înregistrare Logare
Puncte:2
Sean avatar Crypto

Angajamentul Pedersen și cunoștințele zero computaționale

drapel yt
Sean

Sunt curios cum"bun„Este cunoştinţe computaţionale zero? Luați în considerare angajamentul Pedersen $z = g^x h^y$. Există un protocol ZK perfect (bazat pe cel al lui Schnorr) pentru a dovedi că cineva cunoaște secretul $x$ și $y$. Dar ce zici de următorul „relaxat”:

(1) Dovatorul trimite $G = g^x$ și $H = h^y$ (și verificatorul trebuie să verifice $G\time H = z$); (2) Dovatorul rulează două instanțe ale protocolului lui Schnorr pentru a demonstra că ea cunoaște logaritmul lui $G$ și $H$

Se pare că acest protocol este ZK de calcul, deoarece simulatorul ar putea alege pur și simplu o pereche aleatorie ($G'$, $H'$) astfel încât $G' \times H' = z$. De cand $(G',H')$ ar fi imposibil de distins de real $(G,H)$, atunci conversația simulatorului va fi imposibil de distins de cele reale (computațional). [Puteți verifica dacă această afirmație este corectă? Mulțumiri!]

Dar apoi protocolul într-adevăr scurgeri ceva - de exemplu, gândiți-vă la cazul în care $x=1$. Angajamentul pedersen își pierde atunci ascunderea perfectă Aici.

Deci întrebarea este: atunci când este utilizat ZK de calcul, este considerat satisfăcător (dacă este utilizat singur?) Ar trebui unele proprietăți suplimentare, cum ar fi indistinguirea martorilor este cerut?

101
1 + 0
Puncte:2
Geoffroy Couteau avatar Crypto
drapel cn
Geoffroy Couteau

Protocolul nu are cunoștințe zero din punct de vedere computațional. ZK computațională este satisfăcătoare chiar și atunci când este „utilizat singur”, și în special implică indistinguirea (computațională) a martorilor.

Greșeala este în propoziție

Se pare că acest protocol este ZK de calcul, deoarece simulatorul ar putea alege pur și simplu o pereche aleatorie ($G'$, $H'$) astfel încât $G' \times H' = z$. De cand $(G',H')$ ar fi imposibil de distins de real $(G,H)$, atunci conversația simulatorului va fi imposibil de distins de cele reale (computațional).

Simulatorul poate alege într-adevăr $(G',H')$ la întâmplare condiţionată de $G'H' = z$, dar acest lucru nu se poate distinge de real $(G,H)$ în general. Amintește-ți asta $z$ (angajamentul Pedersen) este cuvântul: nu se face nicio presupunere cu privire la distribuția sa. Luând același exemplu ca în întrebarea ta, când $x=1$, atunci protocolul real comunica $(g^x, h^y) = (g, h^y)$. Pe de altă parte, simulatorul comunică un mod aleatoriu $G'$ în loc de $g$, care poate fi distins cu ușurință de protocolul onest.

0 + 1
Sean avatar
drapel yt
Sean
Grozav. Multumesc pentru clarificare.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.