Регистрация Войти
Рейтинг:3
Bean Guy avatar Crypto

Притирка в эвристике Fiat-Shamir

флаг in
Bean Guy

Предполагается, что эвристика Фиата-Шамира заменяет сообщения общедоступной монеты от верификатора хэшами сообщений проверяющего до этого момента, то есть: $$H(\alpha_1) = \beta_1, \ H(\alpha_1, \alpha_2) = \beta_2,\H(\alpha_1, \alpha_2, \alpha_3) = \beta_3,\vdots$$ где $\alpha_i$являются сообщениями доказывающего.

Я понимаю, почему эвристика Fiat-Shamir доказала свою безопасность в ПЗУ, однако на практике хэш-функция $Ч$ НЕ является оракулом, так что же мешает доказывающему перемалывать свои сообщения, чтобы иметь возможность подделать ложное доказательство?

Например, в $\Сигма$-протокол есть только одно сообщение от верификатора $\бета_1 = Н(\альфа_1)$. Что, если испытатель перемалывает некоторые $\alpha_1'$ пока он не найдет входные данные для хэш-функции, такие что $\бета_1$ позволяет ему получить некоторое преимущество?

Почему мы хешируем ВСЕ предыдущие сообщения доказывающего, чтобы получить следующее неинтерактивное сообщение верификатора? В чем заключается проблема выполнения, например, $H(\alpha_i) = \beta_i$? Хуже того, что, если испытатель может хэшировать все, что захочет?

350
0 + 0
Рейтинг:9
Geoffroy Couteau avatar Crypto
флаг cn
Geoffroy Couteau

Что мешает доказывающему перемалывать свои сообщения, чтобы подделать ложное доказательство?

Точно такой же вопрос мы могли бы задать и случайному оракулу! Что мешает доказывающему перемалывать свои сообщения, пока он не подделает поддельное доказательство? То, что вы предлагаете, может быть полностью сделано с помощью RO.

И ответ такой: сообщений должно быть очень мало $\альфа_1$ такой, что $\бета_1 = Н(\альфа_1)$ позволяет доказывающему иметь преимущество. В типичном $\Сигма$-протокол, например, когда утверждение не на языке (следовательно, доказывающий мошенничает), в среднем один $\альфа_1$ что позволяет доказывающему обманывать. (Упражнение: покажите, что это так для $\Сигма$-протокол для кортежей DDH, где слово $(Х,Y)$ и свидетель $х\в\mathbb{Z}_p$ такой, что $Х = г^х$ и $ Y = ч ^ х $). Следовательно, если есть $2^с$ возможные значения $\бета_1$ (это пространство испытаний), злонамеренный доказывающий должен будет вычислить $ О (2 ^ с) $ хэши для подделки поддельных доказательств. Теперь сделайте $с$ достаточно большой, и вы получаете вычислительную безопасность.

Обратите внимание, что атака измельчения по-прежнему является важным фактором: $\Сигма$-протоколы имеют безусловную безопасность, но как только вы скомпилируете их в ПЗУ с Fiat-Shamir, они имеют только вычислительный надежность. Это означает, что параметр безопасности для надежности (пространство запроса) должен быть скорректирован соответствующим образом: 40-битное пространство запроса подходит для $\Сигма$-протокол (поскольку он дает злоумышленнику $2^{-40}$ статистическая вероятность успешного взлома работоспособности, что на практике может быть приемлемым), но нарушается для Fiat-Shamir (поскольку для взлома составленного протокола требуется $2^{40}$ операции, которые тривиальны для выполнения). Как правило, мы будем использовать пространство задач о $2^{128}$ при использовании Фиат-Шамир.

0 + 0
Vadym Fedyukovych avatar
флаг in
Vadym Fedyukovych
«В типичном Σ-протоколе… не на языке, в среднем есть одна 1, которая позволяет доказывающему обмануть». Это справедливо для проверки ответов прувера, таких как следование линейной алгебре. Может быть, это не так типично, можно проверить коэффициент мощности два (рассматривая вызов как свободную переменную), объединяющий три ответа, как теорема Пифагора, удваивая шансы обмана в этом случае.
2
Ответить
Bean Guy avatar
флаг in
Bean Guy
Мммм, я так и думал. В любом случае, возможность «шлифовальной» атаки следует учитывать каждый раз, когда вы собираетесь создать протокол, верно? Я предполагаю, что не доказано (в общем случае), что вероятность успешной атаки гриндинга ничтожно мала.
0
Ответить
Geoffroy Couteau avatar
флаг cn
Geoffroy Couteau
@Вадим, верно, было бы точнее сказать, что это для линейных языков, или просто сказать, что среднее число будет незначительной долей пространства задач в целом.
2
Ответить
Vadym Fedyukovych avatar
флаг in
Vadym Fedyukovych
@Geoffroy, вероятно, эта идея о «силах вызова» была преувеличена с моей стороны, и большинство опубликованных Σ-протоколов в любом случае являются «линейными». Я хочу сказать, что был некоторый прогресс в разработке такого рода Σ-протоколов для доказательства полиномиальных отношений до R1CS/snark дней.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.