En criptografía , una prueba de contraseña de conocimiento cero (ZKPP) es un método interactivo para que una parte (el probador) demuestre a otra parte (el verificador) que conoce el valor de una contraseña , sin revelar nada más que el hecho de que conoce esa contraseña para el verificador. El término se define en IEEE P1363.2 , en referencia a uno de los beneficios de utilizar un protocolo de intercambio de claves autenticado por contraseña (PAKE) que es seguro contra ataques de diccionario fuera de línea. Un ZKPP evita que cualquier parte verifique las conjeturas de la contraseña sin interactuar con una parte que la conozca y, en el caso óptimo, proporciona exactamente una conjetura en cada interacción.
Técnicamente hablando, un ZKPP es diferente de una prueba de conocimiento cero . Esto se debe a que un ZKPP se define de manera más estricta que la prueba más general de conocimiento cero. ZKPP se define en IEEE 1363.2 como "Una prueba interactiva de conocimiento cero del conocimiento de los datos derivados de contraseñas compartidos entre un probador y el verificador correspondiente". Tenga en cuenta que la definición se refiere más a los datos derivados de contraseñas. [ ¿cómo? ]
Un uso común de una prueba de contraseña de conocimiento cero es en los sistemas de autenticación donde una de las partes quiere demostrar su identidad a una segunda usando una contraseña, pero no quiere que la segunda parte ni nadie más sepa nada sobre la contraseña. Por ejemplo, las aplicaciones pueden validar una contraseña sin procesarla y una aplicación de pago puede verificar el saldo de una cuenta sin tocar ni aprender nada sobre el monto. [1]
Historia
Los primeros métodos para demostrar un ZKPP fueron los métodos de intercambio de claves cifradas (EKE) descritos por Steven M. Bellovin y Michael Merritt en 1992. [2] Un número considerable de refinamientos, alternativas y variaciones en la clase creciente de claves autenticadas por contraseña. Los métodos de acuerdo se desarrollaron en los años siguientes. Los estándares para estos métodos incluyen IETF RFC 2945 , IEEE P1363.2 e ISO-IEC 11770-4. [3]
Ver también
Referencias
- Bellovin, SM; Merritt, M. (mayo de 1992). "Intercambio de claves cifradas: protocolos basados en contraseñas seguros contra ataques de diccionario" (PDF) . Actas del Simposio IEEE sobre investigación en seguridad y privacidad. Oakland.
- "IEEE 1363.2: Especificaciones estándar IEEE para técnicas criptográficas de clave pública basadas en contraseña" (PDF) . IEEE.