Digital-Currency-and-Blockchain-Lab-1

实验目的

  1、仔细阅读 curve.py 的源代码

  2、理解每个函数之间的关系

  3、熟悉椭圆曲线上的运算操作。

实验器材

  1、编译器：Vscode

  2、操作系统：windows10

  3、编程语言：Python 3.10.11

  4、库：ecc-pycrypto

实验原理

  本次实验基于 Python 以及 ecc-pycrypto 库来实现。其中我们将使用ecc-pycrypto 库中的 P256 椭圆曲线的一个简单实现。

哈希函数

问题1

  在Setup函数中$g$表示P256的生成元，$k$为随机数，计算得到$h$，则$K=(g,h)$即为生成的公钥对。而在Hash(G,H,M)中，利用离散对数构造Hash函数$c=g^m+h^r$即可。

from ecc.curve import P256
import random


r = random.randint(1, P256.n)


def Setup():
    k = random.randint(1, P256.n)
    g = P256.G
    h = g * k
    return g, h


def Hash(G, H, M):
    h_0 = G * M + H * r
    return h_0


m = 51631313547153435441543815468315648351471524
6813546839164381543154687315413536418136456941835
g, h = Setup()
h_0 = Hash(g, h, m)

print("r = ", r)
print("g = ", g)
print("h = ", h_0)
print("Hash(K, M) = ", h_0.x)

问题2

  对SetupInsecure函数不仅产生哈希函数的密钥K，也输出离散对数$k=log_g(h)$，在FindCol函数中利用$X_2+r_2*k=X_1+r_1*k$找到一组哈希函数的碰撞。

from ecc.curve import P256
import random

r_1 = random.randint(1, P256.n)
r_2 = random.randint(1, P256.n)


def SetupInsecure():
    k = random.randint(1, P256.n)
    g = P256.G
    h = g * k
    return g, h, k


def FindCol(G, H, K):
    X_1 = 416513513415135313314146874688647846876487
    4686487468469831483619865466849646815468175647815
    X_2 = r_1 * K + X_1 - r_2 * K
    return X_1, X_2


def Hash(G, H, M, r):
    h = G * M + H * r
    return h


g, h, k = SetupInsecure()
x_1, x_2 = FindCol(g, h, k)
h_1 = Hash(g, h, x_1, r_1)
h_2 = Hash(g, h, x_2, r_2)
print("x_1 = ", x_1)
print("x_2 = ", x_2)
print("r_1 = ", r_1)
print("r_2 = ", r_2)
print("g = ", g)
print("h = ", h)
print("k = ", k)
print("Hash(K, M) = ", h_1.x)
print("Hash(H, M) = ", h_2.x)


if h_1 == h_2:
    print("True")
else:
    print("False")

零知识证明

问题3

  在Prove函数中，首先计算$R=g^r$，然后计算$z=x*h+r$，最后返回$R,h,z$。在Verif函数中，首先计算$g^z$和$f^h*R$，然后判断两者是否相等，若相等则返回True，否则返回False。

import hashlib
import random


p = 15161
g = 3
x = 101


def Prove():
    R = pow(g, r)
    # print(R)
    h = random.randint(1, p)  # hash函数太长了算不完，用randint替代一下
    # h=int(hashlib.md5(h).hexdigest(),16)
    # print(h)
    z = x * h + r
    return R, h, z


f = pow(g, x)
# print(f)


def Verif(z, h):
    if (pow(g, z) - pow(f, h) * R) % p != 0:
        return True
    else:
        return False


for i in range(1, 100):
    r = random.randint(1, p)
    # print(r)
    R, h, z = Prove()
    if Verif(z, h):
        print("证明失败")
        break
print("证明成功")

问题4

  假设Alice为证明者，拥有$r$，Bob为验证者。Alice想要证明$G=(f,g,F=f^r,G=g^r)$
是一个DDH关系，但不能透露关于r的任意消息，Bob想要验证Alice的证明。Alice和Bob
之间的交互如下：

  1、Alice随机生成一个随机数$k$，并将${f}'=f^k$和${g}'=g^k$发送给Bob。

  2、Bob向Alice发送一个随机数$s$。

  3、Alice计算$z=s+rk$，并将$z$发送给Bob。

  4、Bob验证$f^z=f^s+F*{f}'$和$g^z=g^s+G*{g}'$。

  5、重复上述过程。

  如果$G=(f,g,F,G)$不存在DDH关系，那么假设$F=f^{r_1},G=g^{r_2}$，Alice想要通过验证，就需要让${f}'$和${g}'$同时对两个不同的$s_1$和$s_2$都能应答$z_11,z_12,z_21,z_22$，那么$r=\frac{z_{11}-z_{12}}{s_1-s_2}=\frac{z_{21}-z_{22}}{s_1-s_2}$，由于$s_1,s_2$都是Bob随机选取的，于是Alice就需要以猜测穷举离散对数的空间复杂度获得满足条件的$s$。因此，如果Alice能够通过验证，那么$G$一定是一个DDH关系。

问题5

  在Prove函数中，首先计算$f'=f^{k_1},g'=g^{k_2}$，然后计算$z_1=s+rk_1,z_2=s+rk_2$，最后返回$f',g',z_1,z_2$。在Verif函数中，首先计算$f^{z_1}$和$f^s+F*f'$，然后计算$g^{z_2}$和$g^s+G*g'$，最后判断两者是否相等，若相等则返回True，否则返回False。

import random

p = 15161
f = 3
g = 5
r = 101


def Prove(s):
    k_1 = random.randint(1, p)
    # print(k_1)
    k_2 = random.randint(1, p)
    # print(k_2)
    f_ = pow(f, k_1)
    # print(f_)
    g_ = pow(g, k_2)
    z_1 = s + r * k_1
    z_2 = s + r * k_2
    return f_, g_, z_1, z_2


F = pow(f, r)
# print(F)
G = pow(g, r)
# print(G)


def Verif(f_, g_, z_1, z_2, s):
    if (pow(f, z_1) - pow(f, s) * f_) % p == 0 and (
        pow(g, z_2) - pow(g, s) * g_
    ) % p == 0:
        return True
    else:
        return False


for i in range(1, 100):
    s = random.randint(1, p)
    # print(s)
    f_, g_, z_1, z_2 = Prove(s)
    if Verif(f_, g_, z_1, z_2, s):
        print("证明失败")
        break
print("证明成功")