ค่าใช้จ่ายในการสื่อสารขั้นต่ำสำหรับศูนย์พิสูจน์ความรู้ที่มีสามสี


11

การพิสูจน์ของ Goldreich และคณะที่สาม colorability มีศูนย์พิสูจน์ความรู้ใช้บิตมุ่งมั่นสำหรับสีทั้งหมดของกราฟในแต่ละรอบ [1] ถ้ากราฟมีจุดและขอบกัญชาที่เชื่อถือได้มีบิตและเราหาข้อผิดพลาดน่าจะเป็น , ค่าใช้จ่ายการสื่อสารทั้งหมดe b pnebp

O(benlog(1/p))

มากกว่ารอบ การใช้ต้นไม้แฮชค่อยๆเผยให้เห็นการสื่อสารทั้งหมดจะลดลงที่ค่าใช้จ่ายของการเพิ่มจำนวนรอบกับn)O ( อีล็อกn ล็อก( 1 / P ) ) O ( log n )O(1)O(belognlog(1/p))O(logn)

เป็นไปได้ไหมที่จะทำได้ดีกว่านี้ทั้งในแง่ของการสื่อสารทั้งหมดหรือจำนวนรอบ?

  1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

แก้ไข : ขอบคุณริกกี้ Demer สำหรับการชี้ให้เห็นปัจจัยที่ขาดหายไปของอีe

คำตอบ:


3

ดังนั้นนี่คือกระดาษที่เหมาะสมสำหรับจุดประสงค์ของฉัน:

Joe Kilian "บันทึกย่อเกี่ยวกับการพิสูจน์และการโต้แย้งที่ไม่มีประสิทธิภาพ" http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

เพื่อให้ได้ผลลัพธ์ที่ดีที่สุดเราต้องยอมรับข้อโต้แย้งความรู้เป็นศูนย์มากกว่าการพิสูจน์ (ตัวพิสูจน์ขอบเขตที่คำนวณได้) นี่คือสิ่งที่ฉันสนใจ แต่ไม่ทราบคำศัพท์

สมมติว่าสมมติฐานการเข้ารหัสลับเพียงพอกระดาษให้เป็นศูนย์ข้อโต้แย้งความรู้เกี่ยวกับการสื่อสารรวมสำหรับ(1)c = O ( 1 )O(blogcnlog(1/p))c=O(1)

นี่คือผลที่จะทำให้รัดกุมรอบโดย Ishai et al., "เกี่ยวกับการที่มีประสิทธิภาพศูนย์ความรู้ PCPs" http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdfO(1)


ฉันคิดว่าเป็นการดีกว่าที่จะลบคำตอบนี้และอัปเดตคำตอบเดิมของคุณให้เป็นคำตอบที่ถูกต้อง
Kaveh

2

อัปเดต : คำตอบนี้ล้าสมัยไปแล้วโดยคำตอบอื่น ๆ ของฉันพร้อมขอบเขตโพลีไทกาติกแบบเต็มจากการอ้างอิงที่เหมาะสม

ในความคิดที่สองไม่จำเป็นต้องเปิดเผยต้นไม้ Merkle ทีละน้อยดังนั้นรุ่นการสื่อสารที่ต่ำกว่าจึงไม่ต้องการรอบพิเศษ ขั้นตอนการสื่อสารคือ

  1. Prover P สุ่มการระบายสีเปลี่ยนเป็นต้นไม้ Merkle (เค็ม) แล้วส่งรากไปยัง verifier V
  2. V หยิบขอบสุ่มและส่งไปยังพีe
  3. P ส่งเส้นทางต้นไม้ Merkle จากรากไปยังแต่ละจุดสิ้นสุดของถึง Ve

สิ่งนี้จะทำให้การสื่อสารผ่านรอบO(belognlog(1/p))O(1)

ปรับปรุง: นี่คือรายละเอียดของการก่อสร้างต้นไม้ Merkle เพื่อเพิ่มความเรียบง่ายให้ขยายกราฟให้มีจุดยอดที่โดยการเพิ่มโหนดที่ไม่ได้เชื่อมต่อสองสามอัน สมมติว่าฟังก์ชันแฮชที่ปลอดภัยจะรับอินพุตทุกขนาดและสร้างเอาต์พุต -bit สำหรับต้นไม้ Merkle แต่ละตัวเลือก -bit nonces แบบสุ่มหนึ่งสำหรับแต่ละใบและ nonleaf ของต้นไม้ไบนารี ที่ใบไม้เราจะแฮชสีที่ตัดกับ nonce เพื่อสร้างคุณค่าของใบไม้ ในแต่ละ nonleaf เราแฮชค่าเด็กสองค่าด้วย nonce ของ nonleaf เพื่อสร้างมูลค่า nonleaf2ab2a+11b

ในรอบแรกผู้แปลจะส่งเฉพาะค่ารูทซึ่งไม่ได้ให้ข้อมูลเนื่องจากจะถูกแฮชด้วย nonce ของรูท ในรอบที่สามจะไม่มีการส่งผ่านข้อมูลใด ๆ เกี่ยวกับโหนดที่ยังไม่ขยายใด ๆ ในต้นไม้ไบนารีเนื่องจากโหนดดังกล่าวถูกแฮชด้วยค่า nonce ที่โหนดนั้น ที่นี่ฉันกำลังสมมติว่าผู้ตรวจสอบและผู้ตรวจสอบมีขอบเขตการคำนวณและไม่สามารถแฮชได้

แก้ไข : ขอบคุณริกกี้ Demer สำหรับการชี้ให้เห็นปัจจัยที่ขาดหายไปของอีe


ขั้นตอนที่ 1 จะทำให้ผู้ตรวจสอบมีความแม่นยำสูงในการทดสอบการเดาใด ๆ ที่สีของผู้ทดสอบโดยใช้เพียง 6 เท่าของขั้นตอนที่ 1 ของผู้ทดสอบต่อการทำงาน นอกจากนี้ผมไม่เห็นวิธีการที่จะใช้ต้นไม้แฮชคำนวณโดยการสอบมาตรโดยไม่ต้องไปจากหลักฐานไปยังที่ใดโต้แย้ง

ต้นไม้ Merkle ที่เค็มจะถูกใช้เพื่อเดาสีได้อย่างไร?
Geoffrey Irving

1
ฉันโพสต์คำตอบว่าทำไมฉันถึงคิดว่าต้นไม้ Merkle ที่มีรสเค็มไม่ทำงาน คุณควรเปลี่ยนความมุ่งมั่นในการสุ่มสีให้เป็นต้นไม้ Merkle ฉันยังสังเกตเห็นว่าคุณดูเหมือนจะขาดปัจจัย number_of_edges ในความซับซ้อนของการสื่อสาร

1
ทีนี้ใคร ๆ ก็สามารถพิจารณาสัญญาที่ว่าการมอบหมายนั้นเป็นแบบ 3 สีที่ถูกต้องหรือ [อย่างน้อยขอบมีจุดยอดสีเดียวกัน] นั่นจะลดความซับซ้อนของการสื่อสารไปที่. (ต่อ ... )δeO(((bn)/δ)log(n))

1
(... ต่อเนื่อง)ถัดไปสามารถใช้เครื่องจักร PCPเพื่อลดความสัมพันธ์แบบ 3 สีมาตรฐานกับความสัมพันธ์แบบสัญญา แล้วเอาความคิดที่ว่าจะมากที่ให้เป็นศูนย์ความรู้ข้อโต้แย้งสากล

1

มีกิจกรรมล่าสุดในข้อโต้แย้งความรู้ที่ไม่เป็นศูนย์แบบรวบรัด เป็นที่ทราบกันดีว่าตัวอย่างเช่นสร้างอาร์กิวเมนต์ NIZK สำหรับ Circuit-SAT โดยที่ความยาวอาร์กิวเมนต์เป็นจำนวนกลุ่มองค์ประกอบคงที่น้อยมาก (ดู Groth 2010, Lipmaa 2012, Gennaro, Gentry และ Eurocrypt 2013 เป็นต้น) จากการลด NP คุณสามารถสร้างอาร์กิวเมนต์สำหรับ 3-colorability ด้วยการสื่อสารเดียวกัน

แน่นอนว่านี่เป็นรูปแบบที่แตกต่างเมื่อเทียบกับคำถามดั้งเดิมของคุณ - ตัวอย่างเช่นในข้อโต้แย้งเหล่านั้นความยาว CRS เป็นเส้นตรงในขนาดของวงจรและในบางแง่มุมสามารถคิดได้ว่าเป็นส่วนหนึ่งของการสื่อสาร ข้อโต้แย้งที่แตกต่างกันมากมาย)


0

(สิ่งนี้ไม่พอดีกับความคิดเห็น)

ฉันคิดว่าตอนนี้ฉันเห็นวิธีการแสดงให้เห็นว่าการเติมเกลือของคุณไม่จำเป็นต้องให้
ความรู้ที่แท้จริง ให้เป็นแฮชที่ปลอดภัย ถ้าเรารู้ ว่าแล้วสามารถจัดการกับปัจจัยการผลิตที่มีความยาวโดยพลแล้วให้เท่ากับ , อื่นให้เป็นผลมาจากการใช้ก่อสร้าง Merkle-DamgårdไปH_0 (โปรดสังเกตว่าแสดงถึงการต่อกัน)ให้เป็นเช่นนั้น สำหรับสตริง 3 บิตทั้งหมดและสำหรับทั้งหมดH0
H0H1H0
H1H0
||H2


xz((3b)+6) -bitสาย , สตริงดังกล่าวว่า, คนมี. และ สำหรับสตริง 3 บิตทั้งหมด , สำหรับเกลือทั้งหมด , สำหรับสตริงที่เป็นผลมาจากการ saltingด้วยy
mm=x||111...[b of them]...111||y||z
H2(m)=x||111...[b of them]...111||H1(m)||z



xrmxrถ้า ไม่ได้อยู่ ในรูปแบบที่ระบุไว้ด้านบนแล้ว. และ สำหรับสตริงทั้งหมดที่ไม่มีทั้งสองรูปแบบ . .m
H2(m)=x||111...[b of them]...111||H1(m)||x



m
H2(m)=
[b+3 bits whose values don't matter]||H1(m)||[3 bits whose values don't matter]




ตั้งแต่มีส่วนเกี่ยวข้องในสถานที่เดียวกันในแต่ละกรณีการปะทะใด ๆ ในยังเป็นชนในH_1โดยการรักษาความปลอดภัย Merkle-Damgårdของชนใด ๆ ในสามารถเปลี่ยนได้อย่างมีประสิทธิภาพ เป็นชนในH_0ดังนั้นหากเป็นชนทนกว่าเพื่อให้เป็นH_2 อย่างไรก็ตามถ้าจำนวนจุดยอดเป็นกำลังสองแล้วโดยการตรวจสอบ 3 บิต ที่ปลายแฮชรูตแต่ละอันสามารถระบุได้ว่า จุดยอดเริ่มต้นและ สุดท้ายได้รับสีเดียวกันกับความน่าจะเป็นข้อผิดพลาดน้อยกว่า{(B-1)})H1H2H1H1
H0H 2 1 / ( 2 ( b - 1 ) )H0H2


1/(2(b1))


ฉันไม่แน่ใจว่าฉันทำตามสัญกรณ์ของคุณ แต่ดูเหมือนว่าคุณกำลังโต้เถียงว่าคุณสามารถนำร่างของฉันและกรอกรายละเอียดด้วยวิธีที่งี่เง่าอย่างเห็นได้ชัดทำให้เกิดระบบที่ไม่ปลอดภัย ฉันจะเพิ่มรายละเอียดเวอร์ชั่นที่ปลอดภัยกว่าให้กับคำตอบของฉัน
Geoffrey Irving

ความโง่เขลาเพียงอย่างเดียวคือการเปลี่ยนแปลงของฉันไปH_2ทุกอย่างคือสิ่งที่ฉันคิดโดยสุจริตว่าคุณหมายถึง H2

โปรดแจ้งให้เราทราบว่ารายละเอียดที่เพิ่มลงในคำตอบของฉันทำให้ชัดเจนหรือไม่ เป็นไปได้มากที่ฉันขาดอะไรไปและการก่อสร้างของฉันก็พัง
Geoffrey Irving
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.