Рейтинг:2

Расширение доказательства ИЛИ более чем на два утверждения

флаг cn

Я читал о сигма-протоколах, особенно о OR-Proof.

Многие примеры просто принимают во внимание два утверждения и дают возможность сказать, что одно из утверждений является допустимым, но не какое. Например этот вопрос доказательство с нулевым разглашением дизъюнктивных утверждений (доказательства ИЛИ), или протокол 3 в этой статье Доказательства с нулевым разглашением с протоколами Sigma, раздел 4 данной работы На Σ-протоколах а это 2.4 на этих слайдах Σ-протоколы.

Я хотел бы расширить это до 1 из $N$ заявления (вместо 1 из 2 всех примеров, которые я нашел). Многие работы относятся Доказательства частичного знания и упрощенного Разработка протоколов сокрытия свидетелей. Я попытался полностью понять это, чтобы реализовать 1 из $N$ или-протокол, но без везения. Разделение секрета введено, как я понимаю, для того, чтобы $t$ снаружи $N$, вводя акции, что немного усложняет мне задачу.

Для протокола 1 из 2 верификатору отправляется один запрос, состоящий из суммы «правильного» запроса и «случайного» запроса. Вот где, я думаю, должно произойти расширение до более «случайных» задач.

Можно ли расширить протокол до 1 из $N$ без использования части обмена секретами?

Mark avatar
флаг ng
Я вообще с этим не знаком, но нельзя ли перегруппировать $P_1\lor P_2\lor\dots P_k$ как $(P_1\lor \dots P_{\lfloor k/2\rceil})\lor(P_ {\lfloor k/2\rceil+1}\lor\dots\lor P_k)$, доказать каждое из «доказательств половинного размера» и рекурсивно?
Рейтинг:2
флаг cn

Если вы просто хотите расширить $1$ снаружи $N$, достаточно очень простой модификации знакомого вам протокола: один вызов $е$ отправляется доказывающему, и доказывающий может свободно выбирать $N$ ценности $(e_1, \cdots, e_N)$ такой, что $\sum_{i=1}^N e_i = e$. Конкретно это означает, что если $я$-е утверждение является тем, для которого у доказывающего есть свидетель, они выберут $(e_1, \cdots, e_{i-1}, e_{i+1}, \cdots, e_N)$ равномерно случайным образом на первом шаге и при получении вызова $е$ от верификатора, они определят $e_i \получает e - \sum_{j\neq i} e_j$.

Vadym Fedyukovych avatar
флаг in
Другими словами, докажите одно истинное утверждение и смоделируйте все остальные. Начните с случайного выбора $N-1$ испытаний для симуляции, а затем рассчитайте правильное испытание для доказательства.
флаг cn
Здорово, звучит просто. Я планирую применить эвристику Fiat Shamir, чтобы сделать его неинтерактивным, разработаю и опубликую здесь. Мне интересно, с этим протоколом 1 из N гарантируется ли правильность одного из утверждений? Или доказывающий может сделать все утверждения ложными и утверждать, что «1 из N» верен?
Geoffroy Couteau avatar
флаг cn
Гарантируется, что по крайней мере одно из утверждений верно и что доказывающий знает свидетеля хотя бы для одного из правильных утверждений. Невозможно ложно утверждать, что хотя бы одно из N утверждений верно.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.