Un circuit dintr-un zk-SNARK poate fi proiectat invers?

Am înțeles greșit întrebarea ta, dar circuitul nu a *trebuie* să fie proiectat invers. Este cunoscut public și dat verificatorului în mod simplu. Cu toate acestea, în exemplul dvs., x nu ar face parte din descrierea circuitului, este martorul, adică *intrarea* în circuit.

Mulțumesc, @Maeher. Am vrut să spun că x nu ar trebui să fie martor, pentru că nici nu vrem ca dovatorul să știe x. Este posibil să existe o dovadă în care nimeni nu știe x, dar poate verifica dacă HMAC(x, martor) = s?

Puteți demonstra că pentru un circuit cunoașteți o intrare astfel încât ieșirea să fie $s$. Pentru a ascunde $x$, circuitul ar trebui să fie cumva ofuscat, dar atunci întrebarea este cum verificați dacă circuitul obfuscat calculează cu adevărat HMAC.

Nu, zk-SNARK este un fel de NIZK, care poate asigura că martorul, de exemplu, secretul x, nu este dezvăluit cu excepția dovezii $\pi$ și a afirmației s. Deci, pentru HMAC, complierul îl convertește într-un circuit aritmetic și în cele din urmă generează o instanță QAP/QSP. Duo la QAP este greu, apoi este dificil să invers pentru a obține informațiile martorilor.

Am editat puțin problema pentru a clarifica: ideal, nici probatorul, nici verificatorul nu știe x. Dovatorul trebuie doar să arate că cunoaște o pereche validă (semnătură, text simplu). Dacă am înțeles bine, x nu este un martor în acest caz, ci mai degrabă o parte a circuitului

Vrei să spui că probatorul, care are doar o pereche de semnături $(s, msg)$, dar cheia de semnătură secretă $x$, este doar pentru a dovedi că deține o semnătură validă generată dintr-un circuit public? Dacă da, este doar o problemă de calcul verificabilă, mai degrabă una cu zero cunoștințe. În plus, întrebarea dvs. ar trebui să fie abstractă, cum să demonstrați că un rezultat a fost generat corect de la o funcție publică? Funcția publică poate fi văzută ca HMAC($x, \cdot$), care cu siguranță poate fi convertită într-un circuit aritmetic. În acest caz, un adversar care obține circuitul poate inversa cu ușurință valoarea secretă $x$.

Este corect; `x` este doar pentru a dovedi deținerea unei semnături valide și nu ar trebui să fie cunoscut de nimeni, cu excepția celui care emite semnătura. Procesul de semnare nu este public, dar verificarea este. Deci întrebarea este cum să aveți verificarea publică a unei semnături HMAC fără a anunța publicul `x`.

Dacă funcția publică este $HMAC(k, x)$, unde $k$ este o cheie fixă ​​și $x$ ca intrare, atunci prin tehnologia zkSNARKs, $HMAC(k, x)$ poate fi convertit într-un exemplu de QAP în primul rând, Cu toate acestea, în acest pas, adversarul poate recupera și valoarea secretă $k$ dacă gradul polinoamelor este $poly(\cdot)$ size. Apoi, punând polinoame pe baza exponenților $g$, de exemplu, $g^{l_i(y)}$ unde $y$ este o valoare aleatorie, acest lucru ar putea păstra secretul $k$ din cauza durității problemei DL. În cele din urmă, publică $vk$ și $ek$ atât pentru demonstrator, cât și pentru verificator.

Pentru demonstrator, poate calcula $s=HMAC(k,msg)$ și, prin urmare, valorile variabilelor corespunzătoare ${w_i}, i \in [n]$. Aceste valori {$w_i$} pot fi văzute ca martori. Prin urmare, demonstratorul realizează algoritmul de demonstrare și scoate o demonstrație $\pi$ și ${s,msg}$ verificatorului. Procesul pe care l-am descris mai sus este nedovedit, mai ales, metoda de a păstra secretul $k$.

întrebarea această in alte limbi: