Доказательство диапазона ослепленного значения в обязательстве Педерсена при нулевом знании

John N.

21.08.2023, 13:33

Доказательство имеет следующее значение: $$C = (ч^ag^x)^b$$

и ему нужно доказать с нулевым разглашением верификатору, что $х <т$, для некоторого публичного порога $t$. Верификатор знает $ч$, $г$, $С$, и $t$. Доказывающий знает все. По существу, это следующее соотношение:

$$\{(a,b,x)\ |\ C = (h^ag^x)^b \клин x < t\}$$

Я знаю, что это возможно для значения $s' = ч^ag^x$ (например, с использованием пуленепробиваемых материалов), но мне было интересно, возможно ли это, учитывая дополнительный ослепляющий фактор. $b$. Если да, не могли бы вы объяснить, как или указать мне на соответствующую литературу?

0 + 0

доказательства с нулевым разглашением

обязательства

гомоморфные подписи

knaccc

21.08.2023, 14:02

Какова мотивация дважды ослеплять обязательство Педерсена? Если ваш ослепляющий фактор $b$ различается между Обязательствами Педерсена, то они больше не являются аддитивно гомоморфными.

Ответить

John N.

21.08.2023, 14:15

Фактор ослепления $b$ на самом деле одинаков для разных обязательств, но он вычисляется тайно с помощью MPC. Мне нужно, чтобы обязательства были гомоморфными, и в то же время не позволять пользователю вмешиваться в обязательства другого пользователя (например, с помощью $C_i \cdot g^{x'}$. В моей состязательной модели некоторые пользователи являются злонамеренными).

Ответить

knaccc

21.08.2023, 14:30

Моя первая мысль состоит в том, что я не думаю, что это возможно, потому что 1. Доказательство диапазона может работать только в том случае, если $g^b$ известно верификаторам, и 2. Знание $g^b$ позволяет фальсифицировать обязательство, которое вы' повторно пытается предотвратить. Возможно, есть что-то более сложное, что могло бы решить проблему. Почему бы просто не подписать обязательства, чтобы предотвратить фальсификацию?

Ответить

knaccc

21.08.2023, 14:46

Другая возможность состоит в том, что верификаторы принимают на веру, что серия обязательств перед каждой из степеней двойки (все ослеплены $b$) были действительно объявлены. Эти обязательства затем можно было бы использовать в доказательствах диапазона для любого обязательства, ослепленного $b$. Всем доказывающим необходимо знать ослепляющий фактор $x$ для каждого из этих обязательств степени двойки.

Ответить

John N.

21.08.2023, 15:12

Я могу подписать каждое обязательство, но я также разрешаю любому пользователю складывать все обязательства вместе (перемножая их). Поскольку такой пользователь может быть злонамеренным, я не могу гарантировать, что окончательное обязательство также защищено от несанкционированного доступа, верно?

Ответить

knaccc

21.08.2023, 15:15

Я не совсем понимаю ваш вариант использования, поэтому я не уверен, почему, когда пользователь добавляет обязательства вместе, он не может просто объявить, какие обязательства были добавлены вместе, чтобы верификатор мог проверить, что они были правильно добавлены вместе

Ответить

Admin

Этот вопрос на других языках:

EN: Proving the range of a blinded value in a Pedersen commitment in zero knowledge

TH: พิสูจน์ขอบเขตของมูลค่าที่มองไม่เห็นในความมุ่งมั่นของ Pedersen โดยไม่มีความรู้

RO: Demonstrarea intervalului unei valori orbite într-un angajament Pedersen în cunoștințe zero

RU: Доказательство диапазона ослепленного значения в обязательстве Педерсена при нулевом знании

VI: Chứng minh phạm vi của một giá trị mù quáng trong một cam kết của Pedersen với kiến thức bằng không

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.