Commitment-Verfahren

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Commitment-Verfahren ist ein kryptographisches Zwei-Parteien-Protokoll, das es einer Partei ermöglicht, sich gegenüber der anderen Partei auf einen Wert festzulegen, ohne etwas über diesen Wert zu verraten. Später kann dieser Wert dann aufgedeckt werden.[1] Commitment-Verfahren sind wichtige Primitive, die beispielsweise in sicheren Mehrparteienberechnungen oder Zero-Knowledge-Protokollen angewendet werden.

Eine klassische Anwendung für ein Commitment ist der Münzwurf via Telefon.[2] Alice und Bob wollen eine Münze werfen, aber weil die beiden sich über die Telefonverbindung nicht sehen können und sich gegenseitig nicht vertrauen wollen, funktioniert das übliche Protokoll „einer sagt an, der andere wirft“ nicht. Eine mögliche Lösung wäre, dass Alice ihre Wahl einem vertrauenswürdigen Dritten mitteilt, der dann, nachdem Bob das Ergebnis mitgeteilt hat, den Gewinner bestimmt. Mit einem Bit-Commitment lässt sich das Problem ohne dritte Partei lösen, indem Alice ein Commitment auf ihre Wahl an Bob schickt. Bob kann aus dem Commitment nichts über Alices Wahl lernen, aber Alice ist nun festgelegt und kann ihre Wahl nicht nachträglich ändern. Nun wirft Bob die Münze und teilt Alice das Ergebnis mit, woraufhin Alice das Commitment öffnet. Damit kennen beide den Gewinner. Eine Realisierung ist zum Beispiel über kryptographische Hashfunktionen möglich.

Sicherheitseigenschaften[Bearbeiten]

Binding[Bearbeiten]

Es darf nicht möglich sein, ein Commitment nachträglich auf einen anderen Wert aufzudecken.

Hiding[Bearbeiten]

Das Commitment darf keinen Rückschluss auf den Wert zulassen, auf den sich die Partei festgelegt hat.

Einzelnachweise[Bearbeiten]

  1.  Gilles Brassard, David Chaum, and Claude Crépeau: Minimum Disclosure Proofs of Knowledge. In: Journal of Computer and System Sciences. 37, 1988, S. 156–189 (http://crypto.cs.mcgill.ca/~crepeau/PDF/BCC88-jcss.pdf).
  2.  Manuel Blum: Coin Flipping by Telephone. In: Proceedings of CRYPTO. 1981, S. 11–15 (http://www.cs.cmu.edu/~mblum/research/pdf/coin/).