Protocolo de Cramer-Damgard-Schoenmakers

El protocolo de Cramer-Damgard-Schoenmakers o protocolo CDS, también conocido por los nombres protocolo de testigo indistinguible o técnica k-de-n ZKP (del inglés 1-out-of-n ZKP technique) permite probar que se conoce la solución de k problemas de un conjunto de n problemas (k<n) sin revelar para cuales de los problemas se tiene la solución.^[1][2]

Supongamos que:^[1]

• Existen n diferentes cuestiones ${\displaystyle Q_1,Q_2,...,Q_n}$
• El probador P quiere probar a un verificador V que conoce la solución de una de las cuestiones
• P no quiere que V encuentre a qué problema él conoce la solución.

Establecemos el siguiente protocolo:^[1]

1. Supongamos que P conoce la solución ${\displaystyle d_i}$ de la cuestión ${\displaystyle Q_i}$, entonces P elige aleatoriamente un ${\displaystyle r_i}$ y calcula un genuino testigo ${\displaystyle t_i}$. A continuación desafíos falsos ${\displaystyle c_j}$, y respuestas falsas ${\displaystyle s_j}$ y los usa para fabricar testigo ${\displaystyle t_j,j\ne i}$. P envía ${\displaystyle (t_1,t_2,...,t_n)}$ a V.
2. V aleatoriamente elige un desafío ${\displaystyle c^{*}}$ y lo envía a P.
3. P calcula ${\displaystyle c_i=c^{*}-\sum _{j\ne i}{c}_j}$ y calcula la respuesta real ${\displaystyle s_i}$, usando ${\displaystyle r_i}$, ${\displaystyle c_i}$ y su conocimiento ${\displaystyle d_i}$. Después de esto P, envía ${\displaystyle (c_1,c_2,...,c_n)}$ y ${\displaystyle (s_1,s_2,...,s_n)}$ a V.
4. V verifica que ${\displaystyle c^{*}={\displaystyle \sum _{k=1}^n}{c}_k}$ y para todas las cuestiones, cada una de sus pruebas se cumplen. Sin embargo, V no podrá distinguir la prueba real entre las pruebas falsas.

Este protocolo se usa en esquemas de voto verificables para probar que un texto cifrado es consecuencia de cifrar alguno de los elementos de un conjunto de valores diferentes.^[1]

Por ejemplo, el protocolo CDS se ha usado para demostrar que un voto cifrado con ElGamal es uno de dos posibles votos que se pueden realizar en un referéndum ("SÍ" o "NO") sin revelar cual es lo cual es un problema 1-de-2 ZKP.^[2]

Para llegar a un problema donde aplicar el protocolo CDS codifica con ${\displaystyle g^0}$ al "NO" y con ${\displaystyle g^1}$ al "SI". Formalizando se tiene que ${\displaystyle m=g^{v_i}}$ con ${\displaystyle v_i=\{0,1\}}$. Por tanto los votos cifrados tienen la forma ${\displaystyle (g^{x_i},K^{x_i}{\dot{g}}^{v_i})}$ con K perteneciente a la clave pública y x_i aleatorio.^[2]

Por tanto dado un voto cifrado con ElGamal ${\displaystyle (x,y)=(g^{x_i},m\cdot h^{x_i})}$ se tiene que poder demostrar que m puede ser ${\displaystyle m_0=g^0}$ o ${\displaystyle m_1=g^1}$ sin revelar cual es. El objetivo a demostrar es probar la siguiente sentencia OR demostrable por el protocolo CDS (al que previamente se le ha convertido en un protocolo no interactivo usando la heurística de Fiat-Shamir):^[2]

${\displaystyle {\log }_{g}x={\log }_h(y/m_0)\vee {\log }_{g}x={\log }_h(y/m_1)}$

Demostración: Partiendo de ${\displaystyle (x,y)=(g^{x_i},m\cdot h^{x_i})}$ tenemos:

• Despejando ${\displaystyle x_i}$ en ${\displaystyle x=g^{x_i}}$ tenemos ${\displaystyle x_i={\log }_{g}x}$
• Despejando ${\displaystyle x_i}$ en ${\displaystyle y=m\cdot h^{x_i}}$ tenemos ${\displaystyle x_i={\log }_h(y/m)}$
• Uniendo las dos igualdades tenemos ${\displaystyle x_i={\log }_{g}x={\log }_h(y/m)}$

Plantilla:Listaref

Plantilla:Control de autoridades