En criptografía , el esquema de identificación Feige-Fiat-Shamir es un tipo de prueba paralela de conocimiento cero desarrollado por Uriel Feige , Amos Fiat y Adi Shamir en 1988. Como todas las pruebas de conocimiento cero, permite que una parte, el Probador, pruebe a otra parte, el Verificador, que posee información secreta sin revelarle al Verificador cuál es esa información secreta. Sin embargo, el esquema de identificación Feige-Fiat-Shamir utiliza aritmética modular y un proceso de verificación paralelo que limita la cantidad de comunicaciones entre el Probador y el Verificador.
Configuración
Siguiendo una convención común , llamaremos al demostrador Peggy y al verificador Víctor.
Elija dos números primos grandes p y q y calcule el producto n = pq . Cree números secretos coprimos con n . Calcule . Peggy y Victor reciben mientras y se mantienen en secreto. Luego, a Peggy se le envían los números . Estos son sus números de inicio de sesión secretos. Peggy le envía los números a Victor cuando ella desea identificarse ante Victor. Victor no puede recuperar los números de Peggy a partir de sus números debido a la dificultad de determinar una raíz cuadrada modular cuando se desconoce la factorización del módulo.
Procedimiento
- Peggy elige un entero aleatorio , un signo aleatorio y calcula . Peggy se lo envía a Víctor.
- Víctor elige números donde 0 o 1 son iguales. Víctor envía estos números a Peggy.
- Peggy calcula . Peggy envía este número a Víctor.
- Víctor comprueba eso y eso
Este procedimiento se repite con diferentes valores y hasta que Víctor está satisfecho de que Peggy efectivamente posee las raíces cuadradas modulares ( ) de sus números.
Seguridad
En el procedimiento, Peggy no le da ninguna información útil a Víctor. Se limita a demostrarle que tiene los números secretos sin revelarle cuáles son. Cualquiera que intercepte la comunicación entre Peggy y Víctor sólo obtendrá la misma información. El espía no obtendrá nada útil sobre los números secretos de Peggy. [ cita requerida ]
Supongamos que Eve ha interceptado los números de Victor pero no sabe cuáles son los números de Peggy. Si Eve quiere intentar convencer a Victor de que ella es Peggy, tendría que adivinar correctamente cuáles serán los números de Victor. Luego elige un , lo calcula y se lo envía a Victor. Cuando Victor envía , Eve simplemente le devuelve su . Victor está satisfecho y concluye que Eve tiene los números secretos. Sin embargo, la probabilidad de que Eve adivine correctamente cuáles serán los de Victor es de 1 en . Al repetir el procedimiento veces, la probabilidad se reduce a 1 en . Para y la probabilidad de hacerse pasar por Peggy con éxito es menor que 1 en 1 millón.
Referencias
- Feige, Uriel; Fiat, Amos; Shamir, Adi (1988). "Pruebas de identidad de conocimiento cero". Revista de criptología . 1 (2): 77–94. doi : 10.1007/BF02351717 . S2CID 2950602.
- Trappe, Wade; Washington, Lawrence C. (2003). Introducción a la criptografía con teoría de codificación . Upper Saddle River: Prentice-Hall. págs. 231–233. ISBN 0-13-061814-4.
- Wong, Chung Kei; Lam, Simon S (agosto de 1999). "Firmas digitales para flujos y multidifusiones" (PDF) . Transacciones IEEE/ACM sobre redes . 7 (4).(eFFS, esquema ampliado Feige-Fiat-Shamir)