Рейтинг:1

zkSNARKS: Если мы уже используем гомоморфное шифрование/сокрытие, почему для нулевого разглашения требуется сдвиг на $\delta$?

флаг et

Я читаю это объяснение zkSnark, написанное Максимом Петкусом - http://www.petkus.info/papers/WhyAndHowZkSnarkWorks.pdf

Из раздела 3.5

Поскольку верификатор может извлечь информацию о неизвестном полиноме $р(х)$ только из данных, присланных прувером, рассмотрим те предоставленные значения (доказательство): $г^р$, $г^{р'}$, $г^ч$. Они участвуют в следующие проверки:

$ г ^ р = (г ^ {ч}) ^ {т (с)} $ (многочлен $р(х)$ имеет корни $т(х)$)

$(г^р)^\альфа = г^{р'}$ (используется многочлен правильной формы)

Вопрос в том, как изменить доказательство так, чтобы проверки по-прежнему держать, но никакие знания не могут быть извлечены? Можно получить один ответ из предыдущего раздела: мы можем «сдвинуть» эти значения на некоторое случайное количество $\дельта$ (дельта), например, $ (г ^ р) ^ {\ дельта} $. Теперь, чтобы извлечь знание, сначала нужно найти $\дельта$ который считается невыполнимым. Более того, такая рандомизация статистически неотличимы от случайных.

У нас уже есть сильное гомоморфное шифрование (как указано в разделе 3.3.3),

$E(v) = g^v \pmod n$

$г^р$, $г^{р'}$, $г^ч$ создаются, как описано выше. Я имею в виду, как вы извлекаете информацию о p, p' & h из $г^р$, $г^{р'}$, $г^ч$ что сдвиг на $\дельта$ требуется?

Так почему же $\дельта$ сдвиг требуется для нулевого знания?

Рейтинг:1
флаг gb

Средства с нулевым разглашением нуль знания, что мы буквально ничего не узнаем, кроме достоверности доказательства.

Даже если мы не научимся $р, р'$ и $ч$ сами, мы еще учимся $г^р$ чего мы не могли знать до того, как состоялся протокол. Итак, мы узнали что-нибудь, даже если это не так $р$.

Переключение на $\дельта$ устраняет эту утечку. Тогда мы абсолютно ничего не узнаем, потому что $г^{р\дельта}$ полностью скрывает $г^р$. Как говорится, «такая рандомизация статистически неотличима от случайной». Если бы я дал вам случайный $Х = г^х$, куда $х$ генерируется как $р\дельта$ для случайного $\дельта$, у вас нет возможности узнать что-либо о $\дельта$ или же $р$ (в том числе $г^р$) от него.

флаг et
Хорошо понял. Я предполагаю, что это похоже на использование IV или одноразового номера в симметричном шифровании для рандомизации, чтобы один и тот же ввод дважды давал разные результаты.
meshcollider avatar
флаг gb
Ага, точно :)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.