Рейтинг:3

Как сделать доказательство отсутствия членства для зафиксированного значения?

флаг ie

Предположим, что верификатор получает три обязательства. $C_i=g^{m_i}h^{r_i}, i=1,2,3$. Теперь доказывающее знание $m_i, r_i, i=1,2,3$ хочет доказать $m_3\neq m_1\клин m_3\neq m_2$. В частности, соотношение следующее: $\{(m_i,r_i), i=1,2,3|C_i=g^{m_i}h^{r_i}\клин m_3\neq m_1\клин m_3\neq m_2)\}$. Общее отношение можно записать следующим образом: $\{(m_i,r_i), i=1,2,..,n|C_i=g^{m_i}h^{r_i}, i=1,2,...,n\клин m_n\notin\ {m_1,m_2,...,m_{n-1}\})\}$. Существует ли система доказательств, которая может доказать такое общее отношение? Тривиальное решение может просто делать $n-1$ умножить доказательства неравенства. Есть ли более простой подход? Какие-нибудь справочные документы? Спасибо.

Рейтинг:2
флаг es

Если вы заботитесь только об ослеплении обязательства (для предотвращения грубой силы) и не нуждаетесь в аддитивно гомоморфных обязательствах, вы можете сделать следующее:

У доказывающего есть ключевая пара $(х, Х=xG)$, и публикует открытый ключ $Х$.

Для каждого члена набора доказывающая сторона публикует:

  1. $C_i=H_p(m_i) + r_iG$, куда $H_p(m_i)$ значит хешировать $m_i$ и интерпретировать результат как допустимую точку EC.

  2. $D_i=xH_p(m_i)$

  3. $E_i=xC_i$

  4. DLEQ ​​доказательство того, что $Х$ и $E_i$ использовать один и тот же закрытый ключ $х$ по пунктам $G$ и $C_i$

  5. Подпись для открытого ключа $(E_i-D_i)$ на генераторе $G$.

Обратите внимание, что $E_i-D_i==xH_p(m_i)+xr_iG-xH_p(m_i)==xr_iG$.

Доказательство DLEQ (пункт 4) докажет, что $E_i$ был рассчитан правильно. Здесь мы используем проверяемую псевдослучайную функцию (VPRF), которую может запросить только доказывающий, но которую может проверить любой наблюдатель.

Подпись (пункт 5) будет возможна только в том случае, если $D_i$ также был рассчитан правильно, так как подпись будет возможна только на генераторе $G$ если нет $H_p()$ компонент остался (поскольку дискретный журнал EC w.r.t. $G$ неизвестен ни для какого вывода $H_p()$).

Конечным результатом является то, что мы создали выход VPRF. $D_i$ за каждое сообщение $m_i$, и доказали, что каждый выход VPRF был объявлен правильно.

Теперь будет сразу видно, есть ли какие-либо обязательства по отношению к одному и тому же сообщению, поскольку они будут иметь одинаковые $D_i$ ценности.

user77340 avatar
флаг ie
о, это идея кольцевой конфиденциальной транзакции (RingCT)! Кажется, это правильно. Спасибо!
user77340 avatar
флаг ie
Могу я задать вопрос? Под подписью на шаге 5 вы имеете в виду доказательство знания дискретного логарифма Ei-Di на генераторе H?
knaccc avatar
флаг es
@ user77340 да, точно
user77340 avatar
флаг ie
ответ не принимается.
user77340 avatar
флаг ie
в чем проблема, если мы просто используем $D_i=xm_iG$? Любая атака? Я не вижу проблемы в том, чтобы доказать, что обязательство Педерсена относится к тому же $m_i$, что и $D_i$.
knaccc avatar
флаг es
@ user77340 Проблема в том, что если есть два известных сообщения, $m_a$ и $m_b$, которые могут встречаться в наборе, то вы можете вычислить $c=m_a/m_b$, а затем проверить, есть ли пары $D_i $ значений, где отношение между ними равно $c$. Поэтому вы отменяете свойство скрывать/скрывать обязательства Педерсена.
user77340 avatar
флаг ie
Я понимаю. Могу ли я сказать, что эта атака может сработать только в случае утечки какого-либо сообщения? Или, если мы можем предположить, что сообщения не будут просочены, тогда допустимо также разрешить $D_i=xm_iG$? Поскольку $D_i=xm_iG$ проще, он предпочтительнее.
knaccc avatar
флаг es
@user77340 user77340 Причина, по которой Обязательство Педерсена нуждается в ослепляющем факторе $r_i$, заключается в том, чтобы не дать кому-либо обнаружить сообщение путем грубой силы обязательства. Поэтому не имеет смысла заморачиваться созданием обязательства Педерсена, которое использует ослепляющий фактор для предотвращения грубой силы только для того, чтобы затем повторно ввести возможность использования грубой силы через выход $D_i$ VPRF.
user77340 avatar
флаг ie
хорошо, я вижу, спасибо!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.