Рейтинг:2

Имеет ли значение степень этого многочлена для достижения нулевого разглашения? PlonK вопрос

флаг in

я читал газету ПлонК и в раунде 1 утверждения о достижении нулевого разглашения путем добавления случайных множителей (первой степени) многочлена $Z_H = х^n - 1$ к секретным полиномам.

Здесь, $Ч$ множество, содержащее $n$-го корня из единства и обычно описывается как $$H = \{\omega, \dots, \omega^{n-1}, \omega^n = 1\},$$ куда $\омега$ является примитивным $n$-й корень из единицы.

Итак, установка следующая: У нас есть секретный многочлен $с(х)$ так что мы должны оценить в какой-то случайной точке $z \in \mathbb{Z}_p$, начинать $z$ и оценка $с(г)$ общеизвестно.

Во избежание утечки знаний о $с(г)$, они определяют: $$s'(x):= (b_1x + b_2)Z_H(x) + s(x),$$ и они утверждают, что этого достаточно, чтобы получить нулевое знание $с(г)$.

У меня есть два вопроса:

  1. Почему кратное $Z_H(x)$ имеет степень один, а не, например, четыре или 69? Во втором раунде PlonK они используют ту же стратегию, но с другим полиномом второй степени. Почему?
  2. Почему это правда? Если $z \в H$, тогда ясно $s'(x)$ приводит информацию о $с(х)$, как $$s'(z) = s(z).$$
Vadym Fedyukovych avatar
флаг in
Что касается нулевого знания, вы имели в виду алгоритм симулятора?
Bean Guy avatar
флаг in
@Вадим Я имел в виду информационно-теоретическое сокрытие
Vadym Fedyukovych avatar
флаг in
Касательно вопроса 2: не могли бы вы увидеть, что все многочлены оцениваются за пределами $H$ при создании доказательства?
Bean Guy avatar
флаг in
@VadymFedyukovych В следующем раунде PlonK они оценивают многочлены, такие как $s'(x)$ вне $H$, и отправляют оценку проверяющему. В противном случае оценка $s'(x)$ в элементе $H$ также выявила бы оценку $s(x)$.
Vadym Fedyukovych avatar
флаг in
Можем ли мы согласиться с тем, что (1) для утечки информации о свидетеле требуется оценка $s'()$ на $H$, и (2) это происходит с ничтожно малой вероятностью? Что вы имели в виду под "иначе"? «Незначительная» выше применима к подписям и шансам угадать какой-либо закрытый ключ.
Bean Guy avatar
флаг in
@VadymFedyukovych Да, мы полностью согласны. Меня больше беспокоит, почему степень многочлена $b(x) = b_1x+b_2$ равна $1$, а не, например, $0$ или $2$.
Рейтинг:2
флаг kr
  1. степень ослепляющего многочлена, который вы умножаете на исчезающий многочлен $Z_H$ необходимо взять образец из $F_d[X]$ с $д$ больше или равно количеству оценок в протоколе (вступлениях). Каждая оценка, предоставленная верификатору, приводит к утечке некоторой информации о вашем полиноме, поэтому вам нужно предотвратить это, рандомизировав ваш полином. Протокол Мир имеет хороший блог, который объясняет, почему вы не можете иметь $д$ меньше, чем количество оценок. Насколько я понимаю, для фиксированного свидетеля (многочлен фиксирован, за исключением ослепляющих факторов) вам нужна биективная функция между вашими ослепляющими коэффициентами и отверстиями. Чтобы доказать это, докажите, что ваша функция сюръективна и инъективна.

  2. вероятность того, что $z \в H$ пренебрежимо мал, но вы можете разработать протокол, который предотвратит $z \в H$ Полагаю.

Bean Guy avatar
флаг in
Я не знаю, почему они не доказывают, что этого достаточно для достижения нулевого разглашения в протоколе PlonK. По крайней мере, они могли бы указать на статью, на которой основана идея (думаю, это связано с какой-то статьей Грота, но я ее не нашел).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.