คำถามติดแท็ก zero-knowledge

ตามคำถาม Greg Kuperberg ถามฉันฉันสงสัยว่ามีเอกสารใดบ้างที่ให้คำจำกัดความและศึกษาชั้นเรียนที่ซับซ้อนของภาษาที่ยอมรับการพิสูจน์ความรู้ประเภทต่างๆ คลาสอย่างSZKและNISZKนั้นมีความเป็นธรรมชาติอย่างมากจากจุดยืนที่ซับซ้อนแม้ว่าเราจะลืมความรู้เกี่ยวกับศูนย์ไปอย่างสิ้นเชิง ในทางตรงกันข้ามในการพิสูจน์ความรู้ของ Google ผมก็แปลกใจที่ไม่พบเอกสารหรือบันทึกการบรรยายที่กล่าวถึงแนวคิดที่น่ารักนี้ในแง่ของคลาสความซับซ้อน เพื่อยกตัวอย่าง: สิ่งหนึ่งที่สามารถพูดเกี่ยวกับคลาสย่อยของSZK∩MA∩coMAประกอบด้วยภาษาทั้งหมด L ที่ยอมรับการพิสูจน์ความรู้ทางสถิติที่เป็นศูนย์สำหรับx∈Lหรือx∉Lซึ่งเป็นหลักฐานการพิสูจน์ความรู้ของพยานที่พิสูจน์ x ∈Lหรือx∉L แน่นอนชั้นนี้มีสิ่งต่าง ๆ เช่นล็อกแยก แต่เราไม่สามารถพิสูจน์ได้ว่ามันมีกราฟมอร์ฟิซึ่มโดยไม่ใส่ GI ลงใน coMA ชั้นเรียนครอบคลุมSZK∩MA∩coMAทั้งหมดหรือไม่ เราอาจถามว่า: ถ้ามีฟังก์ชั่นทางเดียวแล้วทุกภาษาL∈MA∩coMAยอมรับการพิสูจน์ความรู้ที่ศูนย์การคำนวณซึ่งเป็นหลักฐานการพิสูจน์ความรู้ของพยานที่พิสูจน์x∈Lหรือx∉Lหรือไม่? (ฉันขอโทษถ้าหนึ่งหรือทั้งสองอย่างนี้มีคำตอบที่ไม่สำคัญ --- ฉันแค่พยายามอธิบายสิ่งที่ทำได้ ถามเมื่อหนึ่งตัดสินใจที่จะมอง PoK ในแง่ความซับซ้อนทางทฤษฎี)

16 complexity-classes  cr.crypto-security  zero-knowledge 

ในบทที่ 10 ของ HAC (10.4.2)เราจะเห็นโปรโตคอลการระบุตัวตน Feige-Fiat-Shamir ที่รู้จักกันดีบนพื้นฐานของการพิสูจน์ความรู้แบบ zero-knowledge โดยใช้ความยากลำบาก (สันนิษฐาน) ในการแยกรูตรากโมดูโลคอมโพสิตที่ยากต่อการแยก ฉันจะให้รูปแบบในคำพูดของฉันเอง (และหวังว่าจะทำให้ถูกต้อง) มาเริ่มด้วยโครงร่างที่ง่ายกว่ากันเถอะ, ให้เป็นจำนวนเต็ม Blum (ดังนั้นและและแต่ละอันคือ 3 mod 4) ที่มีขนาดใหญ่พอสมควร เนื่องจากเป็นจำนวนเต็ม Blum ครึ่งหนึ่งขององค์ประกอบของมีสัญลักษณ์ Jacobi +1 และอีกครึ่งหนึ่งมี -1 สำหรับองค์ประกอบ +1 ครึ่งหนึ่งของเหล่านั้นมีรากที่สองและแต่ละองค์ประกอบที่มีรากที่สองมีสี่ของพวกเขาหนึ่งองค์ประกอบเป็นสี่เหลี่ยมnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* ตอนนี้เพ็กกี้เลือกองค์ประกอบสุ่มจากและชุด 2 จากนั้นเธอก็ส่งไปยังวิกเตอร์ ถัดไปเป็นโปรโตคอล: Victor ความประสงค์ที่จะตรวจสอบว่าเพ็กกี้รู้รากที่สองของและเพ็กกี้มีความประสงค์ที่จะพิสูจน์ให้เขาโดยไม่ต้องบอกอะไรเกี่ยวกับเกินความจริงที่เธอรู้เช่นssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss เพ็กกี้เลือกสุ่มในและส่งไปยัง VictorrrrZ∗nZn∗Z_n^*r2r2r^2 Victor equiprobably ส่งหรือกลับไปที่ Peggyb=0b=0b=0b=1b=1b=1 Peggy ส่งถึง Victorrsbrsbrs^b วิกเตอร์สามารถยืนยันได้ว่าเพ็กกี้ได้ส่งคำตอบที่ถูกต้องโดยการยกกำลังสองสิ่งที่เขาได้รับและเปรียบเทียบกับผลลัพธ์ที่ถูกต้อง แน่นอนว่าเราทำซ้ำการโต้ตอบนี้เพื่อลดโอกาสที่เพ็กกี้เป็นเพียงผู้เดาที่โชคดี โปรโตคอลนี้อ้างว่าเป็น ZK …

12 cr.crypto-security  proofs  zero-knowledge 

การพิสูจน์ของ Goldreich และคณะที่สาม colorability มีศูนย์พิสูจน์ความรู้ใช้บิตมุ่งมั่นสำหรับสีทั้งหมดของกราฟในแต่ละรอบ [1] ถ้ากราฟมีจุดและขอบกัญชาที่เชื่อถือได้มีบิตและเราหาข้อผิดพลาดน่าจะเป็น , ค่าใช้จ่ายการสื่อสารทั้งหมดe b pnnneeebbbppp O(benlog(1/p))O(benlog⁡(1/p))O(ben \log(1/p)) มากกว่ารอบ การใช้ต้นไม้แฮชค่อยๆเผยให้เห็นการสื่อสารทั้งหมดจะลดลงที่ค่าใช้จ่ายของการเพิ่มจำนวนรอบกับn)O ( ขอีล็อกn ล็อก( 1 / P ) ) O ( log n )O(1)O(1)O(1)O(belognlog(1/p))O(belog⁡nlog⁡(1/p))O(be \log n \log (1/p))O(logn)O(log⁡n)O(\log n) เป็นไปได้ไหมที่จะทำได้ดีกว่านี้ทั้งในแง่ของการสื่อสารทั้งหมดหรือจำนวนรอบ? http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf แก้ไข : ขอบคุณริกกี้ Demer สำหรับการชี้ให้เห็นปัจจัยที่ขาดหายไปของอีeee

11 communication-complexity  zero-knowledge 

มีวิธีการที่ผู้ตรวจสอบสามารถโน้มน้าวผู้ตรวจสอบว่าการแสดงออกของ HORN-SAT บางอย่างน่าพอใจหรือไม่? ของหลักสูตรนี้อาจดูโง่เง่าเนื่องจากมีอัลกอริธึมเชิงเส้นเวลาสำหรับ HORN-SAT ในทางตรงกันข้าม HORN-SAT เป็น P-complete ซึ่งหมายความว่ามันไม่มีอัลกอริธึมพื้นที่บันทึกยกเว้น P = L ดังนั้น จำกัด ความสามารถในการคำนวณของตัวตรวจสอบให้เป็น L ตอนนี้ตัวตรวจสอบนั้นอ่อนแอมากดังนั้นปัญหาจึงไม่ได้โง่อีกต่อไป การบิดตัวนี้ก็คือมันสามารถพิสูจน์ได้ว่าเป็นศูนย์ความรู้

10 cc.complexity-theory  interactive-proofs  zero-knowledge