Prova de conhecimento zero: diferenças entre revisões

Em criptografia, uma prova de conhecimento zero' ou protocolo de conhecimento zero é um método pelo qual uma parte (o provador) pode provar, à outra parte (o verificador), que conhece um valor x sem transmitir qualquer informação além do fato de que eles conhecem o valor x. A essência das provas de conhecimento zero é que é trivial provar que alguém possui conhecimento de certas informações simplesmente revelando-as. O desafio é provar tal posse sem revelar a própria informação ou qualquer informação adicional.^[1]

Se a prova de uma afirmação requer que o provador possua algumas informações secretas, então o verificador não será capaz de provar a afirmação a ninguém sem possuir as informações secretas. A declaração sendo provada deve incluir a afirmação de que o provador possui tal conhecimento, mas não o conhecimento em si. Caso contrário, a declaração não seria provada em conhecimento zero porque fornece ao verificador informações adicionais sobre a declaração ao final do protocolo. Uma prova de conhecimento de conhecimento zero é um caso especial quando a afirmação consiste apenas no fato de que o provador possui a informação secreta.

Provas interativas de conhecimento zero requerem interação entre o indivíduo (ou sistema de computador) que prova seu conhecimento e o indivíduo que está validando a prova.^[1]

Um protocolo que implementa provas de conhecimento de conhecimento zero deve necessariamente exigir uma entrada interativa do verificador. Esta entrada interativa é geralmente na forma de um ou mais desafios, de modo que as respostas do provador convencerão o verificador se e somente se a afirmação for verdadeira, ou seja, se o provador possuir o conhecimento alegado. Se esse não for o caso, o verificador pode registrar a execução do protocolo e reproduzi-la para convencer outra pessoa de que possui as informações secretas. A aceitação da nova parte é justificada pelo fato de o reprodutor possuir as informações (o que implica que o protocolo vazou informações e, portanto, não foi provado em conhecimento zero) ou a aceitação é espúria, ou seja, foi aceita por alguém que na verdade não possue as informações.

Existem algumas formas de provas de conhecimento zero não interativas, ^[2][3] mas a validade da prova depende de suposições computacionais (normalmente as suposições de uma função de dispersão criptográfica ideal).

Exemplo abstrato

Existe uma história muito conhecida, que apresenta algumas das ideias da prova de conhecimento-zero, publicada primeiramente por Jean-Jacques Quisquater e outros no artigo "Como Explicar Protocolos de Conhecimento-Zero para suas Crianças".^[4] É prática comum rotular as duas partes em uma prova de conhecimento-zero como Priscila (a provadora da declaração) e Victor (o verificador da declaração).

Nesta história, Priscila descobriu a palavra secreta usada para abrir uma porta mágica em uma caverna. A caverna de formato circular, tem a entrada por um lado e a porta mágica bloqueando o lado oposto. Victor diz que vai pagar-lhe pelo segredo, mas não até que ele esteja certo de que ela realmente saiba o segredo. Priscila diz que vai contar-lhe o segredo, mas não até que ela receba o dinheiro. Eles bolam um esquema no qual Priscila pode provar que conhece o segredo, sem contudo contá-lo para Victor.

Primeiro, eles rotulam de A e B os caminhos à esquerda e à direita da entrada da caverna. Victor espera do lado de fora, enquanto Priscila entra na caverna, tomando o caminho A ou B aleatoriamente. Victor, então, entra na caverna e grita o nome do caminho A ou B, escolhido aleatoriamente, que ele deseja que ela use para retornar. Se Priscila realmente sabe a palavra mágica, isso é fácil: ela abre a porta, se necessário, e retorna ao longo do caminho desejado. Note-se que Victor não sabe por qual caminho ela entrou na caverna..

No entanto, supondo que ela não soubesse a palavra-mágica, ela só seria capaz de voltar pelo caminho escolhido por Victor se este fosse o mesmo caminho escolhido por ela para entrar. Uma vez que Victor iria escolher A ou B de forma aleatória, Priscila teria 50% de chance de adivinhar corretamente. Se fossem repetir este truque muitas vezes, por exemplo, 20 vezes seguidas, a chance de Priscila ser bem sucedida, prevendo todos os pedidos de Victor, se tornaria muito pequena.

Assim, se Priscila consegue sair da caverna pelos caminhos escolhidos por Victor, ele pode concluir que, muito provavelmente, ela conhece a palavra secreta.

Definição

A prova de conhecimento-zero deve satisfazer três propriedades:

1. Integralidade: se a afirmação é verdadeira, um verificador honesto (isto é, aquele que segue o protocolo corretamente) vai ser convencido deste fato por um provador honesto.
2. Corretude: se a afirmação é falsa, nenhum falso provador poderá convencer o verificador honesto de que a afirmação é verdadeira, exceto com alguma pequena probabilidade.
3. Conhecimento-zero: se a afirmação é verdadeira, nenhum verificador simulado aprende outra coisa senão o fato de que a afirmação é verdadeira. Isto é formalizado mostrando-se que cada verificador enganoso tem algum simulador que, dado somente a instrução a ser provada (e sem acesso ao provador), pode produzir uma transcrição que "parece" uma interação entre o provador honesto e verificador enganoso.

As duas primeiras propriedades são também características dos sistemas de prova interativa. A terceira propriedade é o que faz a prova de conhecimento-nulo.

Provas de conhecimento-zero não são provas no sentido matemático do termo, porque existe uma probabilidade pequena, o erro da corretude, de que um provador fraudulento seja capaz de convencer o verificador com uma declaração falsa. Em outras palavras, elas são probabilísticas e não determinísticas. No entanto, existem técnicas para reduzir o erro de corretude a valores insignificantes.

Exemplos práticos

Logaritmo discreto de um determinado valor

Podemos aplicar essas idéias a uma aplicação de criptografia mais realista. Peggy quer provar a Victor que conhece o logaritmo discreto de um determinado valor em um determinado grupo.^[5]

Por exemplo, dado um valor ${\displaystyle y}$, um grande primo ${\displaystyle p}$ e um gerador ${\displaystyle g}$, ela quer provar que conhece um valor ${\displaystyle x}$ tal que ${\displaystyle g^{x}{\bmod {p}}=y}$, sem revelar ${\displaystyle x}$. De fato, o conhecimento de ${\displaystyle x}$ poderia ser usado como prova de identidade, pois Peggy poderia ter tal conhecimento porque escolheu um valor aleatório ${\displaystyle x}$ que ela não revelou a ninguém, calculado ${\displaystyle y=g^{x}{\bmod {p}}}$ e distribuiu o valor de ${\displaystyle y}$ para todos os verificadores potenciais, de forma que, mais tarde, provar conhecimento de ${\displaystyle x}$ é equivalente a provar sua identidade como Peggy.

O protocolo procede da seguinte forma: em cada rodada, Peggy gera um número aleatório ${\displaystyle r}$, calcula ${\displaystyle C=g^{r}{\bmod {p}}}$ e divulga isso para Victor. Depois de receber ${\displaystyle C}$, Victor aleatoriamente emite uma das seguintes duas solicitações: ele solicita que Peggy divulgue o valor de ${\displaystyle r}$ ou o valor de ${\displaystyle (x+r){\bmod {(p-1)}}}$. Com qualquer uma das respostas, Peggy está divulgando apenas um valor aleatório, de modo que nenhuma informação é divulgada pela execução correta de uma rodada do protocolo.

Victor pode verificar qualquer uma das respostas. Se ele solicitou ${\displaystyle r}$, ele pode então calcular ${\displaystyle g^{r}{\bmod {p}}}$ e verificar se corresponde a ${\displaystyle C}$. Se ele solicitou ${\displaystyle (x+r){\bmod {(p-1)}}}$, ele pode verificar que ${\displaystyle C}$ é consistente com isso, calculando ${\displaystyle g^{(x+r){\bmod {(p-1)}}}{\bmod {p}}}$ e verificando se ele corresponde a ${\displaystyle C\cdot y{\bmod {p}}}$. Se Peggy realmente conhece o valor de ${\displaystyle x}$, ela pode responder a qualquer um dos possíveis desafios de Victor.

Se Peggy soubesse ou pudesse adivinhar qual desafio Victor vai lançar, então ela poderia facilmente trapacear e convencer Victor de que ela conhece ${\displaystyle x}$ quando ela não conhece. Se ela sabe que Victor vai solicitar ${\displaystyle r}$, então ela procede normalmente: ela escolhe ${\displaystyle r}$, calcula ${\displaystyle C=g^{r}{\bmod {p}}}$, divulga ${\displaystyle C}$ para Victor e será capaz de responder ao desafio. Por outro lado, se ela souber que Victor solicitará ${\displaystyle (x+r){\bmod {(p-1)}}}$, então ela escolhe um valor aleatório ${\displaystyle r'}$, calcula ${\displaystyle C'=g^{r'}\cdot \left(g^{x}\right)^{-1}{\bmod {p}}}$, e divulga ${\displaystyle C'}$ para Victor como o valor de ${\displaystyle C}$ que ele está esperando. Quando Victor a desafia a revelar ${\displaystyle (x+r){\bmod {(p-1)}}}$, ela revela ${\displaystyle r'}$, para o qual Victor verificará a consistência, pois ele por sua vez calculará ${\displaystyle g^{r'}{\bmod {p}}}$, que corresponde a ${\displaystyle C'\cdot y}$, desde que Peggy tenha multiplicado pelo inverso multiplicativo modular de ${\displaystyle y}$.

No entanto, se em qualquer um dos cenários acima, Victor emite um desafio diferente daquele que ela esperava e para o qual ela fabricou o resultado, então ela será incapaz de responder ao desafio sob a suposição de inviabilidade de resolver o logaritmo discreto para esse grupo. Se ela escolheu ${\displaystyle r}$ e divulgou ${\displaystyle C=g^{r}{\bmod {p}}}$, será incapaz de produzir um ${\displaystyle (x+r){\bmod {(p-1)}}}$ válido que passaria pela verificação de Victor, visto que não conhece ${\displaystyle x}$. E se escolheu um valor ${\displaystyle r'}$ que se apresenta como ${\displaystyle (x+r){\bmod {(p-1)}}}$, então teria que responder com o logaritmo discreto do valor que ela divulgou. Mas Peggy não conhece esse logaritmo discreto, já que o valor C que ela divulgou foi obtido por meio de aritmética com valores conhecidos e não calculando uma potência com um expoente conhecido.

Assim, um provador de trapaça tem 0,5 probabilidade de trapacear com sucesso em uma rodada. Ao executar um número grande o suficiente de rodadas, a probabilidade de sucesso de um provador de trapaça pode ser arbitrariamente baixa.

Breve resumo

Peggy prova saber o valor de x (por exemplo, sua senha).

1. Peggy e Victor concordam em um primo ${\displaystyle p}$ e um gerador ${\displaystyle g}$ do grupo multiplicativo do campo ${\displaystyle \mathbb {Z} _{p}}$.
2. Peggy calcula o valor ${\displaystyle y=g^{x}{\bmod {p}}}$ e transfere o valor para Victor.
3. As duas etapas a seguir são repetidas um (grande) número de vezes.
   1. Peggy escolhe repetidamente um valor aleatório ${\displaystyle r\in U[0,p-1]}$, calcula ${\displaystyle C=g^{r}{\bmod {p}}}$ e transfere o valor ${\displaystyle C}$ para Victor.
   2. Victor pede a Peggy que calcule e transfira o valor ${\displaystyle (x+r){\bmod {(p-1)}}}$ ou o valor ${\displaystyle r}$. No primeiro caso, ele verifica ${\displaystyle (C\cdot y){\bmod {p}}\equiv g^{(x+r){\bmod {(p-1)}}}{\bmod {p}}}$. Já no segundo caso, ele verifica ${\displaystyle C\equiv g^{r}{\bmod {p}}}$.

O valor ${\displaystyle (x+r){\bmod {(}}p-1)}$ pode ser visto como o valor criptografado de ${\displaystyle x{\bmod {(}}p-1)}$. Se ${\displaystyle r}$ é verdadeiramente aleatório, igualmente distribuído entre zero e ${\displaystyle (p-1)}$, isso não vaza nenhuma informação sobre ${\displaystyle x}$ (verifique o artigo cifra de uso único ou chave de uso único (OTP)).

Ciclo hamiltoniano para um grande gráfico

Podemos estender estas ideias para uma aplicação mais real de criptografia. Neste cenário, Priscila conhece o ciclo hamiltoniano para uma grande grafo, G. Victor conhece G, mas não o caminho (por exemplo Priscila gerou G e revelou a ele.) Priscila provará que sabe o caminho sem revelá-lo. Um ciclo hamiltoniano em um grafo é apenas uma maneira de implementar a prova de conhecimento-zero; de fato, qualquer problema NP-completo pode ser usado, como também outros problemas difíceis, como por exemplo, fatoração.^[6] Entretanto, Priscila não deseja simplesmente revelar o ciclo hamiltonianao ou qualquer outra informação para Victor; ela deseja manter o caminho em segredo (talvez Victor esteja interessado em comprá-lo, mas deseja, antes, obter verificação, ou talvez Priscila é a única a conhecer esta informação e está provando sua identidade para Victor).

Priscila, para mostrar que conhece o caminho hamiltoniano, joga várias rodadas do jogo com Victor.

• No começo de cada rodada, Priscila cria H, um grafo isomórfico de G (isto é, H é semelhante a G, exceto que todos os vértices possuem nomes diferentes). Uma vez que é trivial traduzir um ciclo hamiltoniano entre grafos isomórficos, se Priscila conhece o ciclo hamiltoniano para G, ela também deve conhecer um para H.
• Priscila compromete-se a H. Ela pode fazê-lo usando um esquema de compromisso. Alternativamente ela pode numerar os vértices de H e, para cada aresta de H, escrever uma pequena nota contendo os dois vértices da aresta e então colocar estas notas de cabeça para baixo sobre uma mesa. O propósito deste compromisso é que Priscila não seja capaz de modificar H, enquanto Victor ainda não tiver informação sobre H.
• Victor, então, escolhe aleatoriamente uma ou duas questões para perguntar a Priscila. Ele tanto pode pedir a ela para mostrar o isomorfismo entre H e G ( ver problema do isomorfismo gráfico) ou o ciclo hamiltoniano em H.
• Se Priscila é convidada a mostrar que os dois grafos são isomórficos, ela primeiramente revela todo H (por exemplo, virando as notas que ela colocou sobre a mesa) e então fornece os vértices que mapeiam G to H. Victor pode verificar que eles são realmente isomórficos.
• Se Priscila é questionada a provar que conhce um ciclo hamiltoniano em H, ela traduz seu ciclo hamiltoniano de G para H e só revela as bordas sobre o ciclo hamiltoniano. Isto é suficiente para Victor verificar que H contém efectivamente um ciclo hamiltoniano.

Integridade:

Durante cada rodada, Priscila não sabe qual pergunta lhe será solicitada, até que forneça H a Victor. Portanto, para ser capaz de responder a ambos, H deve ser isomorfo a G e deve ter um ciclo hamiltoniano em H. Porque só alguém que conhece um ciclo hamiltoniano em G seria sempre capaz de responder a ambas as perguntas, Victor (depois de um número suficiente de rodadas) se convence de que Priscila realmente conhece essa informação.

Conhecimento-Zero:

As respostas de Priscila não revelam o ciclo hamiltoniano original em G. A cada rodada, Victor aprenderá apenas sobre o isomorfismo de H G ou um ciclo hamiltoniano em H. Ele precisaria de ambas as respostas para um único H a fim de descobrir o ciclo em G; assim, a informação permanece desconhecida, enquanto Priscila puder gerar um únicoH para cada rodada. Se Priscila desconhecesse um ciclo hamiltoniano em G, mas de alguma forma soubess de antemão que Victor pediria para ver cada rodada, então ela poderia enganar. Por exemplo, se Priscila sabia de antemão que Victor pediria para ver o ciclo hamiltoniano em H, então ela poderia gerar um ciclo hamiltoniano para um gráfico não relacionado. Da mesma forma, se Priscila sabia de antemão que Victor iria pedir para ver o isomorfismo, então ela poderia simplesmente gerar um grafoo isomórfico H(no qual ela também desconhece um ciclo hamiltoniano). Victor poderia simular o protocolo por si mesmo (sem Priscila) porque ele sabe o que vai pedir para ver. Assim, Victor não ganha informação alguma sobre o ciclo hamiltoniano em G a partir da informação revelada em cada rodada.

Corretude:

Se Priscila não sabe a informação, ela pode adivinhar qual questão Victor vai perguntar e gerar tanto um grafo isomórfico paraG como um ciclo hamiltoniano para um gráfico independente, mas uma vez que ela não sabe um ciclo hamiltoniano para G, ela não pode fazer ambos. Com este exercício de adivinhação, sua chance de enganar Victor é de 2⁻ⁿ, onde n é o número de rodadas. Para todos os propósitos reais, é praticamente difícil derrotar uma prova de conhecimento-zero com um número razoável de rodadas desta forma.

Variantes do conhecimento-zero

Distintas variantes do conhecimento-zero podem ser definidas formalizando-se o conceito intuitivo do que se entende por a saída do simulador "parecendo" com a execução do protocolo de prova real das seguintes formas:

• Fala-se de perfeito conhecimento-zero, se as distribuições produzidas pelo simulador e o protocolo de prova são distribuídos exatamente da mesma forma. Este é, por exemplo, o caso do primeiro exemplo acima.

• Conhecimento-zero estatístico significa que as distribuições não são exatamente as mesmas, mas são estatisticamente próximas, o que significa que a sua diferença estatística é uma função desprezível.

• Falamos de conhecimento-nulo computacional, se nenhum algoritmo eficiente pode distinguir as duas distribuições.

Aplicações

Sistemas de autenticação

A pesquisa em provas de conhecimento zero foi motivada por sistemas de autenticação em que uma parte deseja provar sua identidade a uma outra parte por meio de algumas informações secretas (como uma senha), mas não quer que a segunda parte saiba nada sobre esse segredo. Isso é chamado de "prova de conhecimento de conhecimento zero". No entanto, uma senha é normalmente muito pequena ou insuficientemente aleatória para ser usada em muitos esquemas para provas de conhecimento de conhecimento zero. Uma prova de senha de conhecimento zero é um tipo especial de prova de conhecimento de conhecimento zero que aborda o tamanho limitado das senhas. ^{[carece de fontes?]}

Comportamento ético

Um dos usos das provas de conhecimento zero nos protocolos criptográficos é impor um comportamento honesto enquanto mantém a privacidade. Grosso modo, a ideia é forçar um usuário a provar, usando uma prova de conhecimento zero, que seu comportamento está correto de acordo com o protocolo.^[7][8] Por causa da integridade, sabemos que o usuário deve realmente agir com honestidade para poder fornecer uma prova válida. Por não ter conhecimento, sabemos que o usuário não compromete a privacidade de seus segredos no processo de fornecimento da prova.^{[carece de fontes?]}

Desarmamento nuclear

Em 2016, o laboratório de física de plasma e a universidade de Princeton demonstraram uma técnica que pode ter aplicabilidade em futuras palestras de desarmamento nuclear. Isso permitiria aos inspetores confirmar se um objeto é ou não uma arma nuclear sem registrar, compartilhar ou revelar o funcionamento interno que pode ser secreto.^[9]

Notas

Ligações externas

• Applied Kid Cryptography – Uma simples explicação de provas de conhecimento-zero usando Where's Waldo? como exemplo (em inglês)
• Uma introdução a provas de conhecimento-zero com aplicações na criptografia (em inglês)
• Como construir sistemas de prova de conhecimento-zero para NP (em inglês)
• Um sistema eficiente e não-interativo de prova de conhecimento-zero estatística para produtos primos quasi-seguros (em inglês)
• Totorial por Oded Goldreich sobre provas de conhecimento-zero (em inglês)
• Salil Vadhan, Tese de Ph.D. de Vadhan sobre conhecimento-zero estatístico (em inglês)
• Theory of Computing Course, Cornell University 2009, Zero knowledge proofs (em inglês)