Puncte:3

Cum generează simulatorul o transcriere corectă sub HVZK cu euristica Fiat-Shamir?

drapel ru

fundal

Înțeleg versiunea interactivă a protocolului Schnorr și înțeleg cum simulatorul poate genera o ieșire care este i.i.d la ieșirea verificatorului-demonstrator:

Versiune interactivă a protocolului lui Schnorr Cum generează simulatorul rezultatul invers

Întrebare

Ceea ce nu înțeleg este cum generează simulatorul o transcriere corectă când trecem la versiunea non-interactivă a protocolului de identificare Schnorr? Pagina 4 din notele de curs CS355 2019 arată că simulatorul poate „Programa $H(g,h,u)$ a fi $c$".

Programați funcția hash

Și pagina 23 din următoarele note de curs arată că simulatorul poate seta $H$ la orice funcție hash arbitrară.

De ce are S această capacitate de a schimba funcția hash?

Asta mi se pare ciudat și nu înțeleg. De ce presupunem că S are capacitatea de a alege orice funcție hash? În realitate, va exista o funcție hash fixă ​​pe care o folosim pentru a genera provocarea aleatorie $c$, dreapta?

Înțeleg că dovada HVZK nu funcționează dacă nu permitem simulatorului să creeze nicio funcție hash. Presupunând că avem o funcție hash fixă ​​rezistentă la preimagine, simulatorul nu poate genera mesajele doveditorului $u$, $z$ într-o manieră compatibilă cu această provocare. În cazul interactiv, simulatorul poate alege $z$ și $c$ aleatoriu și lucrează înapoi pentru a obține $u$ determinist unde $u = \frac{g^z}{h^c}$. Dar în cazul neinteractiv trebuie să găsiți $u$ și $c$ astfel încât $u = \frac{g^z}{h^c}$ ȘI $H(g,h,u) = c$, iar acesta este NP-hard. Deci pierzi proprietatea zero-cunoștințe, deoarece un simulator nu poate genera o transcriere validă.

Deci, cum sunt implementate în practică dovezile non-interactive de cunoștințe zero?

Bibliografie

drapel cn
Bine ați venit să vă dați seama că modelul de oracol aleatoriu este cam ciudat.
Vadym Fedyukovych avatar
drapel in
Se pare că această întrebare se îndoiește că se poate obține o ieșire de hash așteptată prin alegerea unei intrări la întâmplare, cu o probabilitate rezonabilă de succes și un număr rezonabil de încercări, și totuși respectând definiția hash sigură. Poate m-aș îndoi și eu de asta, dar permiteți-mi să vă încurajez să discutați mai întâi cu profesorul dumneavoastră.
Puncte:1
drapel es

Un punct cheie aici este că, în transformarea Fiat-Shamir, trebuie să faceți o distincție între ceea ce înseamnă securitatea în implementarea reală și ceea ce înseamnă aceasta în teoria designului dvs. Este adevărat că în practică folosim funcții hash pentru a implementa transformarea Fiat-Shamir, dar așa cum ați menționat, nu pare ușor să simulăm dovada în acest caz. În teorie, însă, folosim un obiect ideal numit „oracol aleatoriu” și în funcție de proprietățile pe care le asumăm pentru acest oracol aleatoriu, putem efectua simularea. Mai precis, un oracol aleatoriu poate fi fie programabil, fie neprogramabil. Prin programabilitate, înseamnă că simulatorului i se permite să aleagă răspunsurile la interogările oracol. În contextul dovezilor non-interactive zero-knowledge (NIZK), de exemplu, acest lucru face ca simulatorul să poată crea o dovadă convingătoare, dar falsă.Pe de altă parte, modelul oracol aleatoriu neprogramabil (NPRO) restricționează simulatorul astfel încât să nu mai poată alege răspunsurile pentru interogări. În schimb, simulatorul este împuternicit doar prin vizualizarea tuturor perechilor de interogare/răspuns, realizate de părți în timpul protocolului. Această restricție asupra simulatorului (sau, mai general, reducerea securității) face ca dovezile de bază să fie preferate, deoarece se bazează pe mai puține proprietăți ale oracolului aleatoriu și, prin urmare, pot fi considerate un pas către scăparea de el. Dar, în unele dovezi NIZK, cum ar fi transformarea Fiat-Shamir a protocolului lui Schnorr, programarea oracolului aleatoriu pare crucială pentru a oferi proprietatea ZK.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.