Dlaczego niepotrzebne nam hasło do skrzynki mailowej?

Zapewne zdecydowana większość Czytelników ma skrzynkę poczty elektronicznej. Dostęp do skrzynki uzyskuje się przez podanie w specjalnym formularzu na stronie internetowej nazwy użytkownika i hasła. Te dane są następnie szyfrowane i wysyłane do serwera pocztowego, który porównuje je z umieszczonymi na nim wzorcami. Tak, w dużym uproszczeniu, wygląda proces weryfikacji użytkownika na serwerze.

Czy można wyobrazić sobie inną metodę uzyskiwania dostępu do skrzynki pocztowej? Taką, by nie trzeba było podawać hasła? W końcu stanowi to pewne zagrożenie dla naszego bezpieczeństwa: jeśli ktoś przechwyci, w ten czy inny sposób, nasze hasło i nazwę użytkownika, to uzyska nieograniczony dostęp do naszych zasobów – listów, dokumentów, historii przejrzanych stron – czego zapewne sobie nie życzymy.

Dowody z wiedzą zerową

Z pomocą przychodzą wtedy tzw. dowody z wiedzą zerową. Są to protokoły pozwalające na potwierdzenie faktu znajomości pewnej informacji bez ujawniania jej. Dla lepszego zilustrowania tego typu protokołów rozpatrzmy następujący przykład weryfikacji tożsamości w banku:

Przykład 1

W protokole tym będzie brało udział dwóch „graczy” – pierwszy będzie chciał potwierdzić swoją tożsamość i oznaczany będzie literą $\text{[math]}$ (od angielskiego słowa Prover; gracz ten jest nazywany także klientem), drugi będzie weryfikował informacje przesyłane przez gracza $\text{[math]}$ i oznaczany będzie literą $\text{[math]}$ (od angielskiego słowa Verifier; inna nazwa tego gracza to weryfikator).

W protokole wykorzystywane są dwa grafy o $\text{[math]}$ wierzchołkach, $\text{[math]}$ i $\text{[math]}$ Gracz $\text{[math]}$ będzie starał się udowodnić, że są one izomorficzne. Należy tu nadmienić, że stwierdzenie, czy dane dwa grafy są izomorficzne, jest w ogólnym przypadku problemem trudnym obliczeniowo i nie jest znane jego rozwiązanie działające w czasie wielomianowym.

Ale jaki związek ma dowodzenie izomorficzności grafów z uwierzytelnianiem? Możemy przyjąć, że w bazie danych banku znajduje się informacja z imieniem i nazwiskiem gracza $\text{[math]}$ oraz grafami $\text{[math]}$ i $\text{[math]}$ znanymi publicznie, podanymi przez gracza $\text{[math]}$ podczas zakładania konta. Gracz $\text{[math]}$ chcąc przekonać bank, że on to on, przedstawia się, a następnie wykazuje, że jest osobą, która potrafi udowodnić izomorficzność grafów $\text{[math]}$ i $\text{[math]}$ Mógłby to, oczywiście, zrobić, zdradzając permutację $\text{[math]}$ jednak po takim zabiegu nic nie stałoby na przeszkodzie, by nieuczciwy gracz $\text{[math]}$ po poznaniu permutacji podszył się pod klienta $\text{[math]}$ wypłacając w jego imieniu dużą ilość gotówki. Zamiast tego gracze $\text{[math]}$ i $\text{[math]}$ przeprowadzą między sobą $\text{[math]}$ razy następujący protokół (oznaczmy go jako $\text{[math]}$ ):

(1): Klient $\text{[math]}$ wybiera losową permutację $\text{[math]}$ zbioru $\text{[math]}$ -elementowego i przesyła do weryfikatora $\text{[math]}$ graf $\text{[math]}$
(2): Weryfikator $\text{[math]}$ przysyła graczowi $\text{[math]}$ losowy bit $\text{[math]}$
(3): Jeśli otrzymany przez gracza $\text{[math]}$ bit ma wartość 0, to wybiera on nową permutację $\text{[math]}$ a w przeciwnym przypadku $\text{[math]}$ Gracz $\text{[math]}$ wysyła następnie permutację $\text{[math]}$ do weryfikatora $\text{[math]}$
(4): Weryfikator $\text{[math]}$ sprawdza teraz, czy $\text{[math]}$ Jeśli tak, to uznaje, że gracz $\text{[math]}$ pomyślnie przeszedł proces weryfikacji. Jeśli nie, odrzuca jego próbę i przerywa protokół.

Od takiego protokołu będziemy wymagać trzech rzeczy. Po pierwsze, protokół przeprowadzony przez uczciwego gracza $\text{[math]}$ musi zostać zaakceptowany. Po drugie, próba udowodnienia nieprawdziwego twierdzenia (w tym przypadku – próba wykazania, że dwa nieizomorficzne grafy są izomorficzne) powinna powodować zatrzymanie i brak akceptacji protokołu (z prawdopodobieństwem bliskim 1). Podobnie będzie z próbą udowodnienia prawdziwego twierdzenia przy braku znajomości przez gracza permutacji wyznaczającej izomorfizm. Trzecią własnością jest wiedza zerowa, tj. weryfikator $\text{[math]}$ po wykonaniu (nawet wielokrotnym) protokołu $\text{[math]}$ nie może podszyć się pod gracza $\text{[math]}$

Na początku wykażemy, że jeśli klient $\text{[math]}$ jest uczciwy, to weryfikator $\text{[math]}$ zaakceptuje jego próbę uwierzytelnienia się. Otóż jeżeli bit wysłany przez weryfikatora $\text{[math]}$ w drugim kroku protokołu miał wartość 0, to uczciwy klient $\text{[math]}$ odpowiedział na niego permutacją $\text{[math]}$ co daje $\text{[math]}$ Załóżmy teraz, że przesłany bit miał wartość 1. Klient $\text{[math]}$ wysyła wtedy permutację $\text{[math]}$ więc $\text{[math]}$ Zatem w obu przypadkach $\text{[math]}$ i weryfikator $\text{[math]}$ akceptuje wykonanie protokołu.

Wykażemy teraz, dlaczego protokół $\text{[math]}$ zostanie przerwany przez weryfikatora $\text{[math]}$ jeśli oszust $\text{[math]}$ będzie próbował przekonać go do nieprawdziwego twierdzenia. Przyjmijmy więc, że klient $\text{[math]}$ został pozytywnie zweryfikowany przez $\text{[math]}$ podczas gdy grafy $\text{[math]}$ i $\text{[math]}$ nie są izomorficzne. Załóżmy, że w każdym z $\text{[math]}$ wykonań protokołu oszust umiał odpowiedzieć poprawnie, zarówno wtedy, gdy zadany w drugim kroku bit miał wartość 0, jak i 1. Niech $\text{[math]}$ i $\text{[math]}$ oznaczają funkcje $\text{[math]}$ otrzymane w trzecim kroku algorytmu, gdy zadany przez weryfikatora $\text{[math]}$ bit miał odpowiednio wartość 0 i 1. Mamy wtedy $\text{[math]}$ i $\text{[math]}$ oraz $\text{[math]}$ Czyli, znając $\text{[math]}$ i $\text{[math]}$ oszust $\text{[math]}$ jest w stanie wskazać izomorfizm pomiędzy grafami $\text{[math]}$ i $\text{[math]}$ co nie jest możliwe. Mogło oczywiście być tak, że w każdym z $\text{[math]}$ wykonań protokołu gracz $\text{[math]}$ poprawnie zgadł wartość bitu, o jaki zostanie zapytany przez sprawdzającego $\text{[math]}$ (łatwo wykazać, że stworzenie takiego grafu $\text{[math]}$ iż oszust $\text{[math]}$ jest w stanie poprawnie odpowiedzieć na dokładnie jedną wartość bitu $\text{[math]}$ nie stanowi problemu, jednak wtedy szansa na powodzenie tej iteracji protokołu wynosi dokładnie $\text{[math]}$ gdyż takie jest prawdopodobieństwo, że weryfikator $\text{[math]}$ wylosuje bit $\text{[math]}$ o ustalonej wartości). Jednak to zdarzenie ma prawdopodobieństwo równe $\text{[math]}$ a więc dla odpowiednio dużego $\text{[math]}$ jest zaniedbywalnie małe.

Powyższe rozumowanie wykazuje również, iż nieuczciwy gracz $\text{[math]}$ który próbuje przekonać weryfikatora $\text{[math]}$ do tego, że zna permutację $\text{[math]}$ taką że $\text{[math]}$ mimo braku tej wiedzy, też nie zakończy protokołu sukcesem (tj. zaakceptowaniem przez weryfikatora $\text{[math]}$ ).

Aby wykazać, że weryfikator $\text{[math]}$ w podanym protokole nie dowiaduje się niczego istotnego o sekrecie gracza $\text{[math]}$ tj. mimo wielokrotnego przeprowadzenia protokołu nie jest w stanie podszyć się pod niego, wprowadza się pojęcie symulatora działającego w czasie wielomianowym (z prawdopodobieństwem równym $\text{[math]}$ gdzie $\text{[math]}$ jest zaniedbywalnie małe). Symulator $\text{[math]}$ wykonuje protokół z weryfikatorem $\text{[math]}$ „podszywając się” pod $\text{[math]}$ ( $\text{[math]}$ nie ma dostępu do prywatnych informacji gracza $\text{[math]}$ a jedynie zna jego odpowiedzi na pewną liczbę zapytań w procesie weryfikacji). Protokół $\text{[math]}$ jest bezpieczny, gdy weryfikator $\text{[math]}$ nie jest w stanie stwierdzić, czy operacje, które wykonuje, przeprowadza z prawdziwym graczem $\text{[math]}$ czy z symulatorem $\text{[math]}$ (prawdopodobieństwo, że odpowie dobrze, jest równe $\text{[math]}$ gdzie $\text{[math]}$ jest zaniedbywalnie małe). Formalny opis symulatora $\text{[math]}$ i przeprowadzenie pełnego rozumowania wymaga

wprowadzenia dużej ilości nowej terminologii i zostanie w tym artykule pominięte. Zainteresowani Czytelnicy są zachęcani do przeczytania literatury podanej na końcu artykułu.

$\text{[math]}$ -protokoły

Zaprezentowany powyżej protokół musiał być wykonywany wiele razy pod rząd, by można go było użyć do weryfikacji, ponieważ poprawne „przejście” jego pojedynczej iteracji przez nieuprawnionego gracza ma szansę powodzenia $\text{[math]}$

Aby ograniczyć liczbę iteracji do minimum (czytaj: do jednej), wprowadzono protokoły, w których gracz weryfikujący $\text{[math]}$ przesyła w drugim kroku zamiast pojedynczego bitu $\text{[math]}$ ciąg $\text{[math]}$ zwany wyzwaniem, który traktujemy jako liczbę naturalną zapisaną binarnie. Ilustracją tej metody może być protokół zaprezentowany poniżej:

Przykład 2

Niech $\text{[math]}$ i $\text{[math]}$ będą liczbami pierwszymi, takimi że $\text{[math]}$ jest dzielnikiem $\text{[math]}$ i niech $\text{[math]}$ będzie elementem rzędu $\text{[math]}$ w grupie $\text{[math]}$ Ponadto niech $\text{[math]}$ W zaprezentowanym protokole wartości $\text{[math]}$ i $\text{[math]}$ są publiczne, a gracz $\text{[math]}$ będzie przekonywać gracza $\text{[math]}$ że zna wartość $\text{[math]}$ Zrobi to w następujący sposób:

(1): Gracz $\text{[math]}$ wybiera losowo liczbę $\text{[math]}$ z ciała $\text{[math]}$ a następnie wysyła graczowi $\text{[math]}$ liczbę $\text{[math]}$
(2): Weryfikator $\text{[math]}$ wybiera losowe wyzwanie $\text{[math]}$ i wysyła je graczowi $\text{[math]}$
(3): Gracz $\text{[math]}$ oblicza $\text{[math]}$ i wysyła tę wartość weryfikatorowi.
(4): Weryfikator sprawdza, czy $\text{[math]}$ Jeśli tak, akceptuje protokół, a jeśli nie, przerywa go.

Przede wszystkim zauważmy, że uczciwy gracz $\text{[math]}$ zostanie zawsze zaakceptowany przez gracza $\text{[math]}$ Jak łatwo sprawdzić, $\text{[math]}$ co jest zgodne z ostatnim punktem protokołu.

$\text{[math]}$ -protokoły mają jeszcze jedną interesującą własność: jeśli gracz $\text{[math]}$ potrafi przy danym $\text{[math]}$ odpowiedzieć na dwa różne wyzwania $\text{[math]}$ i $\text{[math]}$ to potrafi znaleźć świadka $\text{[math]}$ (a zatem odpowiedzieć na dowolne wyzwanie). Przyjmując, że odpowiedzią gracza $\text{[math]}$ na wyzwanie $\text{[math]}$ było $\text{[math]}$ a odpowiedzią na wyzwanie $\text{[math]}$ było $\text{[math]}$ mamy:

display-math

Dzieląc jedno równanie przez drugie i mając na uwadze fakt, że $\text{[math]}$ otrzymamy

display-math

W ten sposób uzyskaliśmy $\text{[math]}$ (dzielenie rozumiemy tutaj jako mnożenie przez odwrotność modulo $\text{[math]}$ ). Zatem jeśli gracz $\text{[math]}$ nie zna sekretu $\text{[math]}$ to jest w stanie odpowiedzieć poprawnie na co najwyżej jedno wyzwanie weryfikatora $\text{[math]}$ (na jakie wyzwanie konkretnie będzie chciał odpowiadać, wybiera, tworząc wiadomość $\text{[math]}$ ). Prawdopodobieństwo, że gracz $\text{[math]}$ wyśle mu wybrane przez niego wyzwanie $\text{[math]}$ wynosi $\text{[math]}$ a więc jest zaniedbywalnie małe.

Warto w tym miejscu zaznaczyć, że $\text{[math]}$ -protokoły nie mają wspomnianej wcześniej własności bycia protokołem z wiedzą zerową. Są nimi, jeśli przyjmiemy dodatkowe założenie – o uczciwości weryfikatora $\text{[math]}$ Wydaje się, że jest ono niezbyt praktyczne, ale własność ta jest wystarczająca do budowy wielu bardziej złożonych konstrukcji, które mają zastosowanie w realnym świecie. Na przykład, można dzięki nim zbudować efektywny system obsługi płatności elektronicznych, który zapewnia taką samą anonimowość jak płacenie gotówką. Ale to już całkiem inna historia...