เหตุใด Feige-Fiat-Shamir จึงไม่เป็นศูนย์ความรู้โดยไม่มีสัญลักษณ์บิต?


12

ในบทที่ 10 ของ HAC (10.4.2)เราจะเห็นโปรโตคอลการระบุตัวตน Feige-Fiat-Shamir ที่รู้จักกันดีบนพื้นฐานของการพิสูจน์ความรู้แบบ zero-knowledge โดยใช้ความยากลำบาก (สันนิษฐาน) ในการแยกรูตรากโมดูโลคอมโพสิตที่ยากต่อการแยก ฉันจะให้รูปแบบในคำพูดของฉันเอง (และหวังว่าจะทำให้ถูกต้อง)

มาเริ่มด้วยโครงร่างที่ง่ายกว่ากันเถอะ, ให้เป็นจำนวนเต็ม Blum (ดังนั้นและและแต่ละอันคือ 3 mod 4) ที่มีขนาดใหญ่พอสมควร เนื่องจากเป็นจำนวนเต็ม Blum ครึ่งหนึ่งขององค์ประกอบของมีสัญลักษณ์ Jacobi +1 และอีกครึ่งหนึ่งมี -1 สำหรับองค์ประกอบ +1 ครึ่งหนึ่งของเหล่านั้นมีรากที่สองและแต่ละองค์ประกอบที่มีรากที่สองมีสี่ของพวกเขาหนึ่งองค์ประกอบเป็นสี่เหลี่ยมnn=pqpqnZn

ตอนนี้เพ็กกี้เลือกองค์ประกอบสุ่มจากและชุด 2 จากนั้นเธอก็ส่งไปยังวิกเตอร์ ถัดไปเป็นโปรโตคอล: Victor ความประสงค์ที่จะตรวจสอบว่าเพ็กกี้รู้รากที่สองของและเพ็กกี้มีความประสงค์ที่จะพิสูจน์ให้เขาโดยไม่ต้องบอกอะไรเกี่ยวกับเกินความจริงที่เธอรู้เช่นssZnv=s2vvss

  1. เพ็กกี้เลือกสุ่มในและส่งไปยัง VictorrZnr2
  2. Victor equiprobably ส่งหรือกลับไปที่ Peggyb=0b=1
  3. Peggy ส่งถึง Victorrsb

วิกเตอร์สามารถยืนยันได้ว่าเพ็กกี้ได้ส่งคำตอบที่ถูกต้องโดยการยกกำลังสองสิ่งที่เขาได้รับและเปรียบเทียบกับผลลัพธ์ที่ถูกต้อง แน่นอนว่าเราทำซ้ำการโต้ตอบนี้เพื่อลดโอกาสที่เพ็กกี้เป็นเพียงผู้เดาที่โชคดี โปรโตคอลนี้อ้างว่าเป็น ZK หลักฐานสามารถพบได้ในสถานที่ต่าง ๆ (เช่นบันทึกการบรรยายของ Boaz Barak )

เมื่อเราขยายโปรโตคอลนี้เพื่อให้มีประสิทธิภาพมากขึ้นเรียกว่า Feige-Fiat-Shamir มันคล้ายกับข้างบนมาก เราเริ่มต้นเพ็กกี้กับค่าสุ่มและสัญญาณสุ่มเธอตีพิมพ์สี่เหลี่ยมของพวกเขาเป็น 2 ในคำอื่น ๆ ที่เราสุ่มลบล้างบางส่วนของv_iตอนนี้ks1skt1=±1,tk=±1v1=t1s12,,vk=tksk2vi

  1. เพ็กกี้เลือกสุ่มในและส่งไปยัง VictorrZnr2
  2. วิกเตอร์สามารถส่งค่าจากกลับไปยัง Peggy ได้kbi{0,1}
  3. เพ็กกี้ส่งให้กับวิกเตอร์rΠi=1ksibi

คำถามของฉัน:ทำไมบิตลงชื่อจำเป็น? ในวงเล็บ HAC ตั้งข้อสังเกตว่ามีข้อกำหนดทางเทคนิคที่จำเป็นในการพิสูจน์ว่าไม่มีข้อมูลลับรั่วไหล หน้าวิกิพีเดียสำหรับ Feige-Fiat-Shamir (ซึ่งได้รับโปรโตคอลที่ไม่ถูกต้อง) หมายความว่าไม่มีบิตนี้รั่วไหลออกมาti

ฉันไม่สามารถค้นหาการโจมตีที่ดึงข้อมูลใด ๆ จากเพ็กกี้ได้หากเธอไม่เห็นสัญญาณ

คำตอบ:


8

โปรโตคอลการระบุ Feige-Fiat-Shamir (FFS) เป็นข้อพิสูจน์ของความรู้ (PoK) ซึ่งผู้พิสูจน์ (Peggy) พิสูจน์ความรู้ของเธอถึงรากที่สองของการป้อนข้อมูลที่ได้รับให้แก่ผู้ตรวจสอบ (Victor)

FFS ต้องการแยกความแตกต่าง PoK จากหลักฐานการเป็นสมาชิกภาษาซึ่ง Peggy พิสูจน์ว่าอินพุตมีคุณสมบัติบางอย่าง (เป็นทางการมากกว่านั้นอินพุตเป็นของบางภาษา)

หากเราไม่ใช้เครื่องหมายลบอาจเป็นไปได้ว่าอินพุตไม่มีรากที่สอง ตัวอย่างเช่นหมายเลข 20 ไม่ได้มีสแควร์รูทใด ๆ mod 21 เนื่องจากการแยกความแตกต่างของสี่เหลี่ยมและไม่ใช่สแควร์เป็นปัญหาหนักที่โด่งดัง FFS จึงหลีกเลี่ยงได้โดยอนุญาตให้อินพุตเป็นบวกหรือลบของจำนวนกำลังสอง ในคำพูดของพวกเขาเอง (เปลี่ยนไปเล็กน้อย):

ด้วยการอนุญาตให้เป็นทั้งบวกหรือลบสแควร์โมดูโลเป็นจำนวนเต็ม Blumเรามั่นใจว่าสามารถครอบคลุมจำนวนทั้งหมดที่มีสัญลักษณ์ Jacobiและทำให้มีอยู่ (จากมุมมองของ V) โดยไม่คำนึงถึงอักขระตามที่ต้องการในการพิสูจน์ความรู้ศูนย์ความรู้ที่ไม่ จำกัด อินพุตของความรู้vivi +1modnsivi

โดยการพิสูจน์ความรู้ที่เป็นศูนย์ความรู้ที่ไม่ จำกัด อินพุตพวกเขาหมายถึง ZK PoK ที่มีการพิสูจน์ที่สอดคล้องกันของการเป็นสมาชิกภาษาเป็นเรื่องเล็กน้อย; เช่น V สามารถตัดสินใจเองได้ว่าอินพุตเป็นบวกหรือลบของสี่เหลี่ยมจัตุรัส (โดยตรวจสอบสัญลักษณ์ Jacobi)


ขอบคุณสำหรับคำตอบ แต่ฉันก็ยังไม่ปฏิบัติตาม: ไม่มีสัญลักษณ์ Jacobi คือ +1 ด้วยสัญญาณสัญลักษณ์ Jacobi คือ +1 คุณพูดว่า "ถ้าเราไม่ใช้เครื่องหมายลบอาจเป็นไปได้ว่าอินพุตไม่มีรากที่สอง" เป็นไปได้อย่างไร? อินพุตสำหรับตัวตรวจสอบคือรายการของช่องสี่เหลี่ยมที่ (สมมติว่าเป็นคนที่ซื่อสัตย์) มักมีรากที่สอง
Fixee

คำถามที่สอง: คุณกำลังบอกว่ามีสัญญาณเพียงเพื่อให้หลักฐานผ่าน? หรือมีการโจมตีจริงถ้าพวกเขาถูกละเว้น?
Fixee

@Fixee: สมมติว่าเป็นคนที่โกงการเลือกกุญแจสาธารณะของเขา ( ) ไม่ใช่โปรโตคอล พูดค่าสุ่มที่มีสัญลักษณ์ Jaccobi คือ +1 ตัวตรวจสอบ (ยากจน) ไม่มีทางพูดได้ว่ามีรากที่สองหรือไม่ วิธีเดียวคือเรียกใช้โปรโตคอลและรับความช่วยเหลือจากผู้ตรวจสอบ นั่นคือผู้พิสูจน์พิสูจน์ความรู้ของและพิสูจน์ความเป็นสมาชิกภาษา (เช่นเป็นสมาชิกของ lanuage QR ของสมการเศษสองชั้น) ด้วยเหตุผลบางอย่าง FFS ชอบที่จะแยกการพิสูจน์ประเภทนี้ จาก "การป้อนข้อมูลที่ไม่ จำกัด " การพิสูจน์ ฉันเห็นว่านี่เป็นเพียงเทคนิคเท่านั้น vivisivi
MS Dousti
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.