Puncte:3

Cum se face o dovadă de non-membri pentru o valoare angajată?

drapel ie

Să presupunem că verificatorului i se dau trei angajamente $C_i=g^{m_i}h^{r_i}, i=1,2,3$. Acum un doveditor care știe $m_i, r_i, i=1,2,3$ vrea să demonstreze $m_3\neq m_1\wedge m_3\neq m_2$. Mai exact, relația este următoarea: $\{(m_i,r_i), i=1,2,3|C_i=g^{m_i}h^{r_i}\wedge m_3\neq m_1\wedge m_3\neq m_2)\}$. O relație generală poate fi scrisă după cum urmează: $\{(m_i,r_i), i=1,2,..,n|C_i=g^{m_i}h^{r_i}, i=1,2,...,n\wedge m_n\notin\ {m_1,m_2,...,m_{n-1}\})\}$. Există un sistem de dovezi care poate demonstra o astfel de relație generală? O soluție banală poate fi doar a face $n-1$ ori dovezi de inegalitate. Există vreo abordare mai simplă? Ceva documente de referință? Mulțumiri.

Puncte:2
drapel es

Dacă vă pasă doar de orbirea angajamentului (pentru a preveni forțarea brută) și nu aveți nevoie de angajamente homomorfe adiționale, puteți face următoarele:

Proverul are o pereche de chei $(x, X=xG)$, și publică cheia publică $X$.

Pentru fiecare membru al setului, probatorul publică:

  1. $C_i=H_p(m_i) + r_iG$, Unde $H_p(m_i)$ înseamnă a hash $m_i$ și interpretați rezultatul ca un punct EC valid.

  2. $D_i=xH_p(m_i)$

  3. $E_i=xC_i$

  4. O dovadă DLEQ că $X$ și $E_i$ partajează aceeași cheie privată $x$ pe puncte $G$ și $C_i$

  5. O semnătură pentru cheia publică $(E_i-D_i)$ pe generator $G$.

Rețineți că $E_i-D_i==xH_p(m_i)+xr_iG-xH_p(m_i)==xr_iG$.

Dovada DLEQ (articolul 4) va dovedi că $E_i$ a fost calculat corect. Ceea ce facem aici este să folosim o funcție pseudo-aleatorie verificabilă (VPRF) pe care doar probatorul o poate interoga, dar pe care orice observator o poate verifica.

Semnătura (punctul 5) va fi posibilă numai dacă $D_i$ a fost de asemenea calculat corect, deoarece semnătura va fi posibilă doar pe generator $G$ dacă nu există $H_p()$ componentă rămasă (deoarece logul discret EC w.r.t. $G$ nu este cunoscut pentru nicio ieșire a $H_p()$).

Rezultatul final este că am creat o ieșire VPRF $D_i$ pentru fiecare mesaj $m_i$, și a dovedit că fiecare ieșire VPRF a fost declarată corect.

Acum va fi imediat evident dacă există angajamente față de același mesaj, deoarece vor împărtăși același mesaj $D_i$ valorile.

user77340 avatar
drapel ie
oh, aceasta este ideea de tranzacție confidențială a inelului (RingCT)! Se pare că acest lucru este corect. Mulțumiri!
user77340 avatar
drapel ie
Pot să pun o întrebare? Pentru semnătura de la pasul 5, te referi la demonstrarea cunoștințelor despre jurnalul discret al Ei-Di pe generatorul H?
knaccc avatar
drapel es
@user77340 da, exact
user77340 avatar
drapel ie
raspunsul este neacceptat.
user77340 avatar
drapel ie
care este problema dacă folosim doar $D_i=xm_iG$? Vreun atac? Nu văd că există o problemă care să demonstreze că Angajamentul Pedersen este la același $m_i$ ca $D_i$.
knaccc avatar
drapel es
@user77340 Problema este că, dacă există două mesaje cunoscute, $m_a$ și $m_b$, care pot apărea în set, atunci puteți calcula $c=m_a/m_b$ și apoi verificați dacă există perechi de $D_i $ valori unde raportul dintre ele este $c$. Prin urmare, anulați proprietatea de ascundere/orbire a angajamentelor Pedersen
user77340 avatar
drapel ie
Văd. Pot să spun că acest atac ar putea funcționa numai dacă există vreun mesaj scurs? Sau dacă putem presupune că mesajele nu vor fi scurse, atunci este de asemenea OK să lăsăm $D_i=xm_iG$? Deoarece $D_i=xm_iG$ este mai simplu, este de preferat.
knaccc avatar
drapel es
@user77340 Motivul pentru care angajamentul Pedersen are nevoie de un factor orbitor $r_i$ este acela de a împiedica pe cineva să descopere mesajul prin forțarea brută a angajamentului. Prin urmare, nu ar avea sens să ne punem probleme de a avea un angajament Pedersen care utilizează un factor orbitor pentru a preveni forțarea brută, doar pentru a reintroduce apoi capacitatea de a utiliza forța brută prin ieșirea $D_i$ VPRF.
user77340 avatar
drapel ie
ok, vad, multumesc!

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.