fbpx
Wikipedia

Heurística de Fiat-Shamir

Marcha 02, 2022

La heurística de Fiat-Shamir es una técnica criptográfica para a partir de una prueba de conocimiento cero interactiva obtener una prueba de conocimiento cero no interactiva. Si la prueba interactiva es un protocolo de identificación, entonces la versión no-interactiva puede ser usada directamente como una firma digital. Esta técnica fue aportada por Amos Fiat y Adi Shamir en 1986.[1]

Mecanismo

La heurística sigue los siguientes pasos:[2]

  • El probador genera un mensaje de compromiso indicando que conoce el secreto.
  • El probador toma el compromiso y otra información como entradas y devuelve el desafío aplicando alguna función hash criptográfica
  • El probador calcula la respuesta y envía la transcripción que incluye el compromiso, el desafío y la respuesta al verificador.

Seguridad

La heurística fue presentada originalmente sin una prueba de seguridad; más tarde David Pointcheval y Jacques Stern[3]​ probaron su seguridad contra un ataque de mensaje escogido en el modelo de oráculo aleatorio, esto es bajo la suposición de que el oráculo aleatorio existe (no se pueden predecir los resultados de una función hash). En caso de no existir el oráculo aleatorio se ha probado que es inseguro.[4]

Ejemplo

Veamos un ejemplo con la prueba interactiva sobre el conocimiento del logaritmo discreto.[5]

  1. Alicia quiere probar a Bob que conoce   el cual es el logaritmo discreto de   para la base  .
  2. Alicia coge un número aleatorio  , calcula   y envía a Bob  .
  3. Bob coge un número aleatorio   y se lo envía a Alicia.
  4. Alicia calcula   y devuelve   a Bob.
  5. Bob comprueba que   (lo cual sucede solo si  ).

La heurística de Fiat-Shamir lo convierte en:[6]

  1. Alicia quiere probar a Bob que conoce   el cual es el logaritmo discreto de   para la base  .
  2. Alicia coge un número aleatorio   y calcula  .
  3. Alicia calcula  , donde   es una función hash criptográfica.
  4. Alicia calcula  . El resultado de la prueba es el par  .
  5. Cualquiera puede comprobar que   ya que  .


Se ha demostrado que si el valor hash usado no depende del valor (público) de y, la seguridad del esquema es débil ya que un probador malicioso puede entonces seleccionar cierto x tal que el producto de cx es conocido.[7]

Referencias

  1. Amos Fiat and Adi Shamir: How to Prove Yourself: Practical Solutions to Identification and Signature Problems. CRYPTO 1986: pp. 186-194
  2. Verifiable Voting Systems el 15 de octubre de 2013 en Wayback Machine.. Thea Peacock et ali.
  3. David Pointcheval and Jacques Stern: Security Proofs for Signature Schemes. EUROCRYPT 1996: pp. 387-398
  4. Shafi Goldwasser and Yael Kalai: On the (In)security of the Fiat-Shamir Paradigm. FOCS 2003: pp. 102
  5. Camenisch, Jan; Stadler, Markus (1997). «Proof Systems for General Statements about Discrete Logarithms». Dept. of Computer Science, ETH Zurich. 
  6. Bellare, Mihir; Rogaway, Phillip (1993). «Random Oracles are Practical: A Paradigm for Designing Efficient Protocols». ACM. 
  7. Bernhard, David; Pereira, Olivier; Warinschi, Bogdan. «How not to Prove Yourself: Pitfalls of the Fiat-Shamir Heuristic and Applications to Helios». En Wang, Xiaoyun; Sako, Kazue, eds. Advances in Cryptology – ASIACRYPT 2012. pp. 626-643. 
  •   Datos: Q5446341

Marcha 02, 2022
heurística, fiat, shamir, heurística, fiat, shamir, técnica, criptográfica, para, partir, prueba, conocimiento, cero, interactiva, obtener, prueba, conocimiento, cero, interactiva, prueba, interactiva, protocolo, identificación, entonces, versión, interactiva,. La heuristica de Fiat Shamir es una tecnica criptografica para a partir de una prueba de conocimiento cero interactiva obtener una prueba de conocimiento cero no interactiva Si la prueba interactiva es un protocolo de identificacion entonces la version no interactiva puede ser usada directamente como una firma digital Esta tecnica fue aportada por Amos Fiat y Adi Shamir en 1986 1 Indice 1 Mecanismo 2 Seguridad 3 Ejemplo 4 ReferenciasMecanismo EditarLa heuristica sigue los siguientes pasos 2 El probador genera un mensaje de compromiso indicando que conoce el secreto El probador toma el compromiso y otra informacion como entradas y devuelve el desafio aplicando alguna funcion hash criptografica El probador calcula la respuesta y envia la transcripcion que incluye el compromiso el desafio y la respuesta al verificador Seguridad EditarLa heuristica fue presentada originalmente sin una prueba de seguridad mas tarde David Pointcheval y Jacques Stern 3 probaron su seguridad contra un ataque de mensaje escogido en el modelo de oraculo aleatorio esto es bajo la suposicion de que el oraculo aleatorio existe no se pueden predecir los resultados de una funcion hash En caso de no existir el oraculo aleatorio se ha probado que es inseguro 4 Ejemplo EditarVeamos un ejemplo con la prueba interactiva sobre el conocimiento del logaritmo discreto 5 Alicia quiere probar a Bob que conoce x displaystyle x el cual es el logaritmo discreto de y g x displaystyle y g x para la base g displaystyle g Alicia coge un numero aleatorio v Z q displaystyle v in mathbb Z q calcula t g v displaystyle t g v y envia a Bob t displaystyle t Bob coge un numero aleatorio c Z q displaystyle c in mathbb Z q y se lo envia a Alicia Alicia calcula r v c x displaystyle r v cx y devuelve r displaystyle r a Bob Bob comprueba que t g r y c displaystyle t equiv g r y c lo cual sucede solo si g r y c g v c x g x c g v t displaystyle g r y c g v cx g xc g v t La heuristica de Fiat Shamir lo convierte en 6 Alicia quiere probar a Bob que conoce x displaystyle x el cual es el logaritmo discreto de y g x displaystyle y g x para la base g displaystyle g Alicia coge un numero aleatorio v Z q displaystyle v in mathbb Z q y calcula t g v displaystyle t g v Alicia calcula c H g y t displaystyle c H g y t donde H displaystyle H es una funcion hash criptografica Alicia calcula r v c x displaystyle r v cx El resultado de la prueba es el par t r displaystyle t r Cualquiera puede comprobar que t g r y c displaystyle t equiv g r y c ya que g r y c g v c x g x c g v t displaystyle g r y c g v cx g xc g v t Se ha demostrado que si el valor hash usado no depende del valor publico de y la seguridad del esquema es debil ya que un probador malicioso puede entonces seleccionar cierto x tal que el producto de cx es conocido 7 Referencias Editar Amos Fiat and Adi Shamir How to Prove Yourself Practical Solutions to Identification and Signature Problems CRYPTO 1986 pp 186 194 Verifiable Voting Systems Archivado el 15 de octubre de 2013 en Wayback Machine Thea Peacock et ali David Pointcheval and Jacques Stern Security Proofs for Signature Schemes EUROCRYPT 1996 pp 387 398 Shafi Goldwasser and Yael Kalai On the In security of the Fiat Shamir Paradigm FOCS 2003 pp 102 Camenisch Jan Stadler Markus 1997 Proof Systems for General Statements about Discrete Logarithms Dept of Computer Science ETH Zurich Bellare Mihir Rogaway Phillip 1993 Random Oracles are Practical A Paradigm for Designing Efficient Protocols ACM Bernhard David Pereira Olivier Warinschi Bogdan How not to Prove Yourself Pitfalls of the Fiat Shamir Heuristic and Applications to Helios En Wang Xiaoyun Sako Kazue eds Advances in Cryptology ASIACRYPT 2012 pp 626 643 Datos Q5446341 Obtenido de https es wikipedia org w index php title Heuristica de Fiat Shamir amp oldid 133728923, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos