《基本的安全協(xié)議》

1根本的平安協(xié)議劉昆alexliukun@163中國(guó)礦業(yè)大學(xué)徐海學(xué)院編輯ppt2秘密分割設(shè)想你已創(chuàng)造了一種新的調(diào)味料，你只能告訴最信賴的雇員各種成分準(zhǔn)確的調(diào)合，但如果他們中的一個(gè)背叛到對(duì)手方時(shí)怎么辦呢？這種情況就要求秘密分割?！?〕Trent產(chǎn)生一隨機(jī)比特串R。〔2〕Trent用R異或M得到S：M⊕R=S〔3〕Trent把R給Alice，將S給Bob?！?〕重構(gòu)消息：Alice和Bob將他們的消息異或就可得到此消息R⊕S=M.如何在多個(gè)人中分割一消息？秘密分割的缺點(diǎn)是什么?編輯ppt33秘密共享是一種將秘密分割存儲(chǔ)的密碼技術(shù)，目的是阻止秘密過(guò)于集中，以到達(dá)分散風(fēng)險(xiǎn)和容忍入侵的目的，是信息平安和數(shù)據(jù)保密中的重要手段。背景重要的秘密不能都由一個(gè)人管理，勢(shì)必造成權(quán)力過(guò)于集中比起相信一個(gè)人更容易相信多數(shù)人機(jī)密性與強(qiáng)健性秘密共享把一個(gè)秘密消息分成n塊，分割給m個(gè)參與者每個(gè)參與者只擁有其中的一塊只有所有消息塊組合在一起才能恢復(fù)秘密每一塊對(duì)其擁有者來(lái)說(shuō)是沒(méi)用的.秘密共享編輯ppt4s1s2s3sn1…shares…23n-1nsn-1…parties…12…KeyHoles…t-1t秘密共享編輯ppt5秘密共享

有缺陷的秘密共享方案簡(jiǎn)單秘密共享方案(秘密分割)

秘密s=b1

b2…bn-1bn

1)選擇隨機(jī)數(shù)b1,….,bn-1

2)計(jì)算

bn=b1

b2…bn-1spasswordpasswordFlawedN個(gè)消息塊組合在一起才能恢復(fù)秘密

s

(不健全)編輯ppt6門(mén)限秘密共享方案假設(shè)Coca-Cola公司的董事會(huì)想保護(hù)可樂(lè)的配方.該公司總裁應(yīng)該能夠在需要時(shí)拿到配方，但在緊急的情況下，12位董事會(huì)成員中的任意3位就可以揭開(kāi)配方。這可以通過(guò)一個(gè)秘密共享方案實(shí)現(xiàn)t=3、n=15,其中3股給總裁，1股給其他每個(gè)董事會(huì)成員平安問(wèn)題機(jī)密性：抵抗任何不當(dāng)行為強(qiáng)健性：對(duì)任何可能出現(xiàn)的錯(cuò)誤的可靠性編輯ppt7(t,n)秘密共享(t<n)秘密K被拆分為n個(gè)份額的共享秘密利用任意t〔2≤t≤n〕個(gè)或更多個(gè)共享份額就可以恢復(fù)秘密K任何m–1或更少的共享份額是不能得到關(guān)于秘密SK的任何有用信息強(qiáng)健性：暴露一個(gè)份額或多到m–1個(gè)份額都不會(huì)危及密鑰，且少于m–1個(gè)用戶不可能共謀得到密鑰，同時(shí)假設(shè)一個(gè)份額被喪失或損壞，還可恢復(fù)密鑰Shamir秘密共享,Blakley秘密共享根據(jù)t和n的選擇，權(quán)衡平安性和可靠性。高t，提供高平安性，低可靠性低t，提供低平安性，高可靠性門(mén)限秘密共享編輯ppt8Shamir秘密共享(t,n)秘密共享秘密信息K把一個(gè)信息〔秘密地秘方，發(fā)射代碼等〕分成n局部(P1,…,Pn)，每局部叫做它的“影子〞或共享使用t-1次任意系數(shù)的隨機(jī)多項(xiàng)式Step1.構(gòu)造多項(xiàng)式：交易商選擇了一個(gè)共享秘密,K(<p:隨機(jī)素?cái)?shù))為常數(shù)項(xiàng)，F(xiàn)(x)=K+a1x+a2x2+…+ak-1xt-1modp為t-1次任意系數(shù)的隨機(jī)多項(xiàng)式。Step2.秘密分割：分配F(i)(i=1,…,n)平安共享Pi。Step3.秘密恢復(fù)：當(dāng)t共享=(K1,K2,…,Kt)其中n是給定的,使用拉格朗日差值多項(xiàng)式方案恢復(fù)K。

編輯ppt9例如：(3,5)秘密共享K=11,p=17構(gòu)造2次隨機(jī)多項(xiàng)式F(x)=K+a1x+a2x2modpa1=8,a2=7F(x)=11+8x+7x2mod17秘密分割K1=F(1)=712+81+119mod17K2=F(2)=722+82+114mod17K3=F(3)=732+83+1113mod17K4=F(4)=742+84+112mod17K5=F(5)=752+85+115mod17〔K1,K2,K3,K4,K5〕=(P1,…,P5)Shamir秘密共享編輯ppt10

解方程恢復(fù)秘密：

由

K2,K3,K4,我們可以得到

K=11

a

22+b2

+K

4mod17 a

32+b3

+K

13mod17 a

42+b4

+K

2mod17

解

3個(gè)變量的多項(xiàng)式方程

獲得

K.利用拉格朗日插值

For=(K1,K2,K3)Shamir秘密共享編輯ppt11可驗(yàn)證的秘密共享

如何知道你共享的秘密是正確的

?Feldman的可驗(yàn)證秘密共享

(VSS)承諾系數(shù)驗(yàn)證其共享份額的正確性

f(i)編輯ppt12在同一平面的兩非平行線相交于同一點(diǎn)

.不在同一平面三非平行線在空間相交于同一點(diǎn)

.更一般地，任何n維超平面相交于一個(gè)特定的點(diǎn)

秘密可能被編碼作為任何一個(gè)坐標(biāo)交點(diǎn)。

Blakley秘密共享編輯ppt13門(mén)限密碼閾值加密方案

一個(gè)消息是使用公鑰加密為了解密密文，需要超過(guò)閾值的共享份額合作來(lái)解密

門(mén)限簽名方案

為了簽名，需要超過(guò)閾值的共享份額合作來(lái)簽名

.簽字可以使用公鑰驗(yàn)證公布公鑰，但相應(yīng)的私鑰在多方共享

.編輯ppt14時(shí)間戳效勞在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。版權(quán)或?qū)＠麪?zhēng)端即是誰(shuí)有產(chǎn)生爭(zhēng)議的工作的最早的副本，誰(shuí)就將贏得官司。對(duì)于紙上的文件，公證人可以對(duì)文件簽名，律師可以保護(hù)副本。如果產(chǎn)生了爭(zhēng)端，公證人或律師可以證明某封信產(chǎn)生于某個(gè)時(shí)間。在數(shù)字世界中，事情要復(fù)雜得多。沒(méi)有方法檢查竄改簽名的數(shù)字文件。他們可以無(wú)止境地復(fù)制和修改而無(wú)人發(fā)現(xiàn)。編輯ppt15時(shí)間戳效勞仲裁解決方法Alice將文件的副本傳送給TrentTrent將他收到文件的日期和時(shí)間記錄下來(lái)，并妥善保存文件的副本存在問(wèn)題沒(méi)有保密性數(shù)據(jù)庫(kù)本身將是巨大的存在潛在錯(cuò)誤。傳送錯(cuò)誤或Trent的中央計(jì)算機(jī)中某些地方的電磁炸彈引爆可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣老實(shí)編輯ppt16時(shí)間戳效勞改進(jìn)的仲裁解決方法Alice產(chǎn)生文件的單向Hash值。Alice將Hash值傳送給Trent。Trent將接收到Hash值的日期和時(shí)間附在Hash值后，并對(duì)結(jié)果進(jìn)行數(shù)字簽名。Trent將簽名的散列和時(shí)間標(biāo)記送回給Alice。存在問(wèn)題可能有些運(yùn)行時(shí)間標(biāo)記業(yè)務(wù)的人并不像Trent那樣老實(shí)編輯ppt17時(shí)間戳效勞鏈接協(xié)議:將Alice的時(shí)間標(biāo)記同以前由Trent產(chǎn)生的時(shí)間標(biāo)記鏈接起來(lái)。由于Trent預(yù)先不知道他所接收的不同時(shí)間標(biāo)記的順序，Alice的時(shí)間標(biāo)記一定發(fā)生在前一個(gè)時(shí)間標(biāo)記之后。并且由于后面來(lái)的請(qǐng)求是與Alice的時(shí)間標(biāo)記鏈接，那么她必須出現(xiàn)在前面。Alice的請(qǐng)求正好夾在兩個(gè)時(shí)間之間。如果有人對(duì)Alice的時(shí)間標(biāo)記提出疑問(wèn)，她只需要和她的前后文件的發(fā)起者In-1和In+1接觸就行了編輯ppt18時(shí)間戳效勞分布式協(xié)議:人死后，時(shí)間標(biāo)記就會(huì)喪失。在時(shí)間標(biāo)記和質(zhì)詢之間很多事情都可能發(fā)生，以至Alice不可能得到In-1的時(shí)間標(biāo)記的副本，這個(gè)問(wèn)題可以通過(guò)把前面10個(gè)人的時(shí)間標(biāo)記嵌入Alice的時(shí)間標(biāo)記中得到緩解，并且將后面10個(gè)人的標(biāo)識(shí)都發(fā)給Alice。這樣Alice就會(huì)有更大的時(shí)機(jī)找到那些仍有他們的時(shí)間標(biāo)記的人。編輯ppt19閾下信道假設(shè)Alice和Bob被捕入獄。他將去男牢房，而她那么進(jìn)女牢房。看守Walter愿意讓Alice和Bob交換消息，但他不允許他們加密。Walter認(rèn)為他們可能會(huì)商討一個(gè)逃跑方案，因此，他想能夠閱讀他們說(shuō)的每個(gè)細(xì)節(jié)。Alice和Bob建立一個(gè)閾下信道，即完全在Walter視野內(nèi)的建立的一個(gè)秘密通信信道。通過(guò)交換完全無(wú)害的簽名的消息，他們可以來(lái)回傳送秘密信息，并騙過(guò)Walter，即使Walter正在監(jiān)視所有的通信。編輯ppt20閾下信道簡(jiǎn)易的閾下信道〔缺點(diǎn)是無(wú)密鑰〕可以是句子中單詞的數(shù)目。句子中奇數(shù)個(gè)單詞對(duì)應(yīng)“1〞，而偶數(shù)個(gè)單詞對(duì)應(yīng)“0〞?？梢允且环?huà)。如一棵蘋(píng)果樹(shù)，蘋(píng)果的個(gè)數(shù)代表一定的約定GustavusSimmons創(chuàng)造了傳統(tǒng)數(shù)字簽名算法中閾下信道的概念。Walter看到來(lái)回傳遞的簽名的無(wú)害消息，但他完全看不到通過(guò)閾下信道傳遞的信息。編輯ppt21使用閾下信道的根本過(guò)程〔1〕Alice產(chǎn)生一個(gè)無(wú)害消息，最好隨機(jī)；〔2〕用與Bob共享的秘密密鑰，Alice對(duì)這個(gè)無(wú)害信息這樣簽名，她在簽名中隱藏她的閾下信息；〔3〕Alice通過(guò)Walter發(fā)送簽名消息給Bob；〔4〕Walter讀這份無(wú)害的消息并檢查簽名，沒(méi)發(fā)現(xiàn)什么問(wèn)題，他將這份簽了名的消息傳遞給Bob；〔5〕Bob檢查這份無(wú)害消息的簽名，確認(rèn)消息來(lái)自于Alice；〔6〕Bob忽略無(wú)害的消息，而用他與Alice共享的秘密密鑰，提取閾下消息。編輯ppt22閾下信道的用途閾下信道的最顯見(jiàn)的應(yīng)用是在間諜網(wǎng)中。用一個(gè)閾下信道，Alice可以在受到威脅時(shí)平安地對(duì)文件簽名。她可以在簽名文件時(shí)嵌入閾下消息，說(shuō)“我被脅迫〞。別的應(yīng)用那么更為微妙，公司可以簽名文件，嵌入閾下信息，允許它們?cè)谖臋n整個(gè)文檔有效期內(nèi)被跟蹤。政府可以“標(biāo)記〞數(shù)字貨幣。惡意的簽名程序可能泄露其簽名中的秘密信息。其可能性是無(wú)窮的。編輯ppt23EIGamal簽名方案的閾下信道公鑰：p:素?cái)?shù)，g<p〔p,g可由一組用戶共享〕y=gx(modp)私鑰：x<p簽名：k:隨機(jī)選取，與p-1互素，a〔簽名〕=gkmodp，b〔簽名〕滿足M=(xa+kb)mod(p-1)(即有：b=(M-xa)k-1mod(p-1))驗(yàn)證：如果yaab(modp)=gM(modp)，那么簽名有效。編輯ppt24控制單向函數(shù)的輸出比特搜索選擇適當(dāng)?shù)膋，使得a=gkmodp中的某些位為閾下信息。EIGamal簽名方案的閾下信道編輯ppt25不使用隨機(jī)數(shù)的簽名方案是否存在閾下信道？Chuan-KunWu,Hashchannels,Computers&security,2005HASH信道編輯ppt26RSA數(shù)字簽名的閾下信道簽名者取兩個(gè)隨機(jī)大素?cái)?shù)p和q〔保密〕，計(jì)算公開(kāi)的模數(shù)r=pq(公開(kāi))，計(jì)算秘密的歐拉函數(shù)(r)=〔p-1〕(q-1)〔保密〕。隨機(jī)選取整數(shù)e，滿足gcd(e,(r))=1(公開(kāi)e，驗(yàn)證密鑰)計(jì)算d，滿足de≡1(mod(r))(簽名密鑰)簽名：y=H(x)d(modr),把x||y發(fā)送給驗(yàn)證者驗(yàn)證：檢查下式是否成立yd=H(x)(modr).選擇x的不同表達(dá)方式，使得H(x)中的某些位為閾下信息編輯ppt27RSA數(shù)字簽名的閾下信道編輯ppt28比特承諾Alice，這位令人驚異的魔術(shù)天才，正表演關(guān)于人類意念的神秘技巧。Alice將在Bob選牌之前猜中Bob將選的牌！Alice在一張紙上寫(xiě)出她的預(yù)測(cè)。Alice很神秘地將那張紙片裝入信封中并封上。Alice將封好的信封隨機(jī)地遞給一觀眾。“取一張牌，Bob，任選一張〞。他看了看牌而后將之出示給Alice和觀眾。是方塊7?，F(xiàn)在Alice從觀眾那里取回信封，并撕開(kāi)它。在Bob選牌之先寫(xiě)的預(yù)測(cè)，也是：方塊7！全場(chǎng)歡呼！編輯ppt29比特承諾這個(gè)魔術(shù)的要點(diǎn)在于，Alice在戲法的最后交換了信封。然而，密碼協(xié)議能夠提供防止這種花招的方法。承諾方案:Alice想對(duì)Bob承諾一個(gè)預(yù)測(cè)〔即1bit或bit序列〕，但直到某個(gè)時(shí)間以后才揭示她的預(yù)測(cè)。而另一方面，Bob想確信在Alice承諾了她的預(yù)測(cè)后，她沒(méi)有改變她的想法。編輯ppt30根本思想 承諾者Alice向接收者Bob承諾一個(gè)消息，承諾過(guò)程要求，Alice向Bob承諾時(shí)，Bob不可能獲得關(guān)于被承諾消息的任何信息；經(jīng)過(guò)一段時(shí)間后，Alice能夠向Bob證實(shí)她所承諾的消息，但是Alice無(wú)法欺騙Bob。.協(xié)議Alice把消息m放在一個(gè)箱子里并鎖住〔只有Alice有鑰匙可以翻開(kāi)箱子〕送給Bob；當(dāng)Alice決定向Bob證實(shí)消息時(shí)，Alice會(huì)把消息m及鑰匙給Bob；Bob能夠翻開(kāi)箱子并驗(yàn)證箱子里的消息與Alice出示的消息相同，并且Bob確信箱子里的消息在他的保管期間沒(méi)有被篡改。比特承諾編輯ppt31比特承諾方案具有兩個(gè)重要性質(zhì)隱蔽性:即接收者不能通過(guò)接收的箱子來(lái)確定承諾值m約束性:發(fā)送者不能改變箱子中的承諾值m

構(gòu)造比特承諾使用單向函數(shù):哈希函數(shù),公鑰加密比特承諾編輯ppt32比特承諾Alice承諾b〔使用對(duì)稱密碼算法〕〔1〕Bob產(chǎn)生一個(gè)隨機(jī)比特串R，并把它發(fā)送給Alice?！?〕Alice生成一個(gè)由她想承諾的比特b組成的消息〔b實(shí)際上可能是幾個(gè)比特〕，以及Bob的隨機(jī)串。她用某個(gè)隨機(jī)密鑰K對(duì)它加密，并將結(jié)果EK〔R，b〕送回給Bob。Alice揭示b當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：〔1〕Alice發(fā)送密鑰給Bob；〔2〕Bob解密消息以揭示比特。他檢測(cè)他的隨機(jī)串以證實(shí)比特的有效性。編輯ppt33比特承諾Alice承諾b〔使用單向函數(shù)的比特承諾〕〔1〕Alice產(chǎn)生兩個(gè)隨機(jī)比特串，R1和R2?！?〕Alice產(chǎn)生消息，該消息由她的隨機(jī)串和她希望承諾的比特組成。〔R1，R2，b〕?！?〕Alice計(jì)算消息的單向函數(shù)值，將結(jié)果以及其中一個(gè)隨機(jī)串發(fā)送給Bob。H〔R1，R2，b〕，R1。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：〔1〕Alice將原消息發(fā)給Bob?！睷1，R2，b〕；〔2〕Bob計(jì)算消息的單向函數(shù)值，并將該值及R1與原先第〔3〕步收到的值及隨機(jī)串比較。如匹配，那么比特有效。編輯ppt34比特承諾Alice承諾〔使用偽隨機(jī)序列發(fā)生器的比特承諾〕〔1〕Bob產(chǎn)生隨機(jī)比特串RB，并送給Alice。〔2〕Alice為偽隨機(jī)比特發(fā)生器生成一個(gè)隨機(jī)種子。然后，對(duì)Bob隨機(jī)比特串中的每一比特，她回送Bob下面兩個(gè)中的一個(gè)：(a)如果Bob比特為0，發(fā)生器輸出比特值；(b)如果Bob的比特為1，發(fā)生器輸出與她的承諾比特的異或。當(dāng)?shù)搅薃lice揭示她的比特的時(shí)候，協(xié)議繼續(xù)：〔1〕Alice將隨機(jī)種子送給Bob；〔2〕Bob確認(rèn)Alice的行動(dòng)是合理的。編輯ppt35公平的硬幣拋擲Alice和Bob想拋擲一個(gè)公平的硬幣，但又沒(méi)有實(shí)際的物理硬幣可拋。Alice提出一個(gè)用思維來(lái)拋擲公平硬幣的簡(jiǎn)單方法?！笆紫龋阆胍粋€(gè)隨機(jī)比特，然后我再想一個(gè)隨機(jī)比特，我們將這兩個(gè)比特進(jìn)行異或。〞Alice建議道。“但如果我們中有人不隨機(jī)拋擲硬幣怎么辦呢？〞Bob問(wèn)道?！斑@無(wú)關(guān)緊要，只要這些比特中的一個(gè)是真正隨機(jī)的，它們之異或應(yīng)該也是真正隨機(jī)的。〞Alice這樣答復(fù)。經(jīng)過(guò)思考后，Bob同意了。編輯ppt36公平的硬幣拋擲沒(méi)過(guò)多久，Alice和Bob碰到一本關(guān)于人工智能的書(shū)，這本書(shū)被丟棄在路旁。優(yōu)秀公民Alice說(shuō)：“我們中有一個(gè)必須揀起這本書(shū)，并找到一個(gè)適宜的垃圾箱。〞Bob同意并提議用拋幣協(xié)議來(lái)決定誰(shuí)必須將這本書(shū)扔掉。“如果最后的比特是‘0’，那么你必須揀取那本書(shū)，如果是‘1’，那我必須那樣做。〞Alice說(shuō)?！澳愕谋忍厥鞘裁矗卡旴ob答道：‘1’?！盀槭裁?，我的也是1〞Alice頑皮地說(shuō)“我猜測(cè)今天不是你的幸運(yùn)日。〞編輯ppt37拋硬幣游戲

假設(shè) Alice和Bob要離婚，討論誰(shuí)得到什么...并且倆人誰(shuí)也不想見(jiàn)誰(shuí)...在誰(shuí)擁有車這個(gè)問(wèn)題上有爭(zhēng)議。最后他們決定拋硬幣…問(wèn)題: 如果他們相互不信任，又如何能在里拋硬幣決定？Head,AliceTail,Bob編輯ppt38公平的硬幣拋擲首先，Bob確定一個(gè)比特，將它寫(xiě)在紙上，并裝入信封中。Alice公布她選的比特。Alice和Bob從信封中取出Bob的比特并計(jì)算隨機(jī)比特。只要至少一方老實(shí)地執(zhí)行協(xié)議，這個(gè)比特確實(shí)是真正隨機(jī)的。應(yīng)用：擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨時(shí)機(jī)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果。編輯ppt39公平的硬幣拋擲利用比特承諾協(xié)議〔1〕Alice利用比特承諾方案，對(duì)一個(gè)隨機(jī)比特承諾?！?〕Bob試圖去猜測(cè)這個(gè)比特。〔3〕Alice出示這個(gè)比特給Bob，如果Bob正確地猜出這個(gè)比特，他就贏得了這次拋幣。編輯ppt40公平的硬幣拋擲采用單向函數(shù)的拋幣協(xié)議〔1〕Alice選擇一個(gè)隨機(jī)數(shù)x，她計(jì)算y=f(x)，這里f(x)是單向函數(shù)；〔2〕Alice將y送給Bob；〔3〕Bob猜測(cè)x是偶數(shù)或奇數(shù)，并將猜測(cè)結(jié)果發(fā)給Alice；〔4〕如果Bob的猜測(cè)正確，拋幣結(jié)果為正面;如果Bob的猜測(cè)錯(cuò)誤，那么拋幣的結(jié)果為反面。Alice公布此次拋幣的結(jié)果，并將x發(fā)送給Ｂob；〔5〕Bob確信y=f(x)。編輯ppt41公平的硬幣拋擲公開(kāi)密鑰密碼拋幣協(xié)議要求加密算法滿足交換律(如RSA)。(1)Alice和Bob都產(chǎn)生一個(gè)公開(kāi)/私鑰密鑰對(duì)。(2)Alice產(chǎn)生兩個(gè)消息，其一指示正面，另一個(gè)指示反面。這些消息中包含有某個(gè)唯一的隨機(jī)串，以便以后能夠驗(yàn)證其在協(xié)議中的真實(shí)性。Alice用她的公開(kāi)密鑰將兩個(gè)消息加密，并以隨機(jī)的順序把他們發(fā)給Bob(3)Bob隨機(jī)地選擇一個(gè)。他用他的公開(kāi)密鑰加密并回送給Alice(4)Alice用她的私鑰解密并回送給Bob，即(5)Bob用他的私鑰解密消息，得到拋幣結(jié)果。他將解密后的消息送給Alice。(6)Alice讀拋幣結(jié)果，并驗(yàn)證隨機(jī)串的正確性。(7)Alice和Bob出示他們的密鑰對(duì)以便雙方能驗(yàn)證對(duì)方?jīng)]有欺詐編輯ppt42公平的硬幣拋擲擲幣入井協(xié)議注意到在所有這些協(xié)議中，Alice和Bob不能同時(shí)知道擲幣的結(jié)果。每個(gè)協(xié)議有一個(gè)點(diǎn)，在這個(gè)點(diǎn)上其中一方知道擲幣結(jié)果，但不能改變它。然而，這一方能推遲向另一方泄露結(jié)果。這被稱作擲幣入井協(xié)議。設(shè)想一口井，Alice在井的旁邊，而B(niǎo)ob遠(yuǎn)離這口井。Bob將幣扔進(jìn)井里去，幣停留在井中，現(xiàn)在Alice能夠看到井中的結(jié)果，但她不能到井底去改變它。Bob不能看到結(jié)果，直到Alice讓他走到足夠近時(shí)，才能看到結(jié)果。這個(gè)協(xié)議的實(shí)際應(yīng)用是會(huì)話密鑰生成。擲幣協(xié)議能讓Alice和Bob產(chǎn)生隨時(shí)機(jī)話密鑰，以便雙方都不能影響密鑰生成的結(jié)果編輯ppt43智力撲克Alice與Bob想通過(guò)網(wǎng)絡(luò)玩牌Alice與Bob互不信任他們?nèi)绾喂降匕l(fā)牌?編輯ppt44智力撲克(1)Alice生成52個(gè)消息M1，M2，

，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開(kāi)密鑰加密，然后回送給Alice。(3)Alice解密消息并回送給Bob。(4)Bob解密以確定他的一手牌。然后，Bob隨機(jī)地選擇第(1)步剩下的47個(gè)消息中的另外5個(gè)消息，并發(fā)給Alice。(5)Alice解密它們，變成她的一手牌。在游戲結(jié)束時(shí)，Alice和Bob雙方出示他們的牌和密鑰對(duì)使得任意一方確信另一方?jīng)]有作弊。已經(jīng)證明，如果使用RSA算法，那么這些撲克協(xié)議會(huì)泄漏少量的信息(可標(biāo)記牌)編輯ppt45智力撲克AB52555編輯ppt46三方智力撲克(1)Alice生成52個(gè)消息M1，M2，

，M52,加密后送給Bob。(2)Bob隨機(jī)選取5張牌，用他的公開(kāi)密鑰加密，然后回送給Alice,Bob將余下的47張牌EA(Mn)送給Carol。(3)Carol隨機(jī)選取5張牌，用她的公開(kāi)密鑰加密，然后回送給Alice(4)Alice解密消息并回送給Bob和Carol。(5)Bob和Carol解密以確定他的一手牌。然后，Carol隨機(jī)地選擇剩下的42個(gè)消息中的另外5個(gè)消息，并發(fā)給Alice。(6)Alice解密它們，變成她的一手牌。在游戲結(jié)束時(shí)，Alice,Bob和Carol雙方出示他們的牌和密鑰對(duì)使得任意一方確信另一方?jīng)]有作弊。編輯ppt47三方智力撲克ABC525475