Рейтинг:1

Σ-протокол, который доказывает, что четное число было зафиксировано с использованием схемы обязательств Педерсена.

флаг pk

Мне нужно разработать Σ-протокол ZKP с использованием схемы обязательств Педерсена, которая доказывает знание таких a, y, что утверждение A = h^y * g^a выполняется только для четных y (y = 2x).

Конечно, протокол должен быть надежным, специальным и честным, с нулевым разглашением.

Какие-либо предложения?

Рейтинг:1
флаг es

Стандартное доказательство диапазона обязательств Педерсена продемонстрирует, что $у$ строится из сложения ряда степеней числа 2.

Все, что вам нужно сделать, это немного изменить доказательство диапазона, чтобы вы не включали $2^0=1$ как одна из степеней 2.

Видеть этот ответ для объяснения того, как построить простое доказательство диапазона.

Changyu Dong avatar
флаг cn
Вероятно, более сложный, чем это. Например, у вас есть $y=1$ из $Z_5$, вы можете доказать $y= 4+2 = 1 \bmod 5$.
knaccc avatar
флаг es
@ChangyuDong доказательство диапазона предотвращает это переполнение. Вы не позволите диапазону превышать размер группы генератора.
Changyu Dong avatar
флаг cn
Это делается путем ограничения максимальной мощности? Если да, то должно быть ограничение, что битовая длина $y$ должна быть по крайней мере на 1 бит короче, чем размер группы. Но это может быть удовлетворительным в исходном вопросе.
knaccc avatar
флаг es
@ChangyuDong С доказательствами диапазона доказывающий и проверяющий согласовывают список степеней 2 (или 3, или иным образом). Затем доказывающий создает обязательство Педерсена для каждого элемента в этом списке и предоставляет доказательство того, что каждое обязательство равно нулю или степени двойки. Они также предоставляют подпись, показывающую, что сумма их обязательств равна правильной сумме. Например, в Monero используются мощности $2^0...2^{63}$, и это доказывает, что количество $0\leq
Changyu Dong avatar
флаг cn
Да, это именно то, что я имел в виду - если $y\in Z_q$ и $|q|=l$, то максимальная мощность, которую вы можете разрешить в доказательстве диапазона, составляет $2^{l-1}$, поэтому вам нужно убедитесь, что $|y|\le l-1$.
knaccc avatar
флаг es
@ChangyuDong да, я исходил из предположения, что было бы бессмысленно не ограничивать $y$, учитывая, что существуют бесконечные значения $y$, которые приведут к одному и тому же $A$, и размер группы, вероятно, будет быть премьером. И, кстати, несколько более умные конструкции с доказательством диапазона могут достигать точного верхнего предела диапазона, даже если этот верхний предел не является степенью двойки.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.