Loading
Apuntes
Study Reminders
Support
Text Version

Sistemas de identificación

Set your study reminders

We will email you at these times to remind you to study.
  • Monday

    -

    7am

    +

    Tuesday

    -

    7am

    +

    Wednesday

    -

    7am

    +

    Thursday

    -

    7am

    +

    Friday

    -

    7am

    +

    Saturday

    -

    7am

    +

    Sunday

    -

    7am

    +

Fundamentos de Criptografía Dr. Ashish Choudhury Departamento de Informática Instituto Internacional de Tecnología de la Información – Conferencia de Bangalore – 53 Esquemas de identificación (Consultar tiempo de la diapositiva: 00:39) Hola a todos, bienvenidos a esta conferencia. El plan para esta conferencia es el siguiente. En esta conferencia, introduciremos la definición de esquema de identificación, que es un conocido primitivo critográfico y veremos una instanciación del esquema de identificación, a saber, veremos la descripción del esquema de identificación de Schnorr basado en el supuesto de registro discreto. En la siguiente conferencia, veremos que cómo usar la heurística de Fiatt-Shamir, podemos convertir el esquema de identificación Schnorr en una instanciación del esquema de firma digital basado en la suposición discreta de las anotaciones. (Consulte la hora de la diapositiva: 01 :01) Así que intentemos entender la motivación detrás del esquema de identificación. Así que, de nuevo déjame tomar un ejemplo, que dije durante nuestra primera conferencia. Por lo tanto, se trata de un conocido episodio de Sunderkand en Ramayana. Por lo tanto, Ram está en la India y está muy decepcionado. Le falta la madre Sita, por lo que instruye a su mensajero que por favor vaya y pase mi mensaje a Sita que la estoy perdiendo. El mensajero que es el Señor Hanuman dice como usted desea a mi señor y entonces Ram dice que como usted va a conocer a Sita por primera vez, ella puede pedirle que pruebe su identidad. Así que puedes tomar este anillo como una prueba porque solo Sita sabe de este anillo y el mensajero toma el anillo y él va a Lanka y entonces él comienza la interacción con la madre Sita diciendo que yo soy el mensajero de Señor Ram y tengo un mensaje para ti. Pero Sita está tan asustada allí, por lo que no está dispuesta a creer a Hanuman, entonces pregunta cómo puedo confiar en ti y demostrar tu identidad y Hanuman demuestra su identidad al mostrar el anillo que el Señor Ram le ha dado a Hanuman y una vez que la Madre Sita ve el anillo, ella acepta la identidad del mensajero. Así, en este ejemplo, el anillo sirve como prueba y confirma la identidad y la prueba de Hanuman. La prueba de que Hanuman dio se muestra en claro, pero resulta, que es extremadamente peligroso mostrar la prueba en claro en la edad actual de Kalyuga, donde la prueba es muy volátil y la gente puede no confiarse. Por lo tanto, el esquema de identificación es un primitivo criptográfico, básicamente es un protocolo n-interactivo entre dos entidades, lo que permite a un prover demostrar su identidad. En este ejemplo, Hanuman sin revelar las credenciales secretas a saber el anillo. Por lo tanto, vamos a los detalles formales del esquema de identificación y estamos interesados en la construcción del esquema de identificación en el entorno de la clave pública, y más específicamente nos centraremos en tres rondas o compromiso de identificación de respuesta desafío, pero no es necesario que su esquema de identificación debe tener tres rondas. Pero estamos interesados en estudiar únicamente el esquema de identificación consistente en tres rondas de interacción, porque más adelante veremos cómo podemos construir esquemas de firma a partir de tres esquemas de identificación redonda. Por lo que un esquema de identificación consta de cuatro protocolos. Así que tenemos algoritmo de generación de claves, y tendremos dos algoritmos, P1 y P2 para el prover que quiere demostrar su identidad. Y tendremos un protocolo o un algoritmo para el verificador utilizando el cual el verificador puede verificar la identidad del probador. Por lo tanto, la forma en que utilizamos un esquema de identificación es la siguiente. Por lo tanto, tenemos un prover y un verificador. El algoritmo de generación de claves se ejecutará principalmente por el prover y ejecutará el algoritmo de generación de claves para obtener una clave de verificación y una clave secreta. La clave de verificación estará disponible en el dominio público para verificar la identidad de la llamada prover mientras que la clave secreta estará disponible sólo para el prover y utilizando este esquema de identificación, el objetivo del prover es convencer al verificador que es consciente de la clave de verificación que de hecho el prover conoce la clave secreta correspondiente sk asociada con esta clave de verificación vk y la forma en que esto sucede es por un protocolo de 3 rondas. Así que durante la primera ronda, prover ejecuta el algoritmo P1, que toma una clave secreta de entrada y el compromiso de salidas, que denotamos por I, y el compromiso se da al verificador. El prover envía el compromiso al verificador y junto con que el algoritmo P1 da salida a la información del estado, que el prover mantiene consigo mismo. Ahora viendo el compromiso, el verificador escoge un reto, que denoté por r. Este desafío se selecciona de un espacio de desafío y el desafío se elige de manera uniforme al azar del espacio de desafío y al ver el desafío r del verificador, el prover tiene que presentar una respuesta, y la respuesta es denotada por s, que se calcula ejecutando el algoritmo P2, que toma la clave secreta sk, la información del estado y el desafío. Al ver la respuesta, el verificador tiene que verificar si el probador ha respondido correctamente en respuesta al desafío r, con respecto al compromiso I, que el prover se ha comprometido en la ronda 1 y para verificar que el verificador ejecuta el algoritmo V, que toma la clave de verificación, el desafío y la respuesta y el objetivo del verificador es verificar si la salida de este algoritmo V es igual al compromiso que yo o no. Si la salida coincide con el compromiso, entonces decimos que el verificador acepta la identidad del prover, eso significa que el verificador está convencido de que en efecto el prover es la persona que conoce la clave secreta correspondiente a la clave de verificación disponible públicamente, mientras que si esta prueba de que la salida del algoritmo V debería ser igual a I falla, entonces el verificador no está convencido de que el prover que realmente participó en este protocolo conoce la clave secreta correspondiente sk. Así que una ejecución exitosa en este protocolo implica que la comunicación ocurrió de hecho con el prover previsto y no un impostor. Más específicamente, requerimos de las siguientes dos propiedades de un esquema de identificación. Por lo tanto, la primera propiedad es la propiedad de corrección, que dice que para cada par de clave que su algoritmo de generación de claves podría producir y cada transcripción, que se genera mediante la ejecución de una instancia del esquema de identificación, lo siguiente debe mantener. Si el verificador ejecuta el algoritmo de verificación con respecto a la clave de verificación y el componente r y s de la transcripción, debe dar el componente I de la transcripción. Esto significa que la verificación debe tener éxito en el lado del verificador. Por lo tanto, esa es la propiedad de corrección. La propiedad de seguridad informalmente requiere que un impostor o un cuentagotas que haya escuchas una interacción entre un prover y verificador número polinomio de los tiempos no debería ser capaz de llegar a aceptar la transcripción y conseguir con éxito que se acepte en el lado del verificador y esto debe mantener si mi adversario está computacionalmente acotado. Así que básicamente lo que significa es, si el adversario ha visto el número polinomial de conversaciones entre un prover honesto y un verificador honesto entonces incluso después de ver un número polinómico de conversaciones en ausencia de la clave secreta sk y sólo con el conocimiento de la clave de verificación vk, no debería ser posible para el cuentagotas computacionalmente acotado para fingir como un probador y llegar con una conversación de aceptación, que se acepta en el lado del verificador. (Consulte la hora de la diapositiva: 08:48) Así, modelizamos este requisito este requisito informal por un experimento de seguridad. Así que en este experimento, al que llamamos como el experimento de identificación Ident (, tenemos un adversario computacionalmente acotado y el retador y la descripción del esquema de identificación se conoce públicamente, por lo que el retador va primero y ejecuta el algoritmo de generación de claves, mantiene la clave secreta consigo misma, y envía la clave de verificación al adversario. Ahora, lo que el adversario puede exigir es, puede exigir para el acceso de oráculo al servicio de transcripción y esto modela el hecho de que en el mundo real, podría haber un adversario que pudo haber visto el número polinomio de interacciones, o el número polinomio de instancias del esquema de identificación ejecutado entre un prover honesto y un verificador honesto. Por lo tanto, ese adversario podría haber visto el número polinomio de transcripciones bajo la incógnita clave sk, que podría estar disponible sólo con el prover. Así que, para modelar eso, le damos al adversario aquí acceso de Oracle al servicio de transcripción, por lo que para responder a este acceso de Oracle, lo que el retador tiene que hacer básicamente lo siguiente. Por lo tanto, conoce la clave de verificación vk, y conoce también la clave secreta sk, por lo que ejecuta la instancia de este esquema de identificación, simulando el papel del probador y el verificador en su mente. Por lo tanto, básicamente, sólo ejecuta la instancia de este esquema de identificación como jugando el papel del propio prover. Jugar el papel del propio verificador y generar los correspondientes I, r, s y esa transcripción se devuelve en respuesta al servicio de acceso de Oracle que el adversario ha pedido y puesto que el adversario podría pedir acceso de Oracle al servicio de transcripción por un número polinomio de veces, cada vez que llega un acceso de Oracle o una solicitud de Oracle, el retador tiene que generar una transcripción simulada como esta y se le ha dado al adversario. Una vez que el adversario es entrenado por ver el número polinómico de la transcripción, trata de llegar con una transcripción falsificada y tratar de conseguir que sea aceptada por el retador. Así que para hacer eso, pretende como si fuera el prover y trata de llegar con la transcripción aceptada sin siquiera conocer la correspondiente sk secreta, por lo que envía un compromiso, que denoté por I*. En respuesta el retador presenta un desafío, que denoté por r *, y en respuesta al desafío que el adversario presenta una respuesta s *. Este triplete I*, r *, y s * es una transcripción falsificada, que el adversario está tratando de producir con respecto a todo este experimento y la definición del experimento dice que el adversario es capaz de forjar una transcripción, que se denota diciendo que la salida de este experimento es una, si y sólo si el algoritmo de verificación v, cuando es ejecutado por el retador con respecto a la clave de verificación, y r * componente, y s * componente de esta transcripción falsificada de hecho da I*. Eso significa, I*, r *, s * constituye una transcripción de aceptación, y nuestra definición de seguridad es que decimos que un esquema de identificación es seguro si por cada adversario poli-tiempo que participa en este experimento, la posibilidad de que pueda ganar el experimento está limitada por alguna función insignificante. (Consultar Tiempo de Slide: 12 :42) Por lo tanto, esa es nuestra definición de nuestro esquema de identificación. Ahora, veamos si podemos llegar a una instanciación de tal esquema y hay un esquema de identificación bien conocido debido a Schnorr, y se basa en la siguiente idea. Por lo tanto, básicamente prover en este esquema de identificación trata de demostrar su identidad diciendo que conoce el registro discreto de un valor conocido públicamente y bajo la base g DLog (, y para verificar la reclamación del probador, el verificador básicamente desafía al prover para mostrar una combinación lineal aleatoria del registro discreto de y, donde los combinadores aleatorios para la combinación lineal serán seleccionados por el verificador. Por lo tanto, la idea aquí es que de hecho, si el prover conoce el registro discreto de y, entonces debe ser capaz de producir una combinación lineal aleatoria del registro discreto de y con cualquier otro valor de la gama correspondiente del registro discreto, y toda esta interacción sucede en la moda del conocimiento cero en el sentido de que a lo largo de la interacción, se garantizará que de hecho el prover conoce el registro discreto de y a la base g, entonces el registro discreto no es aprendido por un verificador malicioso. Por lo tanto, el algoritmo de generación de claves de este esquema es el siguiente. Emite una clave de verificación y la clave secreta, donde la clave de verificación es la descripción de un grupo cíclico de orden q y una descripción del generador y el elemento aleatorio y del grupo donde y es básicamente gx, donde x se selecciona del conjunto 0 a q-1 y la clave de verificación es el registro discreto de y, que es x estará disponible con el probador, mientras que la clave de verificación es y estará disponible con el verificador. Por lo tanto, el prover va primero en este esquema de identificacion y compromete un valor k del conjunto seleccionado Zq por computo gk, por lo que es un valor aleatorio que da al verificador y el reto escogido por el verificador es un valor aleatorio r, seleccionado del conjunto Zq y para responder al reto, basicamente el prover tiene que llegar con una combinacion lineal del registro discreto x de la y. El valor k que ha seleccionado en la ronda 1 y la combinación lineal aleatoria aquí es (r * x + k) módulo q y para verificar si la respuesta del prover es correcta o no, el verificador tiene que verificar si gs * y-r = I o no, que en realidad debería ser el caso si realmente prover conoce x y ha enviado gk durante la primera ronda. Por lo tanto, antes de entrar en el análisis de este esquema de identificación, vamos a ver una definición aquí, decimos un triple I, r, s donde yo es un elemento de grupo, y r y s son elementos de Zq es una transcripción de aceptación si gs * y-r = me depara y la propiedad de corrección del esquema de identificación son de Schnorr se deduce del hecho de que efectivamente el prover y el verificador son honestos y prover conoce ese registro discreto de y. Es decir, sabe x, entonces la transcripción generada por ejecutar una instancia del esquema de identificación de Schnorr será de hecho una transcripción de aceptación. Por lo tanto, la verificación en el final del verificador será satisfactoria. Así que eso prueba la propiedad de corrección. Ahora, vamos a tratar de entender la propiedad de seguridad aquí. Por lo tanto, primero consideramos un cuentagotas aquí e imaginamos que el prover y el verificador son honestos y hay un cuentagotas que ha monitoreado el número polinomio de ejecuciones del esquema de Identificación de Schnorr. Así que imagínese que ha espiado una transcripción, que es yo, r, s, y reclamo aquí que al ver la transcripción no aprender nada sobre la clave secreta sk, es decir, el registro discreto de y a la base g, que es x, y esto es porque si usted ve la distribución del compromiso, es decir, el yo, es independiente de x porque el compromiso que soy gk, donde k es elegido independiente de x. De la misma manera, el componente r de la transcripción, es completamente independiente de x y es escogido por el verificador, por lo que tampoco revela nada sobre el secreto x. Sin embargo, si usted ve el valor s, entonces el valor es (r * s + k), por lo que uno podría sentir que al ver s, el cuentagotas podría aprender algo sobre x, pero no es el caso aquí porque la distribución de s aquí es independiente de x porque la k que se utiliza en el cálculo de combinación lineal s es independiente y elegido al azar por el prover, y si el prover es honesto, entonces el valor k, que se utiliza en la combinación lineal, será uniformemente aleatorio y desconocido para el adversario. Eso significa sólo ver al adversario, de nuevo no puede averiguar nada sobre x y eso significa que un cuentagotas que ve una transcripción de aceptación I, r, s, no aprenderá nada sobre el secreto subyacente x. Lo que el adversario o el cuentagotas aprenderá sólo que la transcripción I, r, s es una transcripción de aceptación y su distribución es independiente de x. Así que basado en esta observación, podemos hacer una afirmación muy fuerte aquí que, podemos decir que cualquier cuentagotas puede simular una transcripción de aceptación basada en el conocimiento de la clave de verificación en sí. Eso significa, es tan bueno como decir que incluso si no sucede ninguna interacción entre el prover y el verificador, el cuentagotas podría venir con una distribución de probabilidad de la transcripción, lo que sería visto por escuchas conversaciones reales entre el prover y el verificador y cómo puede esto ser posible, aquí está la manera en que el adversario o el cuentagotas podría llegar con una transcripción simulada por su cuenta sin siquiera espiar la conversación entre el prover y el verificador. Por lo tanto, lo que el cuentagotas podría hacer es, podría elegir al azar un valor r y s de Zq y luego una vez que elija el valor r y el valor s, podría establecer el valor I como el valor de gs que ha elegido, multiplicado por el valor y-r que ha elegido, y resulta que si se compara la distribución de probabilidad de las transcripciones reales, y por transcripciones reales, me refiero a las transcripciones, que en realidad se generan por la ejecución real de este esquema de identificación de Schnorr donde un prover honesto y un verificador honesto participa en el protocolo. Si consideramos la distribución de probabilidad de las transcripciones simuladas, por lo que las transcripciones simuladas, quiero decir, las transcripciones que son generadas por el cuentagotas por este método, donde no ve la ejecución real del protocolo, pero viene con los valores de I, r, s usando el método, que he discutido justo ahora. Así que si considero la distribución de probabilidad de estas dos transcripciones, son exactamente idénticas. Esto se debe a que si ves la distribución de probabilidad del valor r en las transcripciones reales y la distribución de probabilidad del valor r bajo transcripciones simuladas son idénticas. En una ejecución real, r será elegido al azar del conjunto Zq, y en la transcripción simulada también los valores r también se recogen al azar del conjunto Zq. De la misma manera en la transcripción real s va a ser un valor uniformemente aleatorio de Zq porque k habría sido elegido uniformemente al azar por el prover. Lo mismo es cierto para el valor de s en las transcripciones simuladas y si usted ve la distribución de probabilidad del valor I en las transcripciones reales, así como en las transcripciones simuladas en ambos casos I = (gs * y-r) partes de las transcripciones y esto es cierto tanto para la transcripción real como para la transcripción simulada. Así que si usted ve la distribución sabia, la forma en que las transcripciones se habrían generado en una ejecución real del protocolo y la forma en que las transcripciones son generadas por el adversario en su mente sin ver realmente ninguna conversación tienen exactamente la misma distribución. Eso significa que solo escuchas la comunicación entre un prover honesto y un verificador no va a ayudar al adversario a aprender nada sobre la clave secreta subyacente x. Ahora aquí hay un alimento para el pensamiento para usted. Ya que estoy diciendo aquí que si el cuentagotas podría simular y llegar a una transcripción de aceptación por su cuenta sin siquiera conocer la clave secreta sk, eso significa que usar la estrategia, que el simulador está usando o el cuentagotas está usando para llegar a la transcripción simulada, podría forjar una transcripción de aceptación y participar en una instancia del esquema de identificación de Schnorr y terminar convenciendo a un verificador honesto que de hecho sabe el valor x, que no es exactamente el caso. Resulta que no es el caso porque la razón de esto es que si usted ve la estrategia de simulación aquí, la forma en que el adversario ha llegado a la transcripción simulada, está fijando el valor r y el valor para empezar. Eso significa que está adivinando en su mente que este podría ser el valor r o el valor de desafío, que el verificador escogería y sólo después de fijar el valor r y el valor de s, está llegando con su compromiso I. Por lo tanto, si con esta estrategia trata de participar en una ejecución del esquema de identificación de Schnorr con un verificador honesto, entonces la probabilidad de que de hecho es capaz de llegar a una transcripción de aceptación que es aceptada por el verificador es igual que el desafío r, que el adversario está pensando bien por delante en su mente coincide exactamente con la transcripción que un verificador honesto va a recoger de hecho durante la ejecución real del Schnorr Identification Scheme. Pero la probabilidad de que el valor de r simulado, que el adversario está adivinando en su mente bien por delante coincide con el valor exacto del desafío r que va a ser elegido por el verificador es uno sobre el tamaño de Zq set, a saber, su 1/q y si q es suficientemente grande, entonces esta es una cantidad muy pequeña una función insignificante en el parámetro de seguridad. Por lo tanto, esto significa que esta estrategia de simulación no va a ayudar al cuentagotas a ganar o forjar o romper este esquema de identificación. Así que lo que hemos probado hasta ahora es que la escuchas no va a ayudar al adversario a romper la seguridad del Schnorr Identification Scheme, por lo que sólo la forma en que podría atacar este esquema de identificación es la siguiente, sin saber la clave secreta es que tiene que interactuar con un verificador honesto de la siguiente manera. Así que tiene que llegar con cierto compromiso con respecto a alguna estrategia que el adversario tiene en su mente, y una vez que el verificador lanza un desafío, tiene que llegar con una respuesta s, tal que gs * y-r de hecho igual a I y si queremos que el adversario sea capaz de romper la seguridad del Schnorr Identification Scheme con alta probabilidad, entonces debería ser el caso de que este adversario que está tratando de romper la seguridad debe ser capaz de dar con su respuesta s independientemente de qué valor de r es utilizado como un desafío por el verificador. Eso significa, lo que estoy tratando de decir aquí es que una vez que el adversario ha cometido algún valor y ha presentado su compromiso I, y si de hecho ese adversario es capaz de romper la seguridad de este esquema de identificación con muy alta probabilidad, entonces no importa cuál es exactamente el desafío. Podría ser r1, podría ser r2, podría ser cualquier cosa. Para cualquier valor de desafío, debería ser posible que el adversario se presente con la respuesta de respuesta s de tal manera que los gs multiplicados por y-r deben ser iguales al compromiso del adversario. Esto significa, una vez que el adversario ha presentado su compromiso, no importa si el desafío es r1, que corresponde al r1 el adversario debe ser capaz de llegar con s1 de tal manera que esta propiedad o esta verificación es exitosa o no importa si el verificador lanza al retador como r2, aún debe ser posible para el adversario que para el mismo compromiso I y el desafío r2 el adversario debe ser capaz de llegar con la respuesta correspondiente s2, de tal manera que la verificación es exitosa en el verificador ’ s final porque si el adversario sabe sólo para llegar con el respuesta para algunos valores específicos del desafío, entonces esa no es una buena estrategia de adversario. probar esta afirmación formalmente. Así que para esto presento alguna notación. Por lo tanto, deje que ω denote la aleatoriedad utilizada en toda esta reducción excepto los valores de desafío r1, r2 que son seleccionados por el solucionador de registro discreto. Por lo tanto, la ω denota la aleatoriedad utilizada por el retador en el experimento de registro discreto. Denota la aleatoriedad utilizada por el adversario contra el esquema de identificación, y también denota la aleatoriedad utilizada por el solucionador discreto excepto por la aleatoriedad utilizada para captar los desafíos r1 y r2 en todo este experimento. Ahora, uso esta cantidad V (ω, r), y digo que esta función V (ω, r) = 1, si corresponde a la aleatoriedad ω y que corresponde al desafío r, el adversario contra el esquema de identificación podría llegar con una transcripción de aceptación. Si ese es el caso, entonces digo que la salida de la función V (ω, r) es 1, de lo contrario es cero y con respecto a una aleatoriedad fija ω, esta cantidad δ ω se define como la probabilidad de que la salida de la función V con respecto a la aleatoriedad fija ω sobre toda la aleatoriedad de desafío posible r = 1. Esa es mi cantidad δ ω, por lo que básicamente es la probabilidad de que el adversario contra el esquema de identificación que viene con una transcripción de aceptación con respecto a una aleatoriedad fija ω sobre toda la aleatoriedad de desafío posible r, y luego déjenme llamar a esta función δ (n) para ser la probabilidad con la que este adversario en contra del esquema de identificación puede ganar el juego de seguridad contra el esquema de identificación en esta reducción. Por lo tanto, según nuestras notaciones que hemos introducido hasta ahora este δ (n) no es más que la probabilidad de toda la aleatoriedad ω utilizada en toda esta reducción y la probabilidad sobre toda la aleatoriedad r, la probabilidad de que V (ω, r) = 1, y si la expandimos aún más, no es más que totalización de toda la aleatoriedad ω, que lo que es la probabilidad de que ω sea la aleatoriedad utilizada en toda esta reducción excepto por la aleatoriedad de desafío y con respecto a esa aleatoriedad fija ω, cuál es la probabilidad de δ ω. Así que esa es la forma en que expandimos nuestra función δ (n). Ahora, si usted ve toda esta reducción, nuestro solucionador de registro discreto puede extraer con éxito el registro discreto x sólo si estas tres condiciones son de I, r1, s1 es una transcripción de aceptación, y yo, r2, s2 es una transcripción de aceptación y los desafíos r1 y r2 son diferentes donde los desafíos r1 y r2 son elegidos al azar por el solucionador de registro discreto. Por lo tanto, podemos afirmar formalmente que la probabilidad de que nuestro solucionador de registro discreto pueda resolver el registro discreto es la probabilidad de que si usted toma la probabilidad sobre toda la aleatoriedad ω y toda la aleatoriedad de desafío r1 y r2, V (ω, r1) = 1. Esto captura el hecho de que I, r1 y s1 deben aceptar la transcripción y V (ω, r2) debe ser 1. Esto captura el hecho de que I, r2 y s2 deberían estar aceptando la transcripción y r1 debería ser diferente de r2. Esto captura la tercera condición. Así que ahora lo que tenemos que hacer es básicamente expandir esta expresión de probabilidad porque esta probabilidad es sobre toda la aleatoriedad de candidatos ω, desafío aleatorio r1 y desafío aleatoriedad r2. Por lo tanto, usando las reglas de probabilidad si lo resolvo, entonces esta cantidad r1 no es igual a r2, puedo reemplazar por la probabilidad r1. Puedo tomar esta probabilidad de ω, r1 y r2 dentro y luego puedo sustituir esta condición y condición por esta condición de sustracción y lo que puedo hacer es saber que esta es la probabilidad de que mi azar de reto r1 y r2 son diferentes es 1/q porque tanto r1 como r2 son elegidos al azar del conjunto Zq y ahora lo que puedo hacer es, puedo expandir esta primera cantidad y la segunda cantidad con respecto a r1 y r2 en valores de ω fijos, y una vez que arregla ω, estos dos eventos de V (ω, r1) deben ser 1 y V (ω, r2) deben ser 1, son independientes entre sí, porque r1 y r2 son seleccionados independientemente por el solucionador de registro discreto. Por lo tanto, si arregla la aleatoriedad ω, y toma la ω dentro y trata de expandir con respecto a la aleatoriedad r1 y r2, la desigualdad aquí entonces básicamente obtengo que la desigualdad anterior resulta a esta cosa y ahora puedo aplicar la conocida desigualdad de Jensen, que no estoy diciendo aquí. Puede utilizar cualquier referencia estándar para encontrar la fórmula para la desigualdad de Jensen, lo que puedo hacer es que puedo tomar el cuadrado aquí dentro de la probabilidad de expresión de la aleatoriedad ω para que suceda aquí. Si ahora ve que todo este gran soporte aquí, el cuadrado de este gran corchete no es más que δ (n), es decir, la definición de δ (n), δ (n) no es otra cosa que la probabilidad con la que el adversario en contra del esquema de identificación puede ganar el juego aquí en la reducción y es lo que es la reclamación que queríamos probar. Hemos probado que la ventaja del solucionador discreto aquí es mayor o igual que el cuadrado de la ventaja del adversario del esquema de identificación menos 1/q. Si q es alguna función exponencial en el parámetro de seguridad, entonces este 1/q es insignificante y según el supuesto que es la ventaja del solucionador de registro discreto debe ser una función insignificante que prueba que el cuadrado de la ventaja del adversario contra el esquema de identificación también debe ser insignificante. Así que, eso me lleva al final de esta conferencia. Sólo para resumir, en esta conferencia hemos introducido el esquema de identificación, que es una primitiva criptográfica bien conocida y hemos visto una instanciación del esquema de identificación