Можно ли реализовать интерактивные системы доказательства с нулевым разглашением с использованием безопасных двусторонних вычислений?

Я определяю многопартийное вычисление, используя реально-идеальную парадигму (см. Прагматичное введение в безопасные многосторонние вычисления). То есть для любой успешной атаки на протокол MPC в реальном мире существует симулятор, который успешно проводит эту атаку в идеальном мире. Отсюда следует, что безопасность в реальном мире должна быть эквивалентна безопасности в идеальном мире.

Я определяю интерактивные системы доказательства с нулевым разглашением для языка $L$ используя исходное определение из Сложность знаний интерактивных систем доказательства. то есть пара $(А, В)$ интерактивных машин Тьюринга должны выполнять

1. Комплектность: дано $x \в л$, $В$ принимает с очень высокой вероятностью;
2. Обоснованность: при любом прувере $А'$ и $x \не\в L$ перешел в $(А', В)$, $В$ принимает с очень низкой вероятностью;
3. Zero-Knowledge: существует вероятностный симулятор с полиномиальным временем, который может имитировать весь обмен сообщениями между $А$ и $В$ для любого входа $x \в л$.

Теперь бумага Нулевое разглашение благодаря безопасным многосторонним вычислениям упоминает следующее:

Протоколы с нулевым разглашением можно рассматривать как частный случай безопасного двустороннего вычисление, где функция проверяет действительность свидетеля, имеющегося у доказывающего.

То есть дано $L \in \mathcal{NP}$, существует алгоритм $А$ такой, что $x \in L \iff \exists w\двоеточие A(x, w) = 1$ (значение $\mathcal{NP}$). Одна вечеринка $P_1$ выступает в качестве доказывающего, другой $P_2$ в качестве верификатора. $P_1$ знает $х$ и $w$, $P_2$ знает только $х$. Они выполняют $А(х, ш)$ вместе, чтобы определить, $x \в л$ или не.

Четко, $w$ не сообщается проверяющему $P_2$ благодаря протоколу MPC. Однако не является ли определение нулевого знания более общим? Если доказывающий $P_1$ отправлено, по какой-то причине, решение в какой-то экземпляр $\mathcal{NP}$-полная проблема¹, никакой симулятор с полиномиальным временем не мог бы смоделировать это, предполагая, что $\mathcal{P} \neq \mathcal{NP}$. Созданная система доказательств не будет с нулевым разглашением.

Таким образом, учитывая, что протокол MPC может обмениваться несимулируемыми сообщениями, протокол MPC фактически не может использоваться для реализации системы доказательства с нулевым разглашением для какого-либо языка. $L \in \mathcal{NP}$, может это?

¹ Решение можно поставить в зависимость от $х$ таким образом, чтобы он не был постоянным и, таким образом, легко моделируемым.