【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 6.5 SM2数字签名算法 在政府高度重视和市场迫切需求的双向驱动下，国密算法SM1—SM9应时而生。其中，SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法，包含5个部分： 总则  数字签名算法 密钥交换协议 公钥加密算法 参数定义 曲线参数 SM2标准推荐使用256位素域Fp上的椭圆曲线y2=x3 + ax ...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 8.7环签名在区块链中的应用 2013年，Saberhagen等人基于环签名技术提出CryptoNote协议，该协议提出了匿名电子现金系统在隐私方面需要满足的两大特性，并针对这两大特性设计协议。 不可追踪性：对每个交易输入，所有可能的交易发起者都是等可能的 不可链接性：对任意两个交易输出，不能证明他们是否发送给同一用户 为了满足不可链接性，发送给同一接受者的不同资产需要发送到不同的...

​ 10-6身份鉴别协议 在一个安全的身份认证协议中，要保证用户身份识别的安全性，身份鉴别协议至少要满足以下条件： 证明者P能够向验证者V证明他的确是P（P向V证明自己有P的私钥）。 在证明者P向验证者V证明他的身份后，验证者V没有获得任何有用的信息（V不能模仿P向第三方证明他是P）。 该协议的目的是证明者P向验证者V证明他的身份（私钥），且事后V不能冒充P。 | Feige-Fiat-Shamir零知识身份鉴别协议 1986年，Feige、Fiat和Shamir基于零知识的思想设计了一个零知识身份鉴别协议，这就是著名的Feige-Fiat-Shamir零知识身份鉴别协议。 该协议...

​ 10-5NP问题的零知识证明（二） 哈密顿回路问题 |密顿回路的定义 哈密顿难题 HC零知识证明性质分析 完备性： 如果证明者知道图G的哈密顿回路，他对于不同的α都可以做出正确的响应。显然，诚实验证者接收的概率为1。 可靠性： 如果证明者不知道图G的哈密顿回路，那么他只能够以1/2的概率欺骗验证者。这个概率可以理解为证明者预先猜测成功验证者α值的概率。即诚实验证者每轮拒绝的概率为1/2。 零知识性： 可知的是，当α=0时，V获取的仅仅是一个G的同构；当α=1时，V确实得到了对应图的哈密顿回路，但是与的映射并未泄露。所以，V仍然无法获取G的哈密顿回路。 ​

​ 10-4 NP问题的零知识证明（一） 图同构问题 |图同构（GraphIsomorphism）的定义 验证者执行上述证明过程t轮后，且均未拒绝，则验证者接受证明者的证明，即相信两个图是同构的。 |GI零知识证明性质分析 今天的课程就到这里啦，下节课我们将继续学习经典交互式零知识证明，敬请期待！ ​

​ 10-2交互证明系统 在计算机复杂性理论中，交互证明系统（Interactiveproofsystem）是一种抽象机器，其将计算建模为两个参与方（证明者和验证者）之间的消息交换。通过交换信息，参与方证明某个声明成立（例如：，L为NP语言）。其中： 证明者（Prover）：拥有无穷的计算能力，且不可信； 验证者（Verifier）：拥有受限的计算能力（概率多项式时间），且诚实。 注：如果证明者能力也是受限、多项式时间的，该系统称为交互论证系统（Interactiveargumentsystem）。 交互证明系统的性质  完备性：对于正确的声明，验证者「总是」接受。也就是说，一...

​ 10-3零知识证明 零知识证明系统是交互证明系统的一个实例。 零知识证明系统所要完成的任务是「证明某一个事实并且不泄露知识」。 简而言之，零知识证明是一个两方参与的交互协议，其中证明者向验证者证明某一个断言的正确性，并且满足以下三个条件： 正确性-即若断言为真，则验证者总是接受证明； 可靠性-即若断言为假，则验证者总是拒绝证明； 零知识-即验证者无法从该证明过程中获取额外的信息。 零知识证明系统自身所具有的保密性和认证性正是密码学所追求的基本安全属性。 可靠性的两种形式 零知识性的三种形式 零知识性能够防止证明者向验证者泄露不必要的信息。 计算零知识性（Computationalz...

​ 9.8群签名在区块链中的应用 近年来，密码资产的兴起带动了区块链技术的腾飞，区块链技术已不再局限于密码货币、密码资产等应用，开始朝向商业化路径进发，在区块链技术商业化的同时问题也随之出现。 区块链的弱中心化、多中心化特征，使得区块链系统能够以成员共识机制实现信任自治。这种分布式系统结构摆脱了对中心节点的依赖，节点之间能够以对等网络的方式自由连接，进行可验证的数据存储，为上层智能合约提供可信数据。但区块链公开透明的特征又使得需要大量隐私保护需求的商业行为望而却步。链上隐私保护成为了区块链商业化的关键突破口。 「区块链+」的发展模式不断催生密码应用需求，高效隐私保护技术是区块链系统需要重点突...

​ 9.6CZK03算法 基于ID的数字签名方案中，双线性的引入为验证签名和打开签名都提供方便，CZK03群签名方案的安全性在随机预言机模型下是可证明安全的，但是即使是获得群成员证书的群成员在产生每一个签名时都需要从群管理员处获得新的授权，效率非常低，也使得群管理员的速度成为限制整个系统的瓶颈。 GapDiffie-Hellman群   下面介绍CZK03的算法流程： 1.Setup()   2.Enroll()   3.Sign() 群成员 随机选择 计算   {U,V,W,T,}为群成员对消息m的签名 4.Verify() 接收者 ...

​ 9.7群签名在区块链中的应用 近年来，数字资产成为了人们的新选择。然而，由于它们的匿名性，可能会导致一些新的威胁，如敲诈勒索、走私、逃税和洗钱。更糟糕的是，在匿名的掩护下很难追踪罪犯。 例如Not-Petya勒索软件，该软件被用来发起全球网络攻击，攻击了以乌克兰为首的多个国家的80多家公司。NotPetya通过加密整个硬盘从本地文件中提取密码，然后要求受害者支付300美元的密码货币解锁他们的电脑。 世界上最大的集装箱船和供应商马士基公司，由于NotPetya造成的业务中断，已造成约2-3亿美元的损失。不幸的是，沉船至今还没有被打捞上来。因此，必须对匿名密码货币进行监管，防止匿名被滥用。如...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 10-8身份鉴别协议 |Schnorr 身份鉴别协议 Schnorr提出了一种基于离散对数困难问题的身份鉴别协议，可以做预计算来降低实时通信量，所传输的数据量也减少许多，特别适合于计算能力有限的情况。 安全假设： 离散对数问题是计算困难的。 参数选取： 用户注册流程 鉴别协议流程 协议性质分析 完备性：显然，诚实验证者接收的概率为1。 可靠性：如果证明者不知道秘密值ω，...

【本课堂内容全部选编自武汉大学国家网络安全学院教授、博士生导师的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 10-11形式化定义 |OR证明 构造方式： 以sigma协议为基础构造 利用模拟器的特性 协议交互过程如下： |OR证明的安全性 完备性+特殊可靠性+特殊诚实验证者零知识性均满足；OR证明协议也是一个sigma协议。 另外，该协议还具备一个性质： 证据不可区分性（WitnessIndistinguishability,WI） 即任何敌手都无法区分证明者使用了哪个证据W0或W1。 |证据隐藏性（WitnessHidi...

10-12非交互式零知识证明 |Fiat-Shamir转换 回顾下Sigma协议，可以发现以下问题： 01Sigma协议的零知识性需要验证者是诚实的 那么，验证者不诚实的话，Sigma协议是否是零知识的？目前，无法说明这个问题。 02Sigma协议的安全基石除了困难问题外，还有什么？ 答案是随机挑战。在可靠性分析过程中，可以看出随机挑战值是决定错误概率的关键。 03Sigma协议的效率如何？限制有哪些？ 显然，计算量和通信量受限于协议的构造基石（如困难问题、挑战轮数等等）。而且，交互形式的协议限制了它的使用场景。 交互式零知识证明 只能够取信于一个验证者 只在某个时刻有效 非交互式零知识证明...

11-02密钥管理原则 密钥管理「8原则」 区分密钥管理的策略和机制 策略是密钥管理系统的高级指导。策略着重原则指导，而不着重具体实现。 密钥管理机制是实现和执行策略的技术和方法。  全程安全原则 必须在密钥的产生、存储、备份、分发、组织、使用、更新、终止和销毁等的全过程中对密钥采取妥善的安全管理。 最小权利原则 应当只分发给用户进行某一事务处理所需的最小的密钥集合。 责任分离原则 一个密钥应当专职一种功能，不要让一个密钥兼任几种功能。 密钥分级原则 可减少受保护的密钥的数量，又可简化密钥的管理工作。一般可将密钥划分为三级：主密钥，二级密钥，初级密钥。 主密钥-主密钥对应于层...

11-01密钥管理概述 密钥管理的重要性 所有的密码技术都依赖于密钥 现代密码体制要求加密算法是可以公开评估的，整个密码系统的安全性并不取决于对密码算法的保密或者是对加密设备等的保护。  决定整个密码体制安全性的因素将是密钥的保密性(“一切秘密予于密钥之中！”)。  密码算法可以公开，密码设备可以丢失，但它们都不危及密码体制的安全性；但一旦密钥丢失，非法用户将会有可能窃取信息。  在考虑密码系统的应用设计时，特别是在商用系统的设计时，需要解决的核心问题是密钥管理问题，而不是密码算法问题。例如：商用系统可以使用公开了的、经过大量评估分析认为抗攻击能力比较强的...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 9.4LC98算法 LC98是第一个基于离散对数的群签名方案，该方案相对于CS97效率更高，通信量小。 LC98群签名流程 1.Setup() 2.Enroll() 验证以下等式是否成立： 若成立，则将(,)作为自己的群证书 3.Sign() 推导出(r,s)为群成员对消息m的签名 4.Verify() 接收者 计算： 验证以下等式是否成立： 若成立，则为合法签名 5....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 10-10形式化定义 |二元关系 |可扩展性 两种方式可以将挑战长度扩展或压缩： 今天的课程就到这里啦，下节课我们将开始学习Sigma协议簇，敬请期待！ 同学们可以关注点宽学园，每周持续更新区块链系列课程，小宽带你进入区块链世界。我们下节课见啦。 【区块链与密码学】课堂回顾： ​​区块链与密码学系列文章合集​​

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 10-9Sigma协议簇 |Schnorr协议为例的三个分析 以Schnorr协议为例，进行如下分析： 以Schnorr协议为例，进行如下分析： 02 不诚实的证明者P如何成功欺骗验证者V呢？ 方法一：通过来h获取ω，相当于破解离散对数问题。 方法二：猜测验证者的挑战值e，而e的产生是均匀随机的，其猜测碰对的概率为2^（-t）。 理解：安全的协议参数需要满足以下两点...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 10-7身份鉴别协议 |Guillo-Quisquater 身份鉴别协议 Guillo和Quisquater给出了一个身份鉴别方案，这个协议需要可信第三方参与、三轮交互、利用RSA公钥密码体制。 鉴别协议流程 协议性质分析 今天的课程就到这里啦，下节课我们将继续学习身份鉴别协议，敬请期待！ 同学们可以关注点宽学园，每周持续更新区块链系列课程，小宽带你进入区块链世...

【本课堂内容全部选编自《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】 11-07公钥与私钥安全存储 使用公钥证书的主要好处 紧接上节课，目前，电子政务、电子商务等大型网络应用系统都采用公钥证书，这是为什么呢？ 用户只要获得用户的证书，就可以获得用户的公钥。 用户只要获得CA的公钥，就可验证证书的真伪，从而安全地获得用户的公钥。 因此公钥证书为公钥的分发奠定了基础，成为公钥密码在大型网络系统中应用的关键技术。 X.509证书 目前应用最广泛的证书格式是国际电信联盟(InternationalTelecommunicat...