Рейтинг:2

Изменение вывода подпрограммы PPT, чтобы соответствовать доказательству сокращения

флаг us

У меня есть протокол, который работает во вредоносной среде, в которой стороны отправляют друг другу групповые элементы. $u\in\mathbb{G}$ определенной формы (например, это сообщения вида $ и = г ^ {\ альфа} \ cdot ч ^ {\ бета} $ с генераторами $h,g\in\mathbb{G}$ и $\альфа,\бета\в\mathbb{Z}_q$ для некоторого простого $q$).

Кроме того, эти стороны прикрепляют неинтерактивные доказательства знания с нулевым разглашением, которые показывают, что отправленные групповые элементы действительно имеют эту форму (например, отправленные групповые элементы не были выбраны бессознательно). Итак, если сторона в протоколе отправляет $ и = г ^ {\ альфа} \ cdot ч ^ {\ бета} $ тоже надо прикрепить $\pi_{г,ч}(и)$ который является ZKPOK, который доказывает, что $u$ находится в нужной форме.

В моих попытках доказать надежность протокола я предполагаю, что существует противник PPT. $\mathcal{А}$ который нарушает протокол, а затем я использую $\mathcal{А}$ как подпрограмма в новом PPT $\mathcal{B}$ который ломает неразрешимую проблему (в частности, дискретный логарифм в $\mathbb{G}$).

Однако моя проблема в том, что я хочу $\mathcal{B}$ использовать $\mathcal{А}$ методом черного ящика, но я также хочу использовать его «показатели» (дискретные логарифмы) $\альфа,\бета$ после бега $\mathcal{А}$ для вычисления дискретного логарифма произвольного элемента группы $a\in\mathbb{G}$. Однако, $\mathcal{А}$ можешь выбрать $\альфа,\бета$ любым способом, который $\mathcal{B}$ Бег $\mathcal{А}$ может не знать.

Как устранить это несоответствие?

То, что я имел в виду, это иметь $\mathcal{А}$ вывод $\альфа,\бета$ как часть его вывода, и причина в том, что, поскольку $\mathcal{А}$ должен прикрепить ЗКПОК $\альфа,\бета$ при отправке элемента (элементов) группы он вычислил $\альфа,\бета$ сам по себе, и поэтому он также может их выводить.

  1. Могу ли я изменить $\mathcal{А}$вывод таким образом, чтобы соответствовать моим потребностям?
  2. Есть ли другой / лучший подход для решения проблемы, когда мне нужен доступ к дискретным логарифмам, отправленным стороной, контролируемой PPT в черном ящике?
  3. Может ли кто-нибудь указать мне на статью, которая влечет за собой доказательство с помощью аналогичной техники?

Спасибо заранее.

флаг cn
Доказательство знания по определению позволяет извлечь свидетеля. Почему вы не можете просто сделать это в своей редукции?
yacovm avatar
флаг us
Поскольку ZKPOK отправляется в моем протоколе как NIZK, я не могу использовать какие-либо методы «перемотки» на $\mathcal{A}$, которые извлекают свидетельство. Я отредактировал свой вопрос, чтобы подчеркнуть, что это НИЗК. Спасибо за вопрос.
флаг cn
Если это PoK, вы можете извлечь. Это просто определение PoK. С NIZKPoK, который обычно работает либо путем взлома CRS, либо посредством разветвления извлечения типа Lemma.
yacovm avatar
флаг us
(1) не могли бы вы дать ссылку на пример в документе? (2) Является ли метод, который я описал в вопросе, надежным или нет?
Рейтинг:2
флаг us

Вы не можете изменить $\математический А$ этим способом. Если тебе надо $\альфа$ и $\бета$ для сокращения, то вам нужно будет использовать нулевой разглашение доказательство знаний из которого вы можете их извлечь. Я понимаю, что вы хотите использовать NIZK. Однако на самом деле это не проблема. Если вы возьмете сигма-протокол (3-раундовое доказательство) для обязательств Педерсена (что, по сути, то, что у вас есть здесь), а затем примените к нему преобразование Фиата-Шамира, то результатом будет неинтерактивное доказательство знаний с нулевым разглашением. где можно извлечь свидетеля $\альфа,\бета$, в модель случайного оракула. Это очень стандартно. Учебник по Sigma-протоколам Ивана Дамгарда можно найти здесь. Тот факт, что вы можете извлечь, следует из лемма о разветвлении для Fiat-Shamir Пойншеваля и Стерна (см. также статью Беллара и Невена о лемма о разветвлении).

yacovm avatar
флаг us
Я думаю, что понимаю, что вы пытаетесь сказать, однако, что, если вложенный PPT (противоположный PPT) имеет закрытый ввод, и в результате требования для применения леммы разветвления не выполняются? Возможно, мне следует разделить противника на два разных алгоритма: (i) тот, который создает ZKPOK, и (ii) тот, который получает ZKPOK NIZK в качестве входных данных и выполняет все остальное, а затем применяет разветвление к первому противнику? Это что-то возможно?
Yehuda Lindell avatar
флаг us
Вы всегда применяете экстрактор знаний к машине, которая генерирует ZKPOK. Обычно это важно в отношении предыдущих отправленных сообщений. Таким образом, каждый смотрит на «остаточного противника», который является противником, который жестко запрограммировал состояние противника до этого момента. Вам на самом деле все равно, что будет после ЗКПОК, потому что вы туда никогда не попадете.
yacovm avatar
флаг us
Спасибо за ответ (и за ответ, конечно). Я не уверен, что полностью понимаю. Не могли бы вы указать мне статью (или главу в книге), где описывается такой остаточный противник, чтобы я мог учиться на конкретном примере? Спасибо заранее.
Yehuda Lindell avatar
флаг us
См. раздел 5.3 https://eprint.iacr.org/2016/046.pdf.В нем описывается остаточный верификатор, используемый для проверки ZK, и как технически работает перемотка. Это то же самое, что вам понадобится здесь.
yacovm avatar
флаг us
Спасибо за ответ. Однако в моем протоколе раскрытие фиксации не происходит — все стороны отправляют сообщения, сопровождаемые ZKPOK, и у меня возникают проблемы с доказательством надежности, а не свойства нулевого знания. Раздел 5.3 посвящен доказательству свойства нулевого разглашения.
Yehuda Lindell avatar
флаг us
Одно и то же понятие остаточного противника используется для доказательства нулевых знаний и для запуска экстрактора знаний. Так что ссылка актуальна.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.