Приверженность Педерсена и нулевые вычислительные знания

Sean

04.11.2022, 23:51

мне интересно как"хороший"является ли вычисление нулевым знанием? Примите во внимание обязательство Педерсена $ г = г ^ х ч ^ у $. Существует совершенный протокол ZK (основанный на протоколе Шнорра), чтобы доказать, что секрет известен. $х$ и $у$. А как насчет следующего "расслабленного":

(1) Доказывающий отправляет $ G = г ^ х $ и $Ч = ч^у$ (и верификатор должен проверить $G\раз H = z$); (2) Доказывающая сторона запускает два экземпляра протокола Шнорра, чтобы доказать, что она знает логарифм $G$ и $Ч$

Кажется, этот протокол вычислительная ЗК, так как симулятор может просто выбрать случайную пару ($G'$, $H'$) такой, что $G' \times H' = z$. С $(Г',Ч')$ будет неотличим от настоящего $(Г,Ч)$, то разговор симулятора будет неотличим от реального (вычислительно). [Вы можете проверить правильность этого утверждения? Спасибо!]

Но тогда протокол действительно утечки что-то - в качестве примера подумайте о случае, когда $х=1$. Обязательство Педерсена тогда теряет свое значение. идеальное сокрытие здесь.

Так вот вопрос: при использовании вычислительного ЗК считается ли оно удовлетворительным (если используется в одиночестве?) Должны ли некоторые дополнительные свойства, такие как неразличимость свидетелей требоваться?

101

1 + 0

доказательства с нулевым разглашением

обязательства

Рейтинг:2

Crypto

Geoffroy Couteau

05.11.2022, 09:07

Протокол не является вычислительно нулевым разглашением. Вычислительный ZK является удовлетворительным даже при «использовании отдельно» и, в частности, подразумевает (вычислительную) неразличимость свидетелей.

Ошибка в предложении

Кажется, этот протокол вычислительная ЗК, так как симулятор может просто выбрать случайную пару ($G'$, $H'$) такой, что $G' \times H' = z$. С $(Г',Ч')$ будет неотличим от настоящего $(Г,Ч)$, то разговор симулятора будет неотличим от реального (вычислительно).

Симулятор действительно может выбрать $(Г',Ч')$ случайным образом при условии $G'H' = z$, но это не отличить от настоящего $(Г,Ч)$ в общем. Напомним, что $z$ (обязательство Педерсена) — это слово: никаких предположений о его распределении не делается. Взяв тот же пример, что и в вашем вопросе, когда $х=1$, то реальный протокол общается $(г^х, ч^у) = (г, ч^у)$. С другой стороны, симулятор передает случайный $G'$ вместо $г$, который легко отличить от честного протокола.

0 + 1

Sean

05.11.2022, 15:58

Отлично. Спасибо за разъяснения.

Ответить

Admin

Этот вопрос на других языках:

EN: Pedersen Commitment and Computational Zero Knowledge

TH: ความมุ่งมั่นของ Pedersen และความรู้ด้านการคำนวณเป็นศูนย์

RO: Angajamentul Pedersen și cunoștințele zero computaționale

RU: Приверженность Педерсена и нулевые вычислительные знания

VI: Cam kết của Pedersen và Kiến thức Không tính toán

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.