Cum generează simulatorul o transcriere corectă sub HVZK cu euristica Fiat-Shamir?

fundal

Înțeleg versiunea interactivă a protocolului Schnorr și înțeleg cum simulatorul poate genera o ieșire care este i.i.d la ieșirea verificatorului-demonstrator:

Întrebare

Ceea ce nu înțeleg este cum generează simulatorul o transcriere corectă când trecem la versiunea non-interactivă a protocolului de identificare Schnorr? Pagina 4 din notele de curs CS355 2019 arată că simulatorul poate „Programa $H(g,h,u)$ a fi $c$".

Și pagina 23 din următoarele note de curs arată că simulatorul poate seta $H$ la orice funcție hash arbitrară.

Asta mi se pare ciudat și nu înțeleg. De ce presupunem că S are capacitatea de a alege orice funcție hash? În realitate, va exista o funcție hash fixă ​​pe care o folosim pentru a genera provocarea aleatorie $c$, dreapta?

Înțeleg că dovada HVZK nu funcționează dacă nu permitem simulatorului să creeze nicio funcție hash. Presupunând că avem o funcție hash fixă ​​rezistentă la preimagine, simulatorul nu poate genera mesajele doveditorului $u$, $z$ într-o manieră compatibilă cu această provocare. În cazul interactiv, simulatorul poate alege $z$ și $c$ aleatoriu și lucrează înapoi pentru a obține $u$ determinist unde $u = \frac{g^z}{h^c}$. Dar în cazul neinteractiv trebuie să găsiți $u$ și $c$ astfel încât $u = \frac{g^z}{h^c}$ ȘI $H(g,h,u) = c$, iar acesta este NP-hard. Deci pierzi proprietatea zero-cunoștințe, deoarece un simulator nu poate genera o transcriere validă.

Deci, cum sunt implementate în practică dovezile non-interactive de cunoștințe zero?

Bibliografie

• https://crypto.stanford.edu/cs355/19sp/lec5.pdf
• Ce este o dovadă de cunoștințe zero non-interactivă?
• Cum funcționează simulatorul proprietății cu cunoștințe zero al verificatorului special-onest?
• Este un hash o dovadă de cunoștințe zero?
• https://www.impan.pl/konferencje/bcc/2019/19-simons-x/zero_knowledge_primer_2.pdf

Un punct cheie aici este că, în transformarea Fiat-Shamir, trebuie să faceți o distincție între ceea ce înseamnă securitatea în implementarea reală și ceea ce înseamnă aceasta în teoria designului dvs. Este adevărat că în practică folosim funcții hash pentru a implementa transformarea Fiat-Shamir, dar așa cum ați menționat, nu pare ușor să simulăm dovada în acest caz. În teorie, însă, folosim un obiect ideal numit „oracol aleatoriu” și în funcție de proprietățile pe care le asumăm pentru acest oracol aleatoriu, putem efectua simularea. Mai precis, un oracol aleatoriu poate fi fie programabil, fie neprogramabil. Prin programabilitate, înseamnă că simulatorului i se permite să aleagă răspunsurile la interogările oracol. În contextul dovezilor non-interactive zero-knowledge (NIZK), de exemplu, acest lucru face ca simulatorul să poată crea o dovadă convingătoare, dar falsă.Pe de altă parte, modelul oracol aleatoriu neprogramabil (NPRO) restricționează simulatorul astfel încât să nu mai poată alege răspunsurile pentru interogări. În schimb, simulatorul este împuternicit doar prin vizualizarea tuturor perechilor de interogare/răspuns, realizate de părți în timpul protocolului. Această restricție asupra simulatorului (sau, mai general, reducerea securității) face ca dovezile de bază să fie preferate, deoarece se bazează pe mai puține proprietăți ale oracolului aleatoriu și, prin urmare, pot fi considerate un pas către scăparea de el. Dar, în unele dovezi NIZK, cum ar fi transformarea Fiat-Shamir a protocolului lui Schnorr, programarea oracolului aleatoriu pare crucială pentru a oferi proprietatea ZK.