Регистрация Войти
Рейтинг:3
user77340 avatar Crypto

Как сделать доказательство отсутствия членства для зафиксированного значения?

флаг ie
user77340

Предположим, что верификатор получает три обязательства. $C_i=g^{m_i}h^{r_i}, i=1,2,3$. Теперь доказывающее знание $m_i, r_i, i=1,2,3$ хочет доказать $m_3\neq m_1\клин m_3\neq m_2$. В частности, соотношение следующее: $\{(m_i,r_i), i=1,2,3|C_i=g^{m_i}h^{r_i}\клин m_3\neq m_1\клин m_3\neq m_2)\}$. Общее отношение можно записать следующим образом: $\{(m_i,r_i), i=1,2,..,n|C_i=g^{m_i}h^{r_i}, i=1,2,...,n\клин m_n\notin\ {m_1,m_2,...,m_{n-1}\})\}$. Существует ли система доказательств, которая может доказать такое общее отношение? Тривиальное решение может просто делать $n-1$ умножить доказательства неравенства. Есть ли более простой подход? Какие-нибудь справочные документы? Спасибо.

94
0 + 0
Рейтинг:2
knaccc avatar Crypto
флаг es
knaccc

Если вы заботитесь только об ослеплении обязательства (для предотвращения грубой силы) и не нуждаетесь в аддитивно гомоморфных обязательствах, вы можете сделать следующее:

У доказывающего есть ключевая пара $(х, Х=xG)$, и публикует открытый ключ $Х$.

Для каждого члена набора доказывающая сторона публикует:

  1. $C_i=H_p(m_i) + r_iG$, куда $H_p(m_i)$ значит хешировать $m_i$ и интерпретировать результат как допустимую точку EC.

  2. $D_i=xH_p(m_i)$

  3. $E_i=xC_i$

  4. DLEQ ​​доказательство того, что $Х$ и $E_i$ использовать один и тот же закрытый ключ $х$ по пунктам $G$ и $C_i$

  5. Подпись для открытого ключа $(E_i-D_i)$ на генераторе $G$.

Обратите внимание, что $E_i-D_i==xH_p(m_i)+xr_iG-xH_p(m_i)==xr_iG$.

Доказательство DLEQ (пункт 4) докажет, что $E_i$ был рассчитан правильно. Здесь мы используем проверяемую псевдослучайную функцию (VPRF), которую может запросить только доказывающий, но которую может проверить любой наблюдатель.

Подпись (пункт 5) будет возможна только в том случае, если $D_i$ также был рассчитан правильно, так как подпись будет возможна только на генераторе $G$ если нет $H_p()$ компонент остался (поскольку дискретный журнал EC w.r.t. $G$ неизвестен ни для какого вывода $H_p()$).

Конечным результатом является то, что мы создали выход VPRF. $D_i$ за каждое сообщение $m_i$, и доказали, что каждый выход VPRF был объявлен правильно.

Теперь будет сразу видно, есть ли какие-либо обязательства по отношению к одному и тому же сообщению, поскольку они будут иметь одинаковые $D_i$ ценности.

0 + 0
user77340 avatar
флаг ie
user77340
о, это идея кольцевой конфиденциальной транзакции (RingCT)! Кажется, это правильно. Спасибо!
0
Ответить
user77340 avatar
флаг ie
user77340
Могу я задать вопрос? Под подписью на шаге 5 вы имеете в виду доказательство знания дискретного логарифма Ei-Di на генераторе H?
0
Ответить
knaccc avatar
флаг es
knaccc
@ user77340 да, точно
0
Ответить
user77340 avatar
флаг ie
user77340
ответ не принимается.
0
Ответить
user77340 avatar
флаг ie
user77340
в чем проблема, если мы просто используем $D_i=xm_iG$? Любая атака? Я не вижу проблемы в том, чтобы доказать, что обязательство Педерсена относится к тому же $m_i$, что и $D_i$.
0
Ответить
knaccc avatar
флаг es
knaccc
@ user77340 Проблема в том, что если есть два известных сообщения, $m_a$ и $m_b$, которые могут встречаться в наборе, то вы можете вычислить $c=m_a/m_b$, а затем проверить, есть ли пары $D_i $ значений, где отношение между ними равно $c$. Поэтому вы отменяете свойство скрывать/скрывать обязательства Педерсена.
0
Ответить
user77340 avatar
флаг ie
user77340
Я понимаю. Могу ли я сказать, что эта атака может сработать только в случае утечки какого-либо сообщения? Или, если мы можем предположить, что сообщения не будут просочены, тогда допустимо также разрешить $D_i=xm_iG$? Поскольку $D_i=xm_iG$ проще, он предпочтительнее.
0
Ответить
knaccc avatar
флаг es
knaccc
@user77340 user77340 Причина, по которой Обязательство Педерсена нуждается в ослепляющем факторе $r_i$, заключается в том, чтобы не дать кому-либо обнаружить сообщение путем грубой силы обязательства. Поэтому не имеет смысла заморачиваться созданием обязательства Педерсена, которое использует ослепляющий фактор для предотвращения грубой силы только для того, чтобы затем повторно ввести возможность использования грубой силы через выход $D_i$ VPRF.
0
Ответить
user77340 avatar
флаг ie
user77340
хорошо, я вижу, спасибо!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.