शून्य-ज्ञान प्रमाण: यह जादू की तरह है, लेकिन मैं इसे समझाऊंगा

मान लीजिए कि पैगी को रहस्य उजागर किए बिना विक्टर को यह साबित करने की जरूरत है कि उसके पास एक रहस्य है। क्या वह ऐसा इस तरह कर सकती है जिससे विक्टर को यकीन हो जाए कि वह वास्तव में रहस्य जानता है? यह सबसे शक्तिशाली क्रिप्टोग्राफ़िक प्रक्रियाओं में से एक के मूल में प्रश्न है जिसे हम पहचान प्रणालियों में नियोजित कर सकते हैं: शून्य-ज्ञान प्रमाण (जेडकेपी) ।

उदाहरण के लिए मान लीजिए कि पैगी के पास एक डिजिटल ड्राइवर का लाइसेंस है और वह बारटेंडर विक्टर को यह साबित करना चाहती है कि वह अपना ड्राइवर लाइसेंस सौंपे बिना या यहां तक कि उसे अपनी जन्मतिथि दिखाए बिना 21 वर्ष से अधिक की है। ZKPs पेगी को यह साबित करने की अनुमति देता है कि उसका ड्राइविंग लाइसेंस कहता है कि वह कम से कम 21 वर्ष की है, जिससे पेगी को कुछ और बताए बिना विक्टर को यकीन हो जाए (यानी, कोई अतिरिक्त ज्ञान नहीं है)।

इस समस्या की खोज सबसे पहले 1980 के दशक में सूचना रिसाव से निपटने के एक तरीके के रूप में एमआईटी शोधकर्ताओं शफी गोल्डवेसर, सिल्वियो मिकाली और चार्ल्स रैकॉफ द्वारा की गई थी। लक्ष्य यह है कि सत्यापनकर्ता, विक्टर, कहावतकर्ता, पेग्गी के बारे में अतिरिक्त जानकारी की मात्रा को कम कर सके।

यह समझने का एक तरीका है कि ZKPs कैसे काम करते हैं, अलीबाबा की गुफा की कहानी है, जिसे पहली बार क्रिप्टोग्राफर क्विस्क्वाटर, गुइलौ और बर्सन1 द्वारा प्रकाशित किया गया था। निम्नलिखित चित्र एक चित्रण प्रदान करता है।

Peggy and Victor in Alibaba's Cave

अलीबाबा की गुफा में ए और बी नामक दो मार्ग हैं, जो प्रवेश द्वार से जुड़े एक मार्ग को विभाजित करते हैं। पैगी के पास एक गुप्त कोड है जो उसे ए और बी को जोड़ने वाले दरवाजे को अनलॉक करने की अनुमति देता है। विक्टर कोड खरीदना चाहता है लेकिन वह तब तक भुगतान नहीं करेगा जब तक उसे यकीन नहीं हो जाता कि पैगी को यह पता है। पेगी इसे विक्टर के साथ तब तक साझा नहीं करेगी जब तक वह भुगतान नहीं कर देता।

पैगी के लिए यह साबित करने के लिए एल्गोरिदम कि वह कोड जानती है, इस प्रकार आगे बढ़ती है:

• विक्टर गुफा के बाहर खड़ा है जबकि पैगी प्रवेश करती है और एक मार्ग का चयन करती है। विक्टर को यह देखने की अनुमति नहीं है कि पैगी कौन सा रास्ता अपनाती है।
• विक्टर गुफा में प्रवेश करता है और यादृच्छिक रूप से "ए" या "बी" कहता है।
• पैगी सही मार्ग से निकलती है क्योंकि प्रवेश करते समय उसने जो भी विकल्प चुना हो, वह आसानी से दरवाजा खोल सकती है।
• बेशक, पैगी भाग्यशाली हो सकती थी और उसने सही अनुमान लगाया था, इसलिए पैगी और विक्टर ने प्रयोग को कई बार दोहराया।

यदि पेगी हमेशा विक्टर द्वारा चुने गए किसी भी रास्ते से वापस आ सकती है, तो इस बात की संभावना बढ़ जाती है कि पेगी को वास्तव में कोड पता है। 20 कोशिशों के बाद, लाखों में एक से भी कम मौका है कि पैगी बस अनुमान लगा रही है कि विक्टर किस पत्र पर कॉल करेगा। यह एक संभाव्य प्रमाण है कि पैगी को रहस्य पता है।

यह एल्गोरिदम न केवल पैगी को विक्टर को यह विश्वास दिलाने की अनुमति देता है कि वह कोड जानती है, बल्कि यह इसे इस तरह से करता है कि यह सुनिश्चित करता है कि विक्टर किसी और को यह विश्वास नहीं दिला सके कि पेगी को कोड पता है। मान लीजिए विक्टर पूरे लेन-देन को रिकॉर्ड करता है। केवल एक चीज जिसे एक पर्यवेक्षक देखता है वह है विक्टर को पत्र बुलाना और पैगी को सही सुरंग से बाहर आना। पर्यवेक्षक निश्चित नहीं हो सकता कि विक्टर और पैगी पर्यवेक्षकों को मूर्ख बनाने के लिए पहले से पत्रों के अनुक्रम पर सहमत नहीं थे।

इस प्रकार, जबकि पैगी विक्टर से इनकार नहीं कर सकती कि वह रहस्य जानती है, वह इस बात से इनकार कर सकती है कि वह अन्य तीसरे पक्षों को रहस्य जानती है। यह सुनिश्चित करता है कि जो कुछ भी वह विक्टर को साबित करती है वह उनके बीच रहता है और विक्टर इसे लीक नहीं कर सकता है - कम से कम क्रिप्टोग्राफ़िक तरीके से जो साबित करता है कि यह पैगी से आया है। पैगी अपने रहस्य और इस तथ्य को कि वह इसे जानती है, दोनों पर नियंत्रण रखती है।

जब हम "शून्य ज्ञान" कहते हैं और विक्टर के बारे में बात करते हैं कि वह प्रश्न में दिए गए प्रस्ताव से परे कुछ भी नहीं सीख रहा है, तो यह पूरी तरह से सच नहीं है। अलीबाबा की गुफा में, पैगी शून्य-ज्ञान में साबित करती है कि वह रहस्य जानती है। लेकिन विक्टर को पेगी के बारे में कई अन्य बातें पता चलती हैं जिनके बारे में ZKPs कुछ नहीं कर सकते। उदाहरण के लिए, विक्टर जानता है कि पैगी उसे सुन सकती है, उसकी भाषा बोल सकती है, चल सकती है और सहयोगात्मक है। वह गुफा के बारे में बातें भी जान सकता है, जैसे दरवाज़ा खोलने में लगभग कितना समय लगता है। पैगी को विक्टर के बारे में ऐसी ही बातें पता चलती हैं। तो, वास्तविकता यह है कि प्रमाण लगभग शून्य ज्ञान है न कि पूर्णतः शून्य ज्ञान।

जेडकेपी सिस्टम

अलीबाबा की गुफा का उदाहरण ZKPs का एक बहुत ही विशिष्ट उपयोग है, जिसे ज्ञान का शून्य-ज्ञान प्रमाण कहा जाता है। पैगी साबित कर रही है कि वह कुछ जानती है (या उसके पास कुछ है)। आम तौर पर, पैगी विक्टर के सामने कई तथ्य साबित करना चाह सकती है। इनमें प्रस्तावात्मक वाक्यांश या मूल्य भी शामिल हो सकते हैं। ZKPs भी ऐसा कर सकते हैं.

यह समझने के लिए कि हम शून्य ज्ञान में प्रस्तावों को कैसे सिद्ध कर सकते हैं, एक अलग उदाहरण पर विचार करें, जिसे कभी-कभी समाजवादी करोड़पति समस्या भी कहा जाता है। मान लीजिए पैगी और विक्टर जानना चाहते हैं कि क्या उन्हें उचित वेतन दिया जा रहा है। विशेष रूप से, वे जानना चाहते हैं कि क्या उन्हें समान राशि का भुगतान किया जाता है, लेकिन वे एक-दूसरे या यहां तक कि किसी विश्वसनीय तीसरे पक्ष को अपनी विशिष्ट प्रति घंटा दर का खुलासा नहीं करना चाहते हैं। इस उदाहरण में, पैगी यह साबित नहीं कर रही है कि वह कोई रहस्य जानती है, बल्कि, वह एक समानता (या असमानता) प्रस्ताव साबित कर रही है।

सरलता के लिए, मान लें कि पैगी और विक्टर को $10, $20, $30, या $40 प्रति घंटे में से एक का भुगतान किया जा रहा है।

एल्गोरिथ्म इस तरह काम करता है:

• पैगी चार लॉक बॉक्स खरीदती है और उन पर $10, $20, $30, और $40 का लेबल लगाती है।
• वह अपनी मज़दूरी लिखे बक्से को छोड़कर हर बक्से की चाबियाँ फेंक देती है।
• पैगी सभी बंद बक्से विक्टर को देती है जो निजी तौर पर अपने वेतन के साथ लेबल वाले बॉक्स के शीर्ष पर स्लॉट में "+" के साथ कागज की एक पर्ची डालता है। वह अन्य सभी बक्सों में "-" वाली एक पर्ची डालता है।
• विक्टर बक्से को पैगी को वापस देता है जो निजी तौर पर अपनी चाबी का उपयोग करके अपने वेतन वाले बक्से को खोलती है।
• यदि उसे "+" मिलता है तो वे समान राशि बनाते हैं। अन्यथा, वे एक अलग राशि बनाते हैं। वह इसका उपयोग विक्टर को तथ्य साबित करने के लिए कर सकती है।

इसे विस्मृति स्थानांतरण कहा जाता है और यह प्रस्ताव VictorSalary = PeggySalary शून्य ज्ञान में सही या गलत साबित करता है (यानी, किसी भी अन्य जानकारी का खुलासा किए बिना)।

इसे काम करने के लिए, पैगी और विक्टर को भरोसा करना होगा कि दूसरा आगे आएगा और अपना वास्तविक वेतन बताएगा। विक्टर को यह भरोसा करने की ज़रूरत है कि पैगी तीन अन्य चाबियाँ फेंक देगी। पैगी को भरोसा होना चाहिए कि विक्टर बक्सों में "+" लिखी केवल एक पर्ची डालेगा।

ठीक उसी तरह जैसे डिजिटल प्रमाणपत्रों को अकेले स्व-जारी किए गए प्रमाणपत्रों से परे विश्वास स्थापित करने के लिए PKI की आवश्यकता होती है, ZKPs एक ऐसी प्रणाली में अधिक शक्तिशाली हैं जो पैगी और विक्टर को दूसरों द्वारा उनके बारे में कही गई बातों से तथ्यों को साबित करने की अनुमति देती है, न कि केवल वे जिसके बारे में कहते हैं खुद। उदाहरण के लिए, पैगी और विक्टर द्वारा स्वयं अपने वेतन का दावा करने के बजाय, मान लीजिए कि वे अपना दावा करने के लिए मानव संसाधन विभाग से एक हस्ताक्षरित दस्तावेज़ पर भरोसा कर सकते हैं ताकि दोनों को पता चले कि दूसरा अपना वास्तविक वेतन बता रहा है। सत्यापन योग्य क्रेडेंशियल कई अलग-अलग तथ्यों को अकेले या एक साथ साबित करने के लिए ZKPs का उपयोग करने के लिए एक प्रणाली प्रदान करते हैं, जो विधि में विश्वास और डेटा में विश्वास प्रदान करते हैं।

गैर-इंटरैक्टिव ZKPs

पिछले उदाहरणों में, पैगी बातचीत की एक श्रृंखला के माध्यम से विक्टर को चीजें साबित करने में सक्षम थी। ZKPs के व्यावहारिक होने के लिए, प्रूवर और सत्यापनकर्ता के बीच बातचीत न्यूनतम होनी चाहिए। सौभाग्य से, SNARK नामक तकनीक गैर-संवादात्मक शून्य-ज्ञान प्रमाण की अनुमति देती है।

SNARKs में निम्नलिखित गुण हैं (जहां से उन्हें अपना नाम मिला):

• संक्षिप्त: संदेशों का आकार वास्तविक प्रमाण की लंबाई की तुलना में छोटा है।
• गैर-संवादात्मक : कुछ सेटअप के अलावा, प्रोवर सत्यापनकर्ता को केवल एक संदेश भेजता है।
• तर्क: यह वास्तव में एक तर्क है कि कुछ सही है, प्रमाण नहीं जैसा कि हम इसे गणितीय रूप से समझते हैं। विशेष रूप से, पर्याप्त कम्प्यूटेशनल शक्ति दिए जाने पर सिद्धहस्त सैद्धांतिक रूप से झूठे बयानों को साबित कर सकता है। तो, SNARKs "पूरी तरह से ध्वनि" के बजाय "कम्प्यूटेशनल रूप से ध्वनि" हैं।
• ज्ञान का: नीतिवचन प्रश्न में तथ्य को जानता है।

आप आम तौर पर सामने की ओर "zk" (शून्य-ज्ञान के लिए) देखेंगे, जो यह दर्शाता है कि इस प्रक्रिया के दौरान, सत्यापनकर्ता सिद्ध किए जा रहे तथ्यों के अलावा कुछ भी नहीं सीखता है।

zkSNARKs के अंतर्निहित गणित में उच्च-डिग्री बहुपदों पर होमोमोर्फिक गणना शामिल है। लेकिन हम समझ सकते हैं कि zkSNARKs अंतर्निहित गणित को जाने बिना कैसे काम करते हैं जो यह सुनिश्चित करता है कि वे सही हैं। यदि आप गणित के बारे में अधिक विवरण चाहते हैं, तो मैं क्रिश्चियन रीटविस्नर के "zkSNARKs in a Nutshell" की अनुशंसा करता हूं।

एक सरल उदाहरण के रूप में, मान लीजिए कि विक्टर को कुछ मूल्य का sha256 हैश, H दिया गया है। पैगी यह साबित करना चाहती है कि वह s मान इस प्रकार जानती है कि sha265(s) == H विक्टर को s बताए बिना। हम एक फ़ंक्शन C परिभाषित कर सकते हैं जो संबंध को दर्शाता है:

 C(x, w) = ( sha256(w) == x )

तो, C(H, s) == true , जबकि w के लिए अन्य मान false लौटाएंगे।

zkSNARK की गणना के लिए तीन फ़ंक्शन G , P , और V की आवश्यकता होती है। G कुंजी जनरेटर है जो lambda और फ़ंक्शन C नामक एक गुप्त पैरामीटर लेता है और दो सार्वजनिक कुंजी, साबित कुंजी pk और सत्यापन कुंजी vk उत्पन्न करता है। किसी दिए गए फ़ंक्शन C के लिए उन्हें केवल एक बार जेनरेट करने की आवश्यकता होती है। इस चरण के बाद पैरामीटर lambda नष्ट कर दिया जाना चाहिए क्योंकि इसकी दोबारा आवश्यकता नहीं है और जिसके पास भी यह है वह नकली सबूत उत्पन्न कर सकता है।

प्रोवर फ़ंक्शन P इनपुट के रूप में सिद्ध कुंजी pk , एक सार्वजनिक इनपुट x और एक निजी (गुप्त) गवाह w लेता है। P(pk,x,w) को निष्पादित करने का परिणाम एक प्रमाण है, prf , कि कहावत w के लिए एक मान जानता है जो C संतुष्ट करता है।

सत्यापनकर्ता फ़ंक्शन V V(vk, x, prf) की गणना करता है जो सत्य है यदि प्रमाण prf सही है और अन्यथा गलत है।

पैगी और विक्टर के पास लौटकर, विक्टर एक फ़ंक्शन C चुनता है जो दर्शाता है कि वह पैगी को क्या साबित करना चाहता है, एक यादृच्छिक संख्या lambda बनाता है, और साबित करने और सत्यापन कुंजी उत्पन्न करने के लिए G चलाता है:

 (pk, vk) = G(C, lambda)

पैगी को lambda का मूल्य नहीं सीखना चाहिए। विक्टर पेग्गी के साथ C , pk , और vk साझा करता है।

पैगी यह साबित करना चाहती है कि वह वह s जानती है जो x = H के लिए C संतुष्ट करता है। वह इनपुट के रूप में इन मानों का उपयोग करके प्रूविंग फ़ंक्शन P चलाती है:

 prf = P(pk, H, s)

पैगी विक्टर को प्रमाण prf प्रस्तुत करती है जो सत्यापन कार्य चलाता है:

 V(vk, H, prf)

यदि परिणाम सत्य है, तो विक्टर को आश्वस्त किया जा सकता है कि पैगी को s का मान पता है।

फ़ंक्शन C हैश तक सीमित करने की आवश्यकता नहीं है जैसा कि हमने इस उदाहरण में किया है। अंतर्निहित गणित की सीमा के भीतर, C काफी जटिल हो सकता है और इसमें जितने भी मूल्य शामिल होंगे, विक्टर चाहेंगे कि पेगी एक ही समय में साबित करे।

यह लेख ओ'रेली मीडिया द्वारा प्रकाशित मेरी पुस्तक लर्निंग डिजिटल आइडेंटिटी का एक अंश है।

टिप्पणियाँ

1. क्विस्क्वाटर, जीन-जैक्स; गुइलौ, लुई सी.; बर्सन, थॉमस ए. (1990)। अपने बच्चों को शून्य-ज्ञान प्रोटोकॉल कैसे समझाएं (पीडीएफ)। क्रिप्टोलॉजी में प्रगति - क्रिप्टो '89: कार्यवाही। कंप्यूटर विज्ञान के व्याख्यान नोट्स। 435. पृ. 628-631. doi:10.1007/0-387-34805-0_60। आईएसबीएन 978-0-387-97317-3.