У меня есть протокол, который работает во вредоносной среде, в которой стороны отправляют друг другу групповые элементы. $u\in\mathbb{G}$ определенной формы (например, это сообщения вида $ и = г ^ {\ альфа} \ cdot ч ^ {\ бета} $ с генераторами $h,g\in\mathbb{G}$ и $\альфа,\бета\в\mathbb{Z}_q$ для некоторого простого $q$).
Кроме того, эти стороны прикрепляют неинтерактивные доказательства знания с нулевым разглашением, которые показывают, что отправленные групповые элементы действительно имеют эту форму (например, отправленные групповые элементы не были выбраны бессознательно). Итак, если сторона в протоколе отправляет $ и = г ^ {\ альфа} \ cdot ч ^ {\ бета} $ тоже надо прикрепить $\pi_{г,ч}(и)$ который является ZKPOK, который доказывает, что $u$ находится в нужной форме.
В моих попытках доказать надежность протокола я предполагаю, что существует противник PPT. $\mathcal{А}$ который нарушает протокол, а затем я использую $\mathcal{А}$ как подпрограмма в новом PPT $\mathcal{B}$ который ломает неразрешимую проблему (в частности, дискретный логарифм в $\mathbb{G}$).
Однако моя проблема в том, что я хочу $\mathcal{B}$ использовать $\mathcal{А}$ методом черного ящика, но я также хочу использовать его «показатели» (дискретные логарифмы) $\альфа,\бета$ после бега $\mathcal{А}$ для вычисления дискретного логарифма произвольного элемента группы $a\in\mathbb{G}$. Однако, $\mathcal{А}$ можешь выбрать $\альфа,\бета$ любым способом, который $\mathcal{B}$ Бег $\mathcal{А}$ может не знать.
Как устранить это несоответствие?
То, что я имел в виду, это иметь $\mathcal{А}$ вывод $\альфа,\бета$ как часть его вывода, и причина в том, что, поскольку $\mathcal{А}$ должен прикрепить ЗКПОК $\альфа,\бета$ при отправке элемента (элементов) группы он вычислил $\альфа,\бета$ сам по себе, и поэтому он также может их выводить.
- Могу ли я изменить $\mathcal{А}$вывод таким образом, чтобы соответствовать моим потребностям?
- Есть ли другой / лучший подход для решения проблемы, когда мне нужен доступ к дискретным логарифмам, отправленным стороной, контролируемой PPT в черном ящике?
- Может ли кто-нибудь указать мне на статью, которая влечет за собой доказательство с помощью аналогичной техники?
Спасибо заранее.
