zkSNARKS: Если мы уже используем гомоморфное шифрование/сокрытие, почему для нулевого разглашения требуется сдвиг на $\delta$?

user93353

27.05.2023, 11:22

Я читаю это объяснение zkSnark, написанное Максимом Петкусом - http://www.petkus.info/papers/WhyAndHowZkSnarkWorks.pdf

Из раздела 3.5

Поскольку верификатор может извлечь информацию о неизвестном полиноме $р(х)$ только из данных, присланных прувером, рассмотрим те предоставленные значения (доказательство): $г^р$, $г^{р'}$, $г^ч$. Они участвуют в следующие проверки:

$ г ^ р = (г ^ {ч}) ^ {т (с)} $ (многочлен $р(х)$ имеет корни $т(х)$)

$(г^р)^\альфа = г^{р'}$ (используется многочлен правильной формы)

Вопрос в том, как изменить доказательство так, чтобы проверки по-прежнему держать, но никакие знания не могут быть извлечены? Можно получить один ответ из предыдущего раздела: мы можем «сдвинуть» эти значения на некоторое случайное количество $\дельта$ (дельта), например, $ (г ^ р) ^ {\ дельта} $. Теперь, чтобы извлечь знание, сначала нужно найти $\дельта$ который считается невыполнимым. Более того, такая рандомизация статистически неотличимы от случайных.

У нас уже есть сильное гомоморфное шифрование (как указано в разделе 3.3.3),

$E(v) = g^v \pmod n$

$г^р$, $г^{р'}$, $г^ч$ создаются, как описано выше. Я имею в виду, как вы извлекаете информацию о p, p' & h из $г^р$, $г^{р'}$, $г^ч$ что сдвиг на $\дельта$ требуется?

Так почему же $\дельта$ сдвиг требуется для нулевого знания?

0 + 0

доказательства с нулевым разглашением

снарки

Рейтинг:1

Crypto

meshcollider

28.05.2023, 00:53

Средства с нулевым разглашением нуль знания, что мы буквально ничего не узнаем, кроме достоверности доказательства.

Даже если мы не научимся $р, р'$ и $ч$ сами, мы еще учимся $г^р$ чего мы не могли знать до того, как состоялся протокол. Итак, мы узнали что-нибудь, даже если это не так $р$.

Переключение на $\дельта$ устраняет эту утечку. Тогда мы абсолютно ничего не узнаем, потому что $г^{р\дельта}$ полностью скрывает $г^р$. Как говорится, «такая рандомизация статистически неотличима от случайной». Если бы я дал вам случайный $Х = г^х$, куда $х$ генерируется как $р\дельта$ для случайного $\дельта$, у вас нет возможности узнать что-либо о $\дельта$ или же $р$ (в том числе $г^р$) от него.

0 + 0

user93353

28.05.2023, 01:34

Хорошо понял. Я предполагаю, что это похоже на использование IV или одноразового номера в симметричном шифровании для рандомизации, чтобы один и тот же ввод дважды давал разные результаты.

Ответить

meshcollider

28.05.2023, 02:19

Ага, точно :)

Ответить

Admin

Этот вопрос на других языках:

EN: zkSNARKS: If we are already using Homomorphic Encryption/Hiding, why is the shift by $\delta$ required for Zero Knowledge?

TH: zkSNARKS: ถ้าเราใช้ Homomorphic Encryption/Hiding อยู่แล้ว เหตุใดจึงต้องเปลี่ยนโดย $\delta$ สำหรับ Zero Knowledge

RO: zkSNARKS: Dacă folosim deja Criptarea/Ascunderea homomorfă, de ce este necesară schimbarea cu $\delta$ pentru Zero Knowledge?

RU: zkSNARKS: Если мы уже используем гомоморфное шифрование/сокрытие, почему для нулевого разглашения требуется сдвиг на $\delta$?

VI: zkSNARKS: Nếu chúng tôi đã sử dụng Mã hóa/Ẩn đồng hình, tại sao lại cần thay đổi $\delta$ cho Zero Knowledge?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.