เหตุใด Feige-Fiat-Shamir จึงไม่เป็นศูนย์ความรู้โดยไม่มีสัญลักษณ์บิต?

ในบทที่ 10 ของ HAC (10.4.2)เราจะเห็นโปรโตคอลการระบุตัวตน Feige-Fiat-Shamir ที่รู้จักกันดีบนพื้นฐานของการพิสูจน์ความรู้แบบ zero-knowledge โดยใช้ความยากลำบาก (สันนิษฐาน) ในการแยกรูตรากโมดูโลคอมโพสิตที่ยากต่อการแยก ฉันจะให้รูปแบบในคำพูดของฉันเอง (และหวังว่าจะทำให้ถูกต้อง)

มาเริ่มด้วยโครงร่างที่ง่ายกว่ากันเถอะ, ให้เป็นจำนวนเต็ม Blum (ดังนั้นและและแต่ละอันคือ 3 mod 4) ที่มีขนาดใหญ่พอสมควร เนื่องจากเป็นจำนวนเต็ม Blum ครึ่งหนึ่งขององค์ประกอบของมีสัญลักษณ์ Jacobi +1 และอีกครึ่งหนึ่งมี -1 สำหรับองค์ประกอบ +1 ครึ่งหนึ่งของเหล่านั้นมีรากที่สองและแต่ละองค์ประกอบที่มีรากที่สองมีสี่ของพวกเขาหนึ่งองค์ประกอบเป็นสี่เหลี่ยม$n$$n=pq$$p$$q$$n$$Z_n^*$

ตอนนี้เพ็กกี้เลือกองค์ประกอบสุ่มจากและชุด 2 จากนั้นเธอก็ส่งไปยังวิกเตอร์ ถัดไปเป็นโปรโตคอล: Victor ความประสงค์ที่จะตรวจสอบว่าเพ็กกี้รู้รากที่สองของและเพ็กกี้มีความประสงค์ที่จะพิสูจน์ให้เขาโดยไม่ต้องบอกอะไรเกี่ยวกับเกินความจริงที่เธอรู้เช่นs$s$$Z_n^*$$v=s^2$$v$$v$$s$$s$

1. เพ็กกี้เลือกสุ่มในและส่งไปยัง Victor$r$$Z_n^*$$r^2$
2. Victor equiprobably ส่งหรือกลับไปที่ Peggy$b=0$$b=1$
3. Peggy ส่งถึง Victor$rs^b$

วิกเตอร์สามารถยืนยันได้ว่าเพ็กกี้ได้ส่งคำตอบที่ถูกต้องโดยการยกกำลังสองสิ่งที่เขาได้รับและเปรียบเทียบกับผลลัพธ์ที่ถูกต้อง แน่นอนว่าเราทำซ้ำการโต้ตอบนี้เพื่อลดโอกาสที่เพ็กกี้เป็นเพียงผู้เดาที่โชคดี โปรโตคอลนี้อ้างว่าเป็น ZK หลักฐานสามารถพบได้ในสถานที่ต่าง ๆ (เช่นบันทึกการบรรยายของ Boaz Barak )

เมื่อเราขยายโปรโตคอลนี้เพื่อให้มีประสิทธิภาพมากขึ้นเรียกว่า Feige-Fiat-Shamir มันคล้ายกับข้างบนมาก เราเริ่มต้นเพ็กกี้กับค่าสุ่มและสัญญาณสุ่มเธอตีพิมพ์สี่เหลี่ยมของพวกเขาเป็น 2 ในคำอื่น ๆ ที่เราสุ่มลบล้างบางส่วนของv_iตอนนี้$k$$s_1\cdots s_k$$t_1 = \pm 1, \cdots t_k = \pm 1$$v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$$v_i$

1. เพ็กกี้เลือกสุ่มในและส่งไปยัง Victor$r$$Z_n^*$$r^2$
2. วิกเตอร์สามารถส่งค่าจากกลับไปยัง Peggy ได้$k$$b_i$$\{0,1\}$
3. เพ็กกี้ส่งให้กับวิกเตอร์$r\Pi_{i=1}^ks_i^{b_i}$

คำถามของฉัน:ทำไมบิตลงชื่อจำเป็น? ในวงเล็บ HAC ตั้งข้อสังเกตว่ามีข้อกำหนดทางเทคนิคที่จำเป็นในการพิสูจน์ว่าไม่มีข้อมูลลับรั่วไหล หน้าวิกิพีเดียสำหรับ Feige-Fiat-Shamir (ซึ่งได้รับโปรโตคอลที่ไม่ถูกต้อง) หมายความว่าไม่มีบิตนี้รั่วไหลออกมา$t_i$

ฉันไม่สามารถค้นหาการโจมตีที่ดึงข้อมูลใด ๆ จากเพ็กกี้ได้หากเธอไม่เห็นสัญญาณ

โปรโตคอลการระบุ Feige-Fiat-Shamir (FFS) เป็นข้อพิสูจน์ของความรู้ (PoK) ซึ่งผู้พิสูจน์ (Peggy) พิสูจน์ความรู้ของเธอถึงรากที่สองของการป้อนข้อมูลที่ได้รับให้แก่ผู้ตรวจสอบ (Victor)

FFS ต้องการแยกความแตกต่าง PoK จากหลักฐานการเป็นสมาชิกภาษาซึ่ง Peggy พิสูจน์ว่าอินพุตมีคุณสมบัติบางอย่าง (เป็นทางการมากกว่านั้นอินพุตเป็นของบางภาษา)

หากเราไม่ใช้เครื่องหมายลบอาจเป็นไปได้ว่าอินพุตไม่มีรากที่สอง ตัวอย่างเช่นหมายเลข 20 ไม่ได้มีสแควร์รูทใด ๆ mod 21 เนื่องจากการแยกความแตกต่างของสี่เหลี่ยมและไม่ใช่สแควร์เป็นปัญหาหนักที่โด่งดัง FFS จึงหลีกเลี่ยงได้โดยอนุญาตให้อินพุตเป็นบวกหรือลบของจำนวนกำลังสอง ในคำพูดของพวกเขาเอง (เปลี่ยนไปเล็กน้อย):

ด้วยการอนุญาตให้เป็นทั้งบวกหรือลบสแควร์โมดูโลเป็นจำนวนเต็ม Blumเรามั่นใจว่าสามารถครอบคลุมจำนวนทั้งหมดที่มีสัญลักษณ์ Jacobiและทำให้มีอยู่ (จากมุมมองของ V) โดยไม่คำนึงถึงอักขระตามที่ต้องการในการพิสูจน์ความรู้ศูนย์ความรู้ที่ไม่ จำกัด อินพุตของความรู้$v_i$$v_i$ $+1 \bmod n$$s_i$$v_i$

โดยการพิสูจน์ความรู้ที่เป็นศูนย์ความรู้ที่ไม่ จำกัด อินพุตพวกเขาหมายถึง ZK PoK ที่มีการพิสูจน์ที่สอดคล้องกันของการเป็นสมาชิกภาษาเป็นเรื่องเล็กน้อย; เช่น V สามารถตัดสินใจเองได้ว่าอินพุตเป็นบวกหรือลบของสี่เหลี่ยมจัตุรัส (โดยตรวจสอบสัญลักษณ์ Jacobi)