定理(OPV)の証明 - 暗号理論教室

定理(OPV)の証明のアイデア

[構成(OPV)]

• コミットメント・トランスクリプト
  • (c, PK, P_PK(c)), (c₀, c₁, wiP(c₀,c₁)), (σ₀).
• デコミットメント・トランスクリプト
  • (m, P_PK(c,c₀,c₁), σ₁).

[コミットメント?に関する concurrent NM]

• 抽出可能性
  • A=C*に対し、そのP_PK(c*)よりコミット対象m*を抽出。
• 両義性
  • A=R*に対し、P_PK(c)の代わりにSim(c)。
• シミュレーション健全性
  • タグPKがセッションごとに異なるので、P_PK(c)の証明を流用できない。

[デコミットメントに関する concurrent NM]

• 抽出可能性
  • A=C*に対し、そのP_PK(c)よりコミット対象m*を抽出。
• 両義性
  • A=R*のwiP(c*₀,c*₁)よりfake witness (m*_b,s*_b) を抽出し、デコミットメント時のP_PK(c,c*₀,c*₁)に用いる。
• シミュレーション健全性：　※ ここがこのスキームのノベルティ
  • A=C*が、c*を、コミット時のメッセージmとは異なる、メッセージm'にデコミットするためには、
  • デコミット時のP_PK(c*,c₀,c₁)では、fake witness (m_b,s_b) を使うしかない。
  • よって、m' = m_bとなり、Rの生成したコミットメントc_bの秘匿性が破られる。
  • 実際に、そのような秘匿性攻撃者がAに対しRをシミュレートできるようにするため、wiP(c₀,c₁)が必要となる。

上へ

---