Acumulator RSA

Sean

20.06.2023, 13:06

În lucrarea ZeroCoin, folosește un zk-proof din acumulatorul dinamic al lui Camenisch care arată că un angajament Pedersen ascunde un element al unui acumulator RSA (https://link.springer.com/content/pdf/10.1007/3-540-45708-9_5.pdf). Cu toate acestea, se pare că demonstrația poate fi folosită și pentru a demonstra că un subset de elemente aparține acumulatorului.

Acum întrebarea este: cum demonstrează ZeroCoin că angajamentul Pedersen ascunde un singur element?

107

0 + 0

acumulatoare

Puncte:2

Crypto

meshcollider

20.06.2023, 20:16

Fiecare element din acumulator este un prim, între niște limite alese. În acest caz, angajamentul Pedersen

$$ c = g^Sh^r \pmod{p}$$

este ales astfel încât $c$ este prim. Apoi, toate aceste valori $c$, fiecare reprezentând o „monedă”, sunt acumulate în acumulatorul RSA $$u^{\prod {c_i}} \pmod{N}.$$

Ori de câte ori este cheltuită o monedă, rețeaua verifică asta $c$ este într-adevăr prim (însemnând că nu poate reprezenta mai mult de o valoare acumulată) și că apartenența sa este martoră în interior $A$ este valabil. Rețineți că acest lucru se face indirect prin intermediul dovezii de cunoștințe pe care ați menționat-o, dar această dovadă a cunoștințelor necesită într-adevăr $c$ a fi prim. O dovadă este dată în versiunea integrală a lucrării, Teorema 4.

0 + 0

Sean

21.06.2023, 13:54

Citeam ziarul ZeroCoin. Pentru moneda $c$, atunci când este cheltuită, se pare că NU este dezvăluită publicului (de aceea se folosește zk-proof-ul lui Camenisch). Verificarea lui $c$ este prima este efectuată atunci când $c$ este adăugat (creat) și salvat în blockchain, dar nu și atunci când este cheltuit (deoarece $c$ este anonim). Deci, aici, când este cheltuit, aș putea de fapt să încerc să trimit o dovadă pentru $c_1 * c_2$ și să trimit dovada $c_1*c_2 = g^{S_1 + S_2} h^r'$. Asta pare un atac?

Răspunde

meshcollider

21.06.2023, 20:26

După cum sa menționat, teorema 4 a lucrării complete spune că o demonstrație validă demonstrează și că $c$ este prim. Ai dreptate că $c$ nu este dezvăluit, astfel încât să nu se scurgă de unde provine moneda cheltuită. De aceea am scris "ca asta se face indirect"

Răspunde

Sean

22.06.2023, 23:10

Mulțumiri. Aș presupune că este dovada intervalului care o limitează să fie un singur prim?

Răspunde

meshcollider

23.06.2023, 08:38

Este mai mult decât o dovadă de gamă, este o dovadă completă a cunoștințelor, dar acesta este doar unul dintre lucrurile pe care le dovedește.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: RSA accumulator

TH: ตัวสะสม RSA

RO: Acumulator RSA

RU: Аккумулятор RSA

VI: bộ tích lũy RSA

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.