Аккумулятор RSA

Sean

20.06.2023, 13:06

В документе ZeroCoin используется доказательство zk из динамического аккумулятора Камениша, которое показывает, что обязательство Педерсена скрывает элемент аккумулятора RSA (https://link.springer.com/content/pdf/10.1007/3-540-45708-9_5.pdf). Однако похоже, что это доказательство можно использовать и для доказательства того, что подмножество элементов принадлежит аккумулятору.

Теперь возникает вопрос: как ZeroCoin доказывает, что обязательство Педерсена скрывает один элемент?

107

0 + 0

аккумуляторы

Рейтинг:2

Crypto

meshcollider

20.06.2023, 20:16

Каждый элемент в аккумуляторе является простым числом между некоторыми выбранными границами. В этом случае обязательство Педерсена

$$ c = g^Sh^r \pmod{p}$$

выбирается так, что $с$ является простым. Затем все эти значения $с$, каждая из которых представляет собой «монету», накапливаются в аккумуляторе RSA. $$u^{\prod{c_i}}\pmod{N}.$$

Всякий раз, когда монета тратится, сеть проверяет, что $с$ действительно является простым (это означает, что он не может представлять более одного накопленного значения), и что его членство свидетельствует внутри $А$ является действительным. Обратите внимание, что это делается косвенно через упомянутое вами доказательство знания, но это доказательство знания действительно требует $с$ быть премьером. Доказательство приведено в полная версия статьи, Теорема 4.

0 + 0

Sean

21.06.2023, 13:54

Я читал статью о ZeroCoin. Для монеты $c$, когда она потрачена, похоже, что она НЕ раскрывается для общественности (поэтому используется zk-доказательство Камениша). Проверка того, что $c$ является простым, выполняется, когда $c$ добавляется (создается) и сохраняется в блокчейне, а не когда он тратится (поскольку $c$ анонимен). Так что здесь, когда он будет потрачен, я мог бы попытаться представить доказательство для $c_1 * c_2$ и представить доказательство $c_1*c_2 = g^{S_1 + S_2} h^r'$. Это похоже на нападение?

Ответить

meshcollider

21.06.2023, 20:26

Как уже упоминалось, теорема 4 полной статьи говорит, что правильное доказательство также доказывает, что $c$ простое число. Вы правы, что $c$ не разглашается, чтобы не было утечки, откуда взялась потраченная монета. Я поэтому и написал "что это делается косвенно"

Ответить

Sean

22.06.2023, 23:10

Спасибо. Я бы предположил, что это доказательство диапазона, которое ограничивает его одним простым числом?

Ответить

meshcollider

23.06.2023, 08:38

Это больше, чем просто доказательство диапазона, это полное доказательство знания, но это лишь одна из вещей, которые оно доказывает.

Ответить

Admin

Этот вопрос на других языках:

EN: RSA accumulator

TH: ตัวสะสม RSA

RO: Acumulator RSA

RU: Аккумулятор RSA

VI: bộ tích lũy RSA

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.