Рейтинг:4

Связь между экстрактором знаний и надежностью в ZKPoK

флаг gd

Чтение Почему Zk-SNARK являются аргументом знаний, если существует средство извлечения знаний? Меня смущает первое утверждение ОП:

Из того, что я знаю, доказательство существования Извлекателя Знаний подразумевает совершенную надежность.

Ответ фокусируется на том, что надежность не обязательно идеальна, но кажется, что он неявно подтверждает вывод о надежности экстрактором.

Прежде всего, позвольте мне заявить, что, когда я читаю «надежность», я думаю о свойстве IP-адресов, утверждающем, что никакая стратегия Доказательства не может убедить Верификатора в том, что символ не принадлежит языку с более чем незначительной вероятностью... что кажется совершенно другим «объект», чем экстрактор, «высыпающий» свидетеля, поэтому мне трудно получить хотя бы наивное представление об этом предполагаемом значении.

Однако я начал верить в это из-за источников, которые я нашел, например:

[...] свойство надежности заменяется свойством извлечения знаний [...]

Когда дело доходит до демонстрации надежности доказательства знания, у нас есть действительно хороший формальный подход. Как и в случае с Симулятором, о котором мы говорили выше, нам нужно продемонстрировать существование специального алгоритма. Этот алгоритм называется экстрактором знаний, и он делает именно то, на что претендует. Извлекатель знаний (или просто «Извлекатель») — это особый тип верификатора, который взаимодействует с доказывающим, и — если доказывающему удается завершить доказательство, — извлекающий должен быть в состоянии извлечь Изначальный секрет Прувера. И это отвечает на наш вопрос выше. Чтобы доказать правильность доказательства знания, мы должны показать, что экстрактор существует для каждого возможного доказывающего.

ОДНАКО в пункте 4.5 "А как насчет надежности?" из Об определении доказательств знания где Белларе и Голдрайх имеют дело со своей формулировкой PoK по сравнению с предыдущими (https://www.wisdom.weizmann.ac.il/~oded/PS/pok.ps) Я нашел эти слова:

Заметим, что наше определение не требует случая $х$ не в $L_R$. В частности, достоверность (т. е. предел способности доказывающего убедить проверяющего принять $х$ не в $L_R$) не требуется. Следовательно, верификатор знаний для $R$ не обязательно определяет интерактивное доказательство членства в $L_R$. Это отличается от предыдущих определений; у них условие «действительности» подразумевало условие обоснованности, так что последнее всегда выполнялось. Мы чувствуем, что наше «отделение» обоснованности от достоверности оправдано как концептуально, так и в свете некоторых приложений.

Кстати, это та же точка зрения знаменитого "Основания криптографии" Гольдериха, раздел 4.7.

Итак, я снова сомневаюсь в: извлечении знаний $=>$ надежность

Может ли кто-нибудь явно указать доказательство импликации или хотя бы дать мне какие-либо намеки на это?

Или, может быть, существование Извлекателя знаний каким-то образом само по себе избегает того, чтобы Проверяющий был убежден в «свидетеле», на самом деле не известном Доказывающему, поэтому его можно было бы рассматривать как своего рода «свойство достоверности», даже если оно имеет другую природу по сравнению с обычными. те? (эта точка зрения кажется подтвержденной Жоффруа Куто в первоначально цитируемом обмене вопросами и ответами, когда он пишет:

Да, есть несколько аспектов вкуса надежности: есть ли у вас «надежность членства» или «надежность знаний» — это одно (я обычно говорю «извлекаемость знаний» в своей статье, чтобы отличить от обычной надежности).

однако, если это так, я ожидал, что он исправит это «подразумевается» OP)

Извините за многословие, я надеюсь, что описал свои сомнения в понятной форме.

DiamondDuck avatar
флаг hu
Я не совсем понимаю ваш вопрос. Для надежности IP, если вы берете DLOG в качестве языка, пустая строка из доказывающего должна убедить Verifier$(X=g^x)$ в том, что $X$ находится на языке. Но это не означает, что доказывающий знает $x$. Таким образом, средство извлечения знаний предназначено для проверки достоверности знаний (подразумевается, что доказывающая сторона действительно знает $x$ для получения действительного доказательства).
baro77 avatar
флаг gd
IP-адреса четко определяются полнотой и надежностью, в то время как для PoK указываются полнота и существование экстрактора знаний. Я думаю, тут может быть два объяснения: KE => обычное свойство Soundness или KE представляет собой совсем другой, но в любом случае адекватный вариант добротности. Литература не помогает мне понять, какой случай правильный и как это продемонстрировать (или, по крайней мере, счесть это разумным)
Рейтинг:5
флаг cn

Извлекаемость знаний — строго более сильное свойство, чем надежность. Ниже я нарисую, почему безусловная извлекаемость знаний подразумевает статистическая достоверность. В неформальных терминах статистическая достоверность утверждает:

«Если утверждение неверно, то у любого злонамеренного доказывающего будет пренебрежимо малая вероятность получения приемлемого доказательства».

С другой стороны, КЭ утверждает:

(*) «Возьмем любой (возможно, злонамеренный) алгоритм доказывающего, который выдает приемлемое доказательство с немалой вероятностью. Тогда существует экстрактор (с ожидаемым полиномиальным временем), который взаимодействует с этим доказывающим и восстанавливает свидетельство (т. е. доказательство), которое утверждение верно».

Сформулировав, как указано выше, должно быть относительно ясно, что КЭ подразумевает достоверность: если КЭ гарантированно найдет свидетельство истинности утверждения, это подразумевает, в частности, что утверждение является истинный. Другими словами, (*) подразумевает:

«Если существует (возможно, злонамеренный) алгоритм доказывания, который производит приемлемое доказательство с немалой вероятностью, то утверждение обязательно истинно»

Принятие противопоставления дает: «Если утверждение неверно, то ни один алгоритм доказывания не может дать приемлемое доказательство с немалой вероятностью»,

что именно статистический надежность. Обратите внимание, что это не дает вам Отлично достоверность: для этого вам понадобится форма «сверхсильной» извлекаемости знаний, которая гарантировала бы извлечение свидетеля из любого (возможно, злонамеренного) доказывающего, который выводит подтверждающее доказательство с любая вероятность $р>0$.

Обратите внимание, что также существуют ситуации, когда мы можем доказать только вычислительную форму KE, например, «либо мы можем извлечь свидетельство из этого полиномиально ограниченного успешного доказывающего, либо мы можем использовать доказывающее средство, чтобы решить эту сложную проблему». В этом случае вычислительная КЭ подразумевает вычислительную надежность.

Рейтинг:0
флаг gd

Спасибо! Теперь ваш скетч помог мне больше не запутаться в формальных деталях ФС 4.7, а также разобраться Когда надежность знания подразумевает правильность , найденный тем временем и который, я думаю, стоит привести здесь (поэтому я также пишу это как ответ)

Я думаю, что мое замешательство произошло в первую очередь из-за того, что я не был специалистом в этой области ;-), а затем из-за того, что Голдрайх решил не определять KE Validity для ложных утверждений и его следующий вывод о неспособности иметь дело с ложными утверждениями в случае (даже если ваш набросок заставляет меня думать, что, даже если он не определен в этом случае, кажется невозможным, чтобы KE мог вернуть несуществующий свидетель ложного утверждения, поэтому возвращение KE свидетеля действительно подразумевает истинность утверждения, поэтому ваша логическая цепочка кажется справедливой также в соответствии с Гольдрейхом предположения)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.