Proprietatea zero-cunoaștere a lui Groth16 (https://eprint.iacr.org/2016/260, pagina 8) argumentul non-interactiv zero-knowledge se bazează pe existența unui simulator $\text{Sim}$ generarea de dovezi „false” pentru afirmațiile valide $(\phi, w) \in R$ fara cunostinta martorului $w$ pentru declarație $\phi$.
Întrebarea mea este dacă pentru Groth16 există și un simulator $\text{Sim}'$ pentru a genera dovezi „false” pentru invalid declarații $\phi'$, pentru care nici un martor $w'$ cu $(\phi', w') \în R$ există. Formal, Groth16 satisface următoarea noțiune?
Cunoștințe false zero: Pentru toți $\lambda \in \mathbb{N}, (R, z) \gets \mathcal{R}(1^\lambda), (\phi, w) \in R$, toate $\phi'$, și toți adversarii $\mathcal{A}$: $Pr[(\sigma, \tau) \gets \text{Setup}(R); \pi \gets \text{Prove}(R, \sigma, \phi, w): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1] = Pr[(\sigma, \tau) \gets \text{Setup}(R); \pi \gets \text{Sim}'(R, \tau, \phi'): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1]$
Orice răspuns ar fi util, inclusiv o dovadă pentru o falsă cunoaștere zero a Groth16 sau a altor scheme, definiții ale noțiunilor similare, dar diferite sau un rezultat imposibil.
(Încerc să construiesc o dovadă de securitate în care generarea unor astfel de dovezi false pare necesară. Nu am văzut niciodată noțiunea de mai sus, dar mi se pare că $\text{Sim}'$ ar trebui să existe pentru unele scheme.)