ข้อบกพร่องในวิธีการของ Blum-Feldman-Micali

Blum, Micali และ Feldman (BFM) หยิบยกโมเดลใหม่ (การเข้ารหัส) ซึ่งทุกฝ่าย (ซื่อสัตย์หรือศัตรู) สามารถเข้าถึงสตริงบางส่วน สตริงจะถือว่าเลือกตามการแจกจ่ายบางอย่าง (โดยปกติคือการกระจายแบบสม่ำเสมอ) โดยบุคคลที่เชื่อถือได้ มันถูกเรียกว่าสตริงอ้างอิงและรูปแบบที่มีชื่อ aptly รุ่นสตริงอ้างอิงทั่วไป (CSR)

รูปแบบช่วยให้เราสามารถดำเนินการโปรโตคอลการโต้ตอบที่น่าสนใจจำนวนมากแบบไม่โต้ตอบแทนที่แบบสอบถามโดยบิตจากสตริงอ้างอิง โดยเฉพาะอย่างยิ่งการพิสูจน์ความรู้ที่เป็นศูนย์สำหรับภาษาNPใด ๆสามารถดำเนินการแบบไม่โต้ตอบซึ่งก่อให้เกิดความคิดเกี่ยวกับความรู้ที่ไม่มีการโต้ตอบ (NIZK)

NIZK มีจำนวนมากของการใช้งานเช่นการให้วิธีการในการตระหนักถึง cryptosystems สาธารณะสำคัญกับการรักษาความปลอดภัย(ปรับตัว) การโจมตีได้รับการแต่งตั้ง-ciphertext

BFM แรกพิสูจน์การมีอยู่ของ NIZK รุ่นเดียวทฤษฎีสำหรับทุกภาษาNP ; ที่ได้รับการอ้างอิงสตริงและภาษาหนึ่งสามารถพิสูจน์ทฤษฎีบทเพียงหนึ่งเดียวของแบบฟอร์มL นอกจากนี้ความยาวของทฤษฎีบทนั้นล้อมรอบด้วย. หากผู้ทดสอบพยายามนำส่วนหนึ่งส่วนของมาใช้ในการพิสูจน์ภายหลังจะมีอันตรายจากการรั่วไหลของความรู้ (และการพิสูจน์จะไม่เป็น NIZK อีกต่อไป) $\rho$ $L \in \bf{NP}$ $x \in L$ $|\rho|$ $\rho$

เพื่อแก้ไขปัญหานี้ BFM ใช้เวอร์ชัน multi-theorem ตาม NIZK ทฤษฎีบทเดียว ด้วยเหตุนี้พวกเขาใช้เครื่องกำเนิดไฟฟ้าแบบหลอกเทียมเพื่อขยายแล้วใช้บิตขยาย มีรายละเอียดอื่น ๆ ด้วยเช่นกัน แต่ฉันจะไม่ขุด $\rho$

Feige, Lapidot และ Shamir (ในเชิงอรรถแรกในหน้าแรกของกระดาษ) ระบุ:

วิธีการที่แนะนำใน BFM สำหรับการเอาชนะปัญหานี้พบว่ามีข้อบกพร่อง

(ความยากลำบากหมายถึงการได้รับการพิสูจน์หลายทฤษฎีบทมากกว่าทฤษฎีบทเดียว)

ข้อบกพร่องของ BFM อยู่ที่ไหน

cr.crypto-security

— MS Dousti
แหล่งที่มา

เราต้องการคนเข้ารหัสลับเพิ่มอีก ...

— Ryan Williams

ฉันไม่ได้อ่านรายละเอียดของโปรโตคอลที่มีข้อบกพร่อง แต่ฉันได้ยินมาหลายครั้งแล้ว ความประทับใจของฉันคือความผิดพลาดของพวกเขาคือวิธีที่พวกเขาใช้เมล็ดพันธุ์ PRG โปรโตคอลของพวกเขาวางเมล็ดพันธุ์ generator เทียม (PRG) ในสตริงอ้างอิงทั่วไปสาธารณะและพวกเขาพยายามที่จะยืนยันว่าการรักษาความปลอดภัย PRG บังคับให้มีคุณสมบัติทางสถิติบางอย่างของผลลัพธ์ PRG ที่จะเก็บไว้แม้กับเมล็ดที่รู้จักกัน ในขณะที่เป็นไปได้ที่จะทำเช่นนี้ในลักษณะที่เป็นเสียง (รูปแบบลายเซ็นของ Hohenberger และ Waters ที่นี่และที่นี่เป็นที่ที่ดี ) มีบางอย่างผิดพลาดในการโต้แย้งของพวกเขา

— เดวิดแคช
แหล่งที่มา

ขอบคุณเดวิด ฉันยังสงสัยเกี่ยวกับการใช้งาน PRG อย่างแปลกประหลาด PS: ลิงก์ทั้งสองที่คุณระบุชี้ไปที่หน้าเดียวกัน

— MS Dousti

อ๊ะ! การแก้ไขเพื่อแก้ไขลิงก์ที่สอง

— David Cash