Puncte:2

Contează gradul acestui polinom pentru a obține cunoașterea zero? PlonK întrebare

drapel in

Citeam ziarul PlonK și în runda 1 a revendicării de a obține cunoașterea zero prin adăugarea de multipli aleatori (de gradul unu) ai polinomului $Z_H = x^n - 1$ la polinoamele secrete.

Aici, $H$ este setul care contine $n$-a rădăcinile unității și descrisă tipic ca $$H = \{\omega, \dots, \omega^{n-1}, \omega^n = 1\},$$ Unde $\omega$ este un primitiv $n$-a rădăcină a unității.

Deci, setarea este după cum urmează: Avem un polinom secret $s(x)$ astfel încât trebuie să evaluăm la un moment dat $z \in \mathbb{Z}_p$, ÎNCEPE $z$ si evaluarea $s(z)$ cunoscut public.

Pentru a evita scurgerea cunoștințelor despre $s(z)$, ele definesc: $$s'(x) := (b_1x + b_2)Z_H(x) + s(x),$$ și susțin că acest lucru este suficient pentru a obține cunoștințe zero despre $s(z)$.

Am doua intrebari:

  1. De ce multiplu de $Z_H(x)$ are gradul unu și nu, de exemplu, patru sau 69? În runda 2 a PlonK folosesc aceeași strategie, dar cu un alt polinom de gradul doi. De ce?
  2. De ce este acest lucru adevărat? Dacă $z \în H$, atunci clar $s'(x)$ conduce informaţii despre $s(x)$, la fel de $$s'(z) = s(z).$$
Vadym Fedyukovych avatar
drapel in
Referitor la zero cunoștințe, te-ai referit la algoritmul simulatorului?
Bean Guy avatar
drapel in
@Vadym Mă refeream la ascunderea teoretică a informațiilor
Vadym Fedyukovych avatar
drapel in
Re întrebarea 2: ați putea vedea că toate polinoamele sunt evaluate în afara $H$ în timp ce creați demonstrația?
Bean Guy avatar
drapel in
@VadymFedyukovych Într-o rundă viitoare în PlonK, ei evaluează polinoame precum $s'(x)$ în afara $H$ și trimit evaluarea verificatorului. În caz contrar, o evaluare a lui $s'(x)$ într-un element de $H$ ar dezvălui, de asemenea, evaluarea lui $s(x)$.
Vadym Fedyukovych avatar
drapel in
Am putea fi de acord că (1) pentru a scurge informații despre martor este necesar să se evalueze $s'()$ pe $H$ și (2) acest lucru se întâmplă cu o probabilitate neglijabilă? Ce ai vrut să spui cu „altfel”? „Neglijabil” de mai sus se aplică semnăturilor și șanselor de a ghici o cheie privată.
Bean Guy avatar
drapel in
@VadymFedyukovych Da, suntem total de acord. Preocuparea mea este mai mult de ce gradul polinomului $b(x) = b_1x+b_2$ este $1$ și nu, de exemplu $0$ sau $2$.
Puncte:2
drapel kr
  1. gradul polinomului orbitor pe care îl înmulțiți cu polinomul care dispare $Z_H$ trebuie prelevat din $F_d[X]$ cu $d$ mai mare sau egal cu numărul de evaluări din protocol (deschideri). Fiecare evaluare dată verificatorului scurge unele informații despre polinomul dvs., așa că trebuie să preveniți asta prin randomizarea polinomului. Protocolul Mir are o postare drăguță pe blog care explică de ce nu poți avea $d$ mai mic decât numărul de evaluări. Înțeleg că pentru un martor fix (polinomul este fix, cu excepția factorilor de orbire), doriți o funcție bijectivă între coeficienții tăi de orbire și deschideri. Pentru a demonstra asta, dovediți că funcția dvs. este surjectivă și injectivă.

  2. probabilitatea ca $z \în H$ este neglijabil, dar ai putea proiecta un protocol care să te împiedice să ai $z \în H$ Eu cred.

Bean Guy avatar
drapel in
Nu știu de ce nu dovedesc că acest lucru este suficient pentru a obține cunoștințe zero în protocolul PlonK. Cel puțin, ar fi putut să indice hârtia pe care se bazează ideea (cred că are legătură cu niște hârtie de la Groth, dar nu am găsit-o).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.