
2
- z
2
)(r - s)
-t
mod q
Khi đó dễ dàng kiểm tra thấy rằng:

)(mod
21
21
pv
bb



nh mong muốn.
Vietebooks Nguyn Hong Cng
Trang 9
Hình 9.5. Sơ đồ định danh Okamoto.
1. Alice chọn các số ngẫu nhiên k

1
, k
2
, 0 k
1
, k
2
q -1 và tính:
=
2
1
21
k
k

(mod p).
2. Alice gửi dấu xác nhận của cô C(Alice) = (ID(Alice),v,s) và cho Bob.
3. Bob xác minh chữ kí của TA bằng cách kiểm tra xem có thoả mãn đồng
nhất thức:
ver
TA
(ID(Alice),v,s) = true
4. Bob chọn số ngẫu nhiên r, 1 r 2
t
và đa nó cho Alice.
5. Alice tính:
y
1
= k
1

+ a
1
r mod q
và y
2
= k
2
+ a
2
r mod q
và đa y
1
,y
2
cho Bob.
6. Bob xác minh xem:

21
21
yy

v
r
(mod p) hay không.
Bây giờ ta tiếp tục chỉ ra cách Alice và Olga cùng tính giá trị c.
Định lý 9.3.
Giả sử Olga biết giá trị

(mà với nó cô có xác suất giả danh Alice
thành công là




1/2
t-1
) trong giao thức xác minh. Khi đó, Alice và Olga có
thể cùng nhau tính
2
1
log


trong thời gian đa thức với xác suất 1-1/q.
Chứng minh
Theo định lý 9.2, Olga có khả năng xác định các giá trị b
1
và b
2
sao
cho
v
)(mod
21
21
p
bb


Giả thiết rằng Alice để lộ các giá trị a
1

và a
2
cho Olga biết. Dĩ nhiên:
v
)(mod
21
21
p
aa


vì thế
)(mod
2211
21
p
abba



giả sử rằng (a1,a2) (b1,b2), khi đó (a1-b1)
-1
tồn tại và logarithm rời rạc:
c =
=
2
1
log



(a
1
-b
1
)(b
2
-a
2
)
-1
mod q
có thể tính đợc trong thời gian đa thức.
Phần còn lại là xem xét xác suất để (a1,a2) = (b1,b2). Nếu xảy ra điều
này thì giá trị c không thể tính theo mô tả ở trên. Tuy nhiên, ta sẽ chỉ ra rằng
(a1,a2) = (b1,b2) sẽ chỉ xảy ra với xác suất rất bé 1/q, vì thế giao thức nhờ đó
Alice và Olga tính đợc c sẽ hầu nh chắc chắn thành công.
Định nghĩa:
A ={
)(mod:),(
'
2
'
1
'
2
'
1
2121
'
2

'
1
paa
aaaa
qp

ì

}
Nghĩa là A gồm tất cả các cặp đợc sắp có thể và chúng có thể là các số mũ
mật của Alice. Xét thấy rằng:
A ={a
1
- c, a
2
+ : Z
P
},
Vietebooks Nguyn Hong Cng
Trang 10
Trong đó c =
2
1
log


. Nh vậy A chứa q cặp đợc sắp.
Cặp đợc sắp (b1,b2) do Olga tính chắc chắn ở trong tập A. Ta sẽ chỉ ra
rằng, giá trị của cặp (b1,b2) độc lập với cặp (a1,a2) chứa các số mũ mật của
Alice. Vì (a1,a2) đợc Alice chọn đầu tiên một cách ngẫu nhiên nên xác suất

để (a1,a2) = (b1,b2) là 1/q.
Nh vậy, (b1,b2) là độc lập với (a1,a2). Cặp (a1,a2) của Alice là
một trong q cặp đợc sắp có thể trong A và không có thông tin nào về nó (là
cặp đúng) đã bị Alice để lộ cho Olga biết khi cô xng danh với Olga. (Một
cách hình thức, Olga biết một cặp trong A chứa số mũ của Alice song cô ta
không biết nó là cặp nào).
Ta hãy xét thông tin đợc trao đổi trong giao thức định danh. Về cơ
bản, trong mỗi lần thực hiện giao thức, Alice chọn , Olga chọn r và Alice để
lộ y
1
và y
2
sao cho:
=
2
1
11
y
y

v
r
(mod p).
Ta nhớ lại rằng, Alice tính:
y
1
= k
1
+ a
1

r mod q
và y
2
= k
2
+ a
2
r mod q
trong đó
=
2
1
11
k
k

mod q
Chú ý rằng k
1
và k
2
không bị lộ (mà a
1
và a
2
cũng không).
Bốn phần tử cụ thể (,r,y
1
,y
2

) đợc tạo ra trong thực hiện giao thức tuỳ thuộc
vào cặp (a
1
,a
2
) của Alice vì y
1
và y
2
đợc định nghĩa theo a
1
và a
2
. Tuy nhiên
ta sẽ chỉ ra rằng, mỗi bộ bốn nh vậy có thể đợc tạo ra nh nhau từ cặp
đợc sắp bất kì khác (a

1
, a

2
) A. Để thấy rõ, giả thiết (a

1
, a

2
) A, tức là
a


1
=a
1
- c và a

2
= a
2
+ , trong đó 0 q -1.
Có thể biểu diễn y
1
và y
2
nh sau:
y
1
= k
1
+ a
1
r
= k
1
+ (a
1

+ c)r
= (k
1
+ rc)+a

1

r
và y
2
= k
2
+ a
2
r
= k
2
+ (a
2

- )r
= (k
2
- r)+a
2

r
Trong đó tất cả các phép tính số học đều thực hiện trong Z
p
. Nghĩa là bộ bốn
(,r,y
1
,y
2
) cũng phù hợp với cặp đợc sắp ),(

'
2
'
1
aa bằng việc dùng các phép
chọn ngẫu nhiên

rckk +=
1
'
1
và

rk =
'
2
để tạo ra . Cần chú ý rằng, các giá trị
k
1
và k
2
không bị Alice làm lộ nên bộ (, r, y
1
, y
2
) không cho biết thông tin gì
về cặp nào trong A đợc Alice dùng làm số mũ mật của cô. Đây là điều phải
chứng minh.