Puncte:1

Pot fi implementate sisteme interactive de demonstrare a cunoștințelor zero folosind calcule securizate în două părți?

drapel sa

Definesc calculul multipartit folosind paradigma ideală reală (vezi O introducere pragmatică în calculul multipartit securizat). Adică, pentru orice atac de succes asupra unui protocol MPC în lumea reală, există un simulator care efectuează acest atac cu succes în lumea ideală. Rezultă că securitatea în lumea reală trebuie să fie echivalentă cu securitatea în lumea ideală.

Definesc sisteme interactive de demonstrare a cunoștințelor zero pentru o limbă $L$ folosind definiția originală din Complexitatea cunoștințelor sistemelor interactive de probă. Adică o pereche $(A, B)$ de mașini Turing interactive trebuie să îndeplinească

  1. Completitudine: dat $x \în L$, $B$ acceptă cu foarte mare probabilitate;
  2. Soliditatea: dat orice doveditor $A'$ și $x \nu\în L$ a trecut în $(A', B)$, $B$ acceptă cu probabilitate foarte mică;
  3. Zero-Knowledge: există un simulator probabilistic în timp polinomial care poate simula întregul schimb de mesaje între $A$ și $B$ pentru orice intrare $x \în L$.

Acum, hârtia Zero-Knowledge de la Secure Multiparty Computation mentioneaza urmatoarele:

Protocoalele cu cunoștințe zero pot fi privite ca un caz special de două părți securizate calcul, în care funcția verifică validitatea unui martor deținut de probator.

Adică dat $L \in \mathcal{NP}$, există un algoritm $A$ astfel încât $x \in L \iff \exists w\colon A(x, w) = 1$ (definitia $\mathcal{NP}$). O petrecere $P_1$ acționează ca doveditor, altul $P_2$ ca verificator. $P_1$ stie $x$ și $w$, $P_2$ stie numai $x$. Ei execută $A(x, w)$ împreună pentru a determina dacă $x \în L$ sau nu.

Clar, $w$ nu este dezvăluit verificatorului $P_2$ datorită protocolului MPC. Cu toate acestea, nu este definiția cunoașterii zero mai generală? Dacă doveditorul $P_1$ a trimis, dintr-un motiv oarecare, soluția la o instanță de an $\mathcal{NP}$- problema completa1, niciun simulator de timp polinomial nu ar putea simula această presupunere $\mathcal{P} \neq \mathcal{NP}$. Sistemul de dovezi creat nu ar fi zero cunoștințe.

Deci, având în vedere că un protocol MPC ar putea face schimb de mesaje nesimulabile, un protocol MPC nu poate fi folosit de fapt pentru a implementa un sistem de verificare a cunoștințelor zero pentru o anumită limbă. $L \in \mathcal{NP}$, se poate?


1 Soluția poate fi făcută dependentă de $x$ astfel încât să nu fie constantă și astfel ușor de simulat.

Puncte:2
drapel cn

Cunoașterea zero a fost definită inițial cu privire la doveditorii arbitrari (posibil nemărginiți). Cu toate acestea, atunci când folosim sau discutăm despre cunoștințele zero în criptografie, aproape întotdeauna presupunem implicit ZK pentru NP, unde probatorul rulează în timp polinomial, având în vedere un martor pentru declarație. Acesta este tipul de dovadă a cunoștințelor zero la care se referea lucrarea și acesta este într-adevăr un caz special de calcul în două părți sigur și rău intenționat.

cadaniluk avatar
drapel sa
Da, dar această schemă este ceea ce am descris chiar sub citarea cu părți $P_1$ și $P_2$, nu-i așa? Întrebarea mea se referă în mod specific la faptul că zero-cunoștințe înseamnă nu numai că nu scurgeți $w$, ci și nu scurgeți nimic altceva, în timp ce MPC securizat ar putea scurge alte cunoștințe decât $w$. Prin urmare, mi se pare nerezonabil că MPC ar putea fi folosit pentru a construi o dovadă a cunoștințelor zero.
Geoffroy Couteau avatar
drapel cn
Cum ar putea doveditorul în timp polinom (căreia i se dă doar martorul pentru declarație) să scurgă aceste „alte cunoștințe”? Fie acest lucru este codificat în descrierea sa - atunci poate fi codificat în simulator, fie este ușor de calculat (atunci simulatorul îl poate calcula). În caz contrar, nu există nicio posibilitate să se scurgă ceva greu de simulat de protocolul MPC. Dacă inspectați definiția, aceasta susține în mod direct că MPC malițios de 2 părți este o generalizare strictă a cunoștințelor zero.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.