Протокол Guillou-Quisquater  — это протокол идентификации с нулевым разглашением, расширение более раннего протокола Фиата — Шамира, разработанный Луи Гиллу (англ. Louis Guillou), Жан-Жак Кискатр (англ. Jean-Jacques Quisquater) в 1988 году.

Протокол позволяет одному участнику (доказывающему A) доказать другому участнику (проверяющему B), что он обладает секретной информацией, не раскрывая ни единого бита этой информации.

Безопасность протокола основана на сложности извлечения квадратного корня по модулю достаточно большого составного числа по заданному модулю n.

В сравнении с протоколом Фиата-Шамира протокол Guillou-Quisquater имеет меньшее число сообщений, которыми необходимо поменяться сторонам для идентификации. Протокол требует только один раунд обмена сообщениями, имеет более низкие требования к памяти, используемой для хранения секретов пользователей, однако требует большего объёма вычислений.

Кроме того, схему идентификации Guillou-Quisquater можно легко преобразовать в схему подписи.

Протокол Guillou-Quisquater — интерактивный протокол, который позволяет доказать, что доказываемое утверждение верно, и доказывающий знает это доказательство, в то же время не предоставляя никакой информации о самом доказательстве данного утверждения. Данный криптографический протокол обладает тремя свойствами:

1. Полнота: если утверждение действительно верно, то доказывающий убедит в этом проверяющего с любой наперед заданной точностью.
2. Корректность: если утверждение неверно, то любой, даже «нечестный», доказывающий не сможет убедить проверяющего.
3. Нулевое разглашение: если утверждение верно, то любой, даже «нечестный», проверяющий не узнает ничего кроме самого факта, что утверждение верно.

Протокол Guillou-Quisquater требует только один раунд обмена сообщениями и состоит из трёх этапов. Схематично их можно изобразить следующим образом:

• ${\displaystyle A\Rightarrow B}$ : доказательство (witness)
• ${\displaystyle A\Leftarrow B}$ : вызов (challenge)
• ${\displaystyle A\Rightarrow B}$ : ответ (response)

Сначала A выбирает из заранее определённого непустого множества некоторый элемент, который становится её секретом — закрытым ключом. По этому элементу вычисляется, а затем публикуется открытый ключ. Знание секрета определяет множество вопросов, на которые А всегда сможет дать правильные ответы. Затем A выбирает случайный элемент из множества, по определённым правилам вычисляет доказательство и затем отсылает его B. После этого B выбирает из всего множества вопросов один и просит A ответить на него (вызов). В зависимости от вопроса, А посылает B ответ. Полученной информации B достаточно, чтобы проверить действительно ли А владеет секретом.

Сторона A отправляет стороне В свои атрибуты ${\displaystyle J}$. Стороне A необходимо убедить сторону В, что это именно её атрибуты. Для этого сторона A доказывает своё знание секрета ${\displaystyle x}$ стороне B, не раскрывая при этом ни одного бита самого секрета ${\displaystyle x}$. Для этого сторонам потребуется всего 1 раунд.

1. Центр доверия T выбирает два различных случайных простых числа ${\displaystyle p}$ и ${\displaystyle q}$, после чего вычисляет их произведение ${\displaystyle n=p\cdot q}$.
2. T выбирает целое число ${\displaystyle e}$ (${\displaystyle 1<e<\varphi (n)}$), взаимно простое со значением функции ${\displaystyle \varphi (n)}$. Функция ${\displaystyle \varphi (n)}$ является функцией Эйлера.
3. T вычисляет ${\displaystyle s=e^{-1}\mod \varphi (n)}$ и секрет ${\displaystyle x=J^{-s}\mod n}$.
4. T вычисляет ${\displaystyle y=x^{e}\mod n}$.
5. Тройка ${\displaystyle \left\{n,e,y\right\}}$ публикуется в качестве открытого ключа.
6. ${\displaystyle x}$ играет роль закрытого ключа, и передается стороне A.

1. А выбирает случайное целое ${\displaystyle r}$, находящееся в диапазоне от ${\displaystyle 1}$ до ${\displaystyle n-1}$. А вычисляет ${\displaystyle a=r^{e}\mod n}$ и отправляет его В.
2. В выбирает случайное целое ${\displaystyle c}$, находящееся в диапазоне от ${\displaystyle 0}$ до ${\displaystyle e-1}$. В посылает ${\displaystyle c}$ стороне А.
3. А вычисляет ${\displaystyle z=rx^{c}\mod n}$ и посылает его В.
4. B проверяет: если ${\displaystyle z^{e}=ay^{c}\mod n}$, то подлинность доказана.

Действительно ${\displaystyle z^{e}=(rx^{c})^{e}=r^{e}x^{ec}=r^{e}(x^{e})^{c}=ay^{c}\mod n}$.

Эту схему идентификации можно превратить в схему подписи. Открытый и закрытый ключи не меняются.

Пусть А хочет подписать сообщение ${\displaystyle M}$.

1. А выбирает случайное целое ${\displaystyle r}$, находящееся в диапазоне от ${\displaystyle 1}$ до ${\displaystyle n-1}$. А вычисляет ${\displaystyle a=r^{e}\mod n}$.
2. А вычисляет ${\displaystyle d=H(M,a)}$, где ${\displaystyle M}$ — подписываемое сообщение, а ${\displaystyle H(x)}$ — однонаправленная хеш-функция. Значение ${\displaystyle d}$, полученное с помощью хеш-функции, должно быть в диапазоне от ${\displaystyle 0}$ до ${\displaystyle e-1}$. Если выход хеш-функции выходит за этот диапазон, он должен быть приведен по модулю ${\displaystyle e}$.
3. А вычисляет ${\displaystyle z=rx^{d}\mod n}$. Подпись состоит из сообщения ${\displaystyle M}$, двух вычисленных значений ${\displaystyle d}$ and ${\displaystyle z}$, и её атрибутов ${\displaystyle J}$. А посылает подпись B.

Пусть В хочет проверить подпись.

1. B вычисляет ${\displaystyle a'=z^{e}J^{d}\mod n}$. Затем он вычисляет ${\displaystyle d'=H(M,a')}$. Если ${\displaystyle d=d'}$, то А знает B, и её подпись действительна.

Схема подписи может быть переделана на случай, когда несколько человек хотят подписать один и тот же документ. Пусть А и B подписывают документ, а K проверяет подписи, но в процесс подписания может быть вовлечено произвольное количество людей. Как и раньше, А и B обладают уникальными значениями ${\displaystyle J}$ и ${\displaystyle x}$: (${\displaystyle J_{A}}$,${\displaystyle x_{A}}$) и (${\displaystyle J_{B}}$,${\displaystyle x_{B}}$). Значения ${\displaystyle n}$ и ${\displaystyle e}$ являются общими для всей системы.

Пусть А и B хотят подписать сообщение ${\displaystyle M}$.

1. А выбирает случайное целое ${\displaystyle r_{A}}$, находящееся в диапазоне от ${\displaystyle 1}$ до ${\displaystyle n-1}$. Она вычисляет ${\displaystyle a_{A}=r_{A}^{e}\mod n}$ и посылает B.
2. B выбирает случайное целое ${\displaystyle r_{B}}$, находящееся в диапазоне от ${\displaystyle 1}$ до ${\displaystyle n-1}$. Она вычисляет ${\displaystyle a_{B}=r_{B}^{e}\mod n}$ и посылает А.
3. А и B, каждый вычисляет ${\displaystyle a=(a_{A}\cdot a_{B})\mod n}$.
4. А и B, каждый вычисляет ${\displaystyle d=H(M,a)}$, где ${\displaystyle M}$ — подписываемое сообщение, а ${\displaystyle H(x)}$ — однонаправленная хеш-функция. Значение ${\displaystyle d}$, полученное с помощью хеш-функции, должно быть в диапазоне от ${\displaystyle 0}$ до ${\displaystyle e-1}$. Если выход хеш-функции выходит за этот диапазон, он должен быть приведен по модулю ${\displaystyle e}$.
5. А вычисляет ${\displaystyle z_{A}=r_{A}x_{A}^{d}\mod n}$ и посылает B.
6. B вычисляет ${\displaystyle z_{B}=r_{B}x_{B}^{d}\mod n}$ и посылает А.
7. А и B, каждый вычисляет ${\displaystyle z=z_{A}z_{B}\mod n}$. Подпись состоит из сообщения ${\displaystyle M}$, двух вычисленных значений ${\displaystyle d}$ and ${\displaystyle z}$, и атрибутов обоих подписывающих: ${\displaystyle J_{A}}$ и ${\displaystyle J_{B}}$.

Пусть К хочет проверить подпись.

1. K вычисляет ${\displaystyle J=J_{A}J_{B}\mod n}$.
2. К вычисляет ${\displaystyle a'=z^{e}J^{d}\mod n}$. Затем она вычисляет ${\displaystyle d'=H(M,a')}$. Если ${\displaystyle d=d'}$, то множественная подпись действительна.

Этот протокол может быть расширен на любое количество людей. Для этого подписывающие сообщение люди должны перемножить свои значения ${\displaystyle a_{i}}$ на этапе (3), и свои значения ${\displaystyle z_{i}}$ на этапе (7). Чтобы проверить множественную подпись, нужно на этапе (1) перемножить значения ${\displaystyle J_{i}}$ подписывающих. Либо все подписи правильны, либо существует по крайней мере одна неправильная подпись.

• Feige, Uriel; Fiat, Amos; Shamir, Adi. Zero-knowledge proofs of identity (англ.) // Journal of Cryptology^[англ.] : journal. — 1988. — Vol. 1, no. 2. — P. 77—94. — doi:10.1007/BF02351717. Архивировано 17 декабря 2012 года.
• Menezes A., van Oorschot P., Vanstone S. Handbook of Applied Cryptography. — CRC Press, 1996. — 816 с. — ISBN 0-8493-8523-7.
• Louis Guillou, Jean-Jacques Quisquater. A Practical Zero-Knowledge Protocol Fitted to Security Microprocessor Minimizing Both Transmission and Memory (англ.). — 1988.
• Саломаа А. Криптография с открытым ключом — М.: Мир, 1995. — 318 с. — ISBN 978-5-03-001991-8
• Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.