Использование обозначения в вашей ссылке на Википедию для согласованности с учетом любого, возможно, мошеннического, верификатора $В^*$, вы хотите построить симулятор $S$ который, учитывая только доступ к квадратичному вычету $v$ (но не квадратный корень $s$), выдает результат, неотличимый от взгляда верификатора при взаимодействии с честным доказывающим.
В этом случае вы делаете это, в основном угадывая бит $е$ верификатор отправит. Вы равномерно выбираете несколько случайных $y\in(\mathbb{Z}/N\mathbb{Z})^*$, а также $e'\in\{0,1\}$, и установите $r=y^2\cdot v^{-e'}$. В обоих случаях, $г$ является равномерно случайным обратимым квадратичным вычетом, поэтому распределение $В^*(р)$ не может зависеть от бита $e'$, и поэтому, $е=е'$ происходит с вероятностью точно $1/2$ вне зависимости от стратегии $В^*$. Если они совпадают, симулятор выводит $(г,у)$ и в противном случае перезапускается (или прерывается, в зависимости от вашего точного определения нулевого разглашения; это не имеет значения).
В случае успеха, $(г,у)$ распределяется точно так же, как и при взаимодействии с честным доказывающим: $г$ однороден в $QR_N$, $у$ однороден в $(\mathbb{Z}/N\mathbb{Z})^*$, и они удовлетворяют $y^2 = г\cdot v^e$. Причем успех достигается с подавляющей вероятностью после не более чем полиномиального числа повторений (размером $N$). Это гарантирует, что протокол является идеальным с нулевым разглашением.
