Рейтинг:1

Можно ли реализовать интерактивные системы доказательства с нулевым разглашением с использованием безопасных двусторонних вычислений?

флаг sa

Я определяю многопартийное вычисление, используя реально-идеальную парадигму (см. Прагматичное введение в безопасные многосторонние вычисления). То есть для любой успешной атаки на протокол MPC в реальном мире существует симулятор, который успешно проводит эту атаку в идеальном мире. Отсюда следует, что безопасность в реальном мире должна быть эквивалентна безопасности в идеальном мире.

Я определяю интерактивные системы доказательства с нулевым разглашением для языка $L$ используя исходное определение из Сложность знаний интерактивных систем доказательства. то есть пара $(А, В)$ интерактивных машин Тьюринга должны выполнять

  1. Комплектность: дано $x \в л$, $В$ принимает с очень высокой вероятностью;
  2. Обоснованность: при любом прувере $А'$ и $x \не\в L$ перешел в $(А', В)$, $В$ принимает с очень низкой вероятностью;
  3. Zero-Knowledge: существует вероятностный симулятор с полиномиальным временем, который может имитировать весь обмен сообщениями между $А$ и $В$ для любого входа $x \в л$.

Теперь бумага Нулевое разглашение благодаря безопасным многосторонним вычислениям упоминает следующее:

Протоколы с нулевым разглашением можно рассматривать как частный случай безопасного двустороннего вычисление, где функция проверяет действительность свидетеля, имеющегося у доказывающего.

То есть дано $L \in \mathcal{NP}$, существует алгоритм $А$ такой, что $x \in L \iff \exists w\двоеточие A(x, w) = 1$ (значение $\mathcal{NP}$). Одна вечеринка $P_1$ выступает в качестве доказывающего, другой $P_2$ в качестве верификатора. $P_1$ знает $х$ и $w$, $P_2$ знает только $х$. Они выполняют $А(х, ш)$ вместе, чтобы определить, $x \в л$ или не.

Четко, $w$ не сообщается проверяющему $P_2$ благодаря протоколу MPC. Однако не является ли определение нулевого знания более общим? Если доказывающий $P_1$ отправлено, по какой-то причине, решение в какой-то экземпляр $\mathcal{NP}$-полная проблема1, никакой симулятор с полиномиальным временем не мог бы смоделировать это, предполагая, что $\mathcal{P} \neq \mathcal{NP}$. Созданная система доказательств не будет с нулевым разглашением.

Таким образом, учитывая, что протокол MPC может обмениваться несимулируемыми сообщениями, протокол MPC фактически не может использоваться для реализации системы доказательства с нулевым разглашением для какого-либо языка. $L \in \mathcal{NP}$, может это?


1 Решение можно поставить в зависимость от $х$ таким образом, чтобы он не был постоянным и, таким образом, легко моделируемым.

Рейтинг:2
флаг cn

Нулевое разглашение изначально было определено в отношении произвольных (возможно, неограниченных) доказывающих. Однако, когда мы используем или обсуждаем нулевое разглашение в криптографии, мы почти всегда неявно предполагаем ZK для NP, когда доказывающий работает за полиномиальное время при наличии свидетеля утверждения. Это тип доказательства с нулевым разглашением, на который ссылалась статья, и это действительно особый случай злонамеренно безопасных двухсторонних вычислений.

cadaniluk avatar
флаг sa
Да, но это та схема, которую я описал сразу под цитатой с партиями $P_1$ и $P_2$, не так ли? Мой вопрос конкретно касается того, что нулевое разглашение означает не только отсутствие утечки $w$, но и отсутствие утечки чего-либо еще, в то время как безопасный MPC может привести к утечке других знаний, кроме $w$. Поэтому мне кажется неразумным, что MPC можно использовать для построения доказательства с нулевым разглашением.
Geoffroy Couteau avatar
флаг cn
Каким образом полиномиальный доказывающий (которому дается только свидетель утверждения) выдал бы это «другое знание»? Либо это жестко закодировано в его описании — тогда это может быть закодировано в симуляторе, либо это легко вычислить (тогда симулятор может это вычислить). В противном случае протокол MPC не сможет ничего сложно смоделировать. Если вы проверите определение, оно прямо указывает на то, что злонамеренный 2-сторонний MPC является строгим обобщением нулевого разглашения.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.