ค่าใช้จ่ายในการสื่อสารขั้นต่ำสำหรับศูนย์พิสูจน์ความรู้ที่มีสามสี

11

การพิสูจน์ของ Goldreich และคณะที่สาม colorability มีศูนย์พิสูจน์ความรู้ใช้บิตมุ่งมั่นสำหรับสีทั้งหมดของกราฟในแต่ละรอบ [1] ถ้ากราฟมีจุดและขอบกัญชาที่เชื่อถือได้มีบิตและเราหาข้อผิดพลาดน่าจะเป็น , ค่าใช้จ่ายการสื่อสารทั้งหมด $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

มากกว่ารอบ การใช้ต้นไม้แฮชค่อยๆเผยให้เห็นการสื่อสารทั้งหมดจะลดลงที่ค่าใช้จ่ายของการเพิ่มจำนวนรอบกับn) $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

เป็นไปได้ไหมที่จะทำได้ดีกว่านี้ทั้งในแง่ของการสื่อสารทั้งหมดหรือจำนวนรอบ?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

แก้ไข : ขอบคุณริกกี้ Demer สำหรับการชี้ให้เห็นปัจจัยที่ขาดหายไปของอี $e$

communication-complexity zero-knowledge

— Geoffrey Irving
แหล่งที่มา

3

ดังนั้นนี่คือกระดาษที่เหมาะสมสำหรับจุดประสงค์ของฉัน:

Joe Kilian "บันทึกย่อเกี่ยวกับการพิสูจน์และการโต้แย้งที่ไม่มีประสิทธิภาพ" http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

เพื่อให้ได้ผลลัพธ์ที่ดีที่สุดเราต้องยอมรับข้อโต้แย้งความรู้เป็นศูนย์มากกว่าการพิสูจน์ (ตัวพิสูจน์ขอบเขตที่คำนวณได้) นี่คือสิ่งที่ฉันสนใจ แต่ไม่ทราบคำศัพท์

สมมติว่าสมมติฐานการเข้ารหัสลับเพียงพอกระดาษให้เป็นศูนย์ข้อโต้แย้งความรู้เกี่ยวกับการสื่อสารรวมสำหรับ(1) $O(b \log^c n \log (1/p))$ $c = O(1)$

นี่คือผลที่จะทำให้รัดกุมรอบโดย Ishai et al., "เกี่ยวกับการที่มีประสิทธิภาพศูนย์ความรู้ PCPs" http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf $O(1)$

— Geoffrey Irving
แหล่งที่มา

ฉันคิดว่าเป็นการดีกว่าที่จะลบคำตอบนี้และอัปเดตคำตอบเดิมของคุณให้เป็นคำตอบที่ถูกต้อง

— Kaveh

2

อัปเดต : คำตอบนี้ล้าสมัยไปแล้วโดยคำตอบอื่น ๆ ของฉันพร้อมขอบเขตโพลีไทกาติกแบบเต็มจากการอ้างอิงที่เหมาะสม

ในความคิดที่สองไม่จำเป็นต้องเปิดเผยต้นไม้ Merkle ทีละน้อยดังนั้นรุ่นการสื่อสารที่ต่ำกว่าจึงไม่ต้องการรอบพิเศษ ขั้นตอนการสื่อสารคือ

Prover P สุ่มการระบายสีเปลี่ยนเป็นต้นไม้ Merkle (เค็ม) แล้วส่งรากไปยัง verifier V
V หยิบขอบสุ่มและส่งไปยังพี $e$
P ส่งเส้นทางต้นไม้ Merkle จากรากไปยังแต่ละจุดสิ้นสุดของถึง V $e$

สิ่งนี้จะทำให้การสื่อสารผ่านรอบ $O(be \log n \log (1/p))$ $O(1)$

ปรับปรุง: นี่คือรายละเอียดของการก่อสร้างต้นไม้ Merkle เพื่อเพิ่มความเรียบง่ายให้ขยายกราฟให้มีจุดยอดที่โดยการเพิ่มโหนดที่ไม่ได้เชื่อมต่อสองสามอัน สมมติว่าฟังก์ชันแฮชที่ปลอดภัยจะรับอินพุตทุกขนาดและสร้างเอาต์พุต -bit สำหรับต้นไม้ Merkle แต่ละตัวเลือก -bit nonces แบบสุ่มหนึ่งสำหรับแต่ละใบและ nonleaf ของต้นไม้ไบนารี ที่ใบไม้เราจะแฮชสีที่ตัดกับ nonce เพื่อสร้างคุณค่าของใบไม้ ในแต่ละ nonleaf เราแฮชค่าเด็กสองค่าด้วย nonce ของ nonleaf เพื่อสร้างมูลค่า nonleaf $2^a$ $b$ $2^{a+1}-1$ $b$

ในรอบแรกผู้แปลจะส่งเฉพาะค่ารูทซึ่งไม่ได้ให้ข้อมูลเนื่องจากจะถูกแฮชด้วย nonce ของรูท ในรอบที่สามจะไม่มีการส่งผ่านข้อมูลใด ๆ เกี่ยวกับโหนดที่ยังไม่ขยายใด ๆ ในต้นไม้ไบนารีเนื่องจากโหนดดังกล่าวถูกแฮชด้วยค่า nonce ที่โหนดนั้น ที่นี่ฉันกำลังสมมติว่าผู้ตรวจสอบและผู้ตรวจสอบมีขอบเขตการคำนวณและไม่สามารถแฮชได้

แก้ไข : ขอบคุณริกกี้ Demer สำหรับการชี้ให้เห็นปัจจัยที่ขาดหายไปของอี $e$

— Geoffrey Irving
แหล่งที่มา

ขั้นตอนที่ 1 จะทำให้ผู้ตรวจสอบมีความแม่นยำสูงในการทดสอบการเดาใด ๆ ที่สีของผู้ทดสอบโดยใช้เพียง 6 เท่าของขั้นตอนที่ 1 ของผู้ทดสอบต่อการทำงาน นอกจากนี้ผมไม่เห็นวิธีการที่จะใช้ต้นไม้แฮชคำนวณโดยการสอบมาตรโดยไม่ต้องไปจากหลักฐานไปยังที่ใดโต้แย้ง

$\:$

$\;\;\;\;$

ต้นไม้ Merkle ที่เค็มจะถูกใช้เพื่อเดาสีได้อย่างไร?

— Geoffrey Irving

1

ฉันโพสต์คำตอบว่าทำไมฉันถึงคิดว่าต้นไม้ Merkle ที่มีรสเค็มไม่ทำงาน คุณควรเปลี่ยนความมุ่งมั่นในการสุ่มสีให้เป็นต้นไม้ Merkle ฉันยังสังเกตเห็นว่าคุณดูเหมือนจะขาดปัจจัย number_of_edges ในความซับซ้อนของการสื่อสาร

$\:$

$\hspace{.48 in}$

1

ทีนี้ใคร ๆ ก็สามารถพิจารณาสัญญาที่ว่าการมอบหมายนั้นเป็นแบบ 3 สีที่ถูกต้องหรือ [อย่างน้อยขอบมีจุดยอดสีเดียวกัน] นั่นจะลดความซับซ้อนของการสื่อสารไปที่. (ต่อ ... )

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$

$\;\;\;$

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$

$\;\;\;$

1

(... ต่อเนื่อง)ถัดไปสามารถใช้เครื่องจักร PCPเพื่อลดความสัมพันธ์แบบ 3 สีมาตรฐานกับความสัมพันธ์แบบสัญญา แล้วเอาความคิดที่ว่าจะมากที่ให้เป็นศูนย์ความรู้ข้อโต้แย้งสากล

$\;\;\;$

$\;\;\;\;\;\;\;\;$

1

มีกิจกรรมล่าสุดในข้อโต้แย้งความรู้ที่ไม่เป็นศูนย์แบบรวบรัด เป็นที่ทราบกันดีว่าตัวอย่างเช่นสร้างอาร์กิวเมนต์ NIZK สำหรับ Circuit-SAT โดยที่ความยาวอาร์กิวเมนต์เป็นจำนวนกลุ่มองค์ประกอบคงที่น้อยมาก (ดู Groth 2010, Lipmaa 2012, Gennaro, Gentry และ Eurocrypt 2013 เป็นต้น) จากการลด NP คุณสามารถสร้างอาร์กิวเมนต์สำหรับ 3-colorability ด้วยการสื่อสารเดียวกัน

แน่นอนว่านี่เป็นรูปแบบที่แตกต่างเมื่อเทียบกับคำถามดั้งเดิมของคุณ - ตัวอย่างเช่นในข้อโต้แย้งเหล่านั้นความยาว CRS เป็นเส้นตรงในขนาดของวงจรและในบางแง่มุมสามารถคิดได้ว่าเป็นส่วนหนึ่งของการสื่อสาร ข้อโต้แย้งที่แตกต่างกันมากมาย)

— cryptocat
แหล่งที่มา

0

(สิ่งนี้ไม่พอดีกับความคิดเห็น)

ฉันคิดว่าตอนนี้ฉันเห็นวิธีการแสดงให้เห็นว่าการเติมเกลือของคุณไม่จำเป็นต้องให้
ความรู้ที่แท้จริง ให้เป็นแฮชที่ปลอดภัย ถ้าเรารู้ ว่าแล้วสามารถจัดการกับปัจจัยการผลิตที่มีความยาวโดยพลแล้วให้เท่ากับ , อื่นให้เป็นผลมาจากการใช้ก่อสร้าง Merkle-DamgårdไปH_0 (โปรดสังเกตว่าแสดงถึงการต่อกัน)ให้เป็นเช่นนั้น สำหรับสตริง 3 บิตทั้งหมดและสำหรับทั้งหมด $\:$ $H_0$ $\:$
$H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ $H_2$

$x$ $z$ $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ -bitสาย , สตริงดังกล่าวว่า, คนมี. และ สำหรับสตริง 3 บิตทั้งหมด , สำหรับเกลือทั้งหมด , สำหรับสตริงที่เป็นผลมาจากการ saltingด้วย $\;$ $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$
$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$

$x$ $r\hspace{-0.02 in}$ $m$ $x$ $r\hspace{-0.02 in}$ ถ้า ไม่ได้อยู่ ในรูปแบบที่ระบุไว้ด้านบนแล้ว. และ สำหรับสตริงทั้งหมดที่ไม่มีทั้งสองรูปแบบ . . $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$

$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$

ตั้งแต่มีส่วนเกี่ยวข้องในสถานที่เดียวกันในแต่ละกรณีการปะทะใด ๆ ในยังเป็นชนในH_1โดยการรักษาความปลอดภัย Merkle-Damgårdของชนใด ๆ ในสามารถเปลี่ยนได้อย่างมีประสิทธิภาพ เป็นชนในH_0ดังนั้นหากเป็นชนทนกว่าเพื่อให้เป็นH_2 อย่างไรก็ตามถ้าจำนวนจุดยอดเป็นกำลังสองแล้วโดยการตรวจสอบ 3 บิต ที่ปลายแฮชรูตแต่ละอันสามารถระบุได้ว่า จุดยอดเริ่มต้นและ สุดท้ายได้รับสีเดียวกันกับความน่าจะเป็นข้อผิดพลาดน้อยกว่า{(B-1)}) $H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

ฉันไม่แน่ใจว่าฉันทำตามสัญกรณ์ของคุณ แต่ดูเหมือนว่าคุณกำลังโต้เถียงว่าคุณสามารถนำร่างของฉันและกรอกรายละเอียดด้วยวิธีที่งี่เง่าอย่างเห็นได้ชัดทำให้เกิดระบบที่ไม่ปลอดภัย ฉันจะเพิ่มรายละเอียดเวอร์ชั่นที่ปลอดภัยกว่าให้กับคำตอบของฉัน

— Geoffrey Irving

ความโง่เขลาเพียงอย่างเดียวคือการเปลี่ยนแปลงของฉันไปH_2ทุกอย่างคือสิ่งที่ฉันคิดโดยสุจริตว่าคุณหมายถึง

H_{2}

$H_2$

$\:$

$\hspace{1.71 in}$

$\;\;\;\;$

โปรดแจ้งให้เราทราบว่ารายละเอียดที่เพิ่มลงในคำตอบของฉันทำให้ชัดเจนหรือไม่ เป็นไปได้มากที่ฉันขาดอะไรไปและการก่อสร้างของฉันก็พัง

— Geoffrey Irving