Điểm:2

Crypto

Thay đổi đầu ra của chương trình con PPT để phù hợp với bằng chứng rút gọn

yacovm

09:07, 17/02/2023

Tôi có một giao thức hoạt động trong cài đặt độc hại liên quan đến việc các bên gửi cho nhau các thành phần nhóm $u\in \mathbb{G}$ của một hình thức cụ thể (Ví dụ, đây là những thông điệp của hình thức $u=g^{\alpha}\cdot h^{\beta}$ với máy phát điện $h,g\in \mathbb{G}$ và $\alpha, \beta \in \mathbb{Z}_q$ cho một số nguyên tố $q$).

Ngoài ra, các bên này đính kèm bằng chứng kiến thức không có kiến thức không tương tác cho thấy rằng các phần tử nhóm được gửi thực sự thuộc dạng đó (ví dụ: các phần tử nhóm được gửi không được chọn theo cách không biết). Vì vậy, nếu một bên trong giao thức gửi $u=g^{\alpha}\cdot h^{\beta}$ nó cũng phải đính kèm $\pi_{g,h}(u)$ đó là một ZKPOK chứng minh rằng $u$ có dạng mong muốn.

Trong nỗ lực chứng minh tính hợp lý của một giao thức, tôi mâu thuẫn với giả định rằng tồn tại một đối thủ PPT $\mathcal{A}$ phá vỡ giao thức, và sau đó tôi sử dụng $\mathcal{A}$ như một chương trình con trong một PPT mới $\mathcal{B}$ mà phá vỡ một vấn đề khó khăn (cụ thể, Logarit rời rạc trong $\mathbb{G}$).

Tuy nhiên, vấn đề của tôi là tôi muốn $\mathcal{B}$ sử dụng $\mathcal{A}$ theo cách hộp đen, nhưng tôi cũng muốn sử dụng "số mũ" của nó (logarit rời rạc) $\alpha, \beta$ sau khi chạy $\mathcal{A}$ để tính logarit rời rạc của một phần tử nhóm tùy ý $a\in \mathbb{G}$. Tuy nhiên, $\mathcal{A}$ có thể chọn $\alpha, \beta$ theo bất kỳ cách nào mà $\mathcal{B}$ đang chạy $\mathcal{A}$ có thể không biết.

Làm thế nào để tôi giải quyết sự chênh lệch này?

Những gì tôi đã có trong tâm trí, là có $\mathcal{A}$ đầu ra $\alpha, \beta$ như một phần đầu ra của nó, và lý do là vì $\mathcal{A}$ phải đính kèm một ZKPOK của $\alpha, \beta$ khi gửi (các) phần tử nhóm của nó, nó đã tính toán $\alpha, \beta$ của chính nó và do đó nó cũng có thể xuất chúng.

tôi có thể thay đổi $\mathcal{A}$đầu ra của tôi theo cách như vậy để phù hợp với nhu cầu của tôi?
Có cách tiếp cận khác/tốt hơn để giải quyết vấn đề mà tôi cần quyền truy cập vào logarit rời rạc được gửi bởi một bên được kiểm soát bởi PPT hộp đen không?
Bất cứ ai có thể chỉ cho tôi một bài báo đòi hỏi một bằng chứng với một kỹ thuật tương tự?

Rất cám ơn trước.

126

0 + 0

zero-kiến thức-bằng chứng

phân tích giao thức

Maeher

10:17, 17/02/2023

Một bằng chứng về kiến thức theo định nghĩa cho phép trích xuất nhân chứng. Tại sao bạn không thể đơn giản làm điều đó trong quá trình giảm thiểu của mình?

Hồi đáp

yacovm

12:02, 17/02/2023

Vì ZKPOK được gửi trong giao thức của tôi dưới dạng NIZK nên tôi không thể sử dụng bất kỳ kỹ thuật "tua lại" nào trên $\mathcal{A}$ để trích xuất nhân chứng. Tôi đã chỉnh sửa câu hỏi của mình để nhấn mạnh rằng đây là NIZK. Cảm ơn vì câu hỏi.

Hồi đáp

Maeher

12:35, 17/02/2023

Nếu đó là PoK, bạn có thể giải nén. Đó chỉ đơn giản là định nghĩa của một PoK. Với một NIZKPoK thường hoạt động bằng cách bẫy CRS hoặc thông qua trích xuất loại Bổ đề rẽ nhánh.

Hồi đáp

yacovm

13:07, 17/02/2023

(1) bạn có thể vui lòng liên kết đến một ví dụ trong một bài báo không? (2) Phương pháp tôi mô tả trong câu hỏi có hợp lý hay không?

Hồi đáp

Điểm:2

Crypto

Yehuda Lindell

15:52, 19/02/2023

Bạn không thể sửa đổi $\mathcal A$ theo cách này. Nếu bạn cần $\alpha$ và $\beta$ để giảm, sau đó bạn sẽ cần sử dụng kiến thức không bằng chứng về kiến thức từ đó bạn có thể trích xuất chúng. Tôi hiểu rằng bạn muốn sử dụng NIZK. Tuy nhiên, điều này thực sự không phải là một vấn đề. Nếu bạn lấy một giao thức Sigma (bằng chứng 3 vòng) cho các cam kết của Pedersen (về cơ bản là những gì bạn có ở đây) và sau đó áp dụng phép biến đổi Fiat-Shamir cho nó, thì kết quả là một bằng chứng kiến thức không có kiến thức không tương tác nơi bạn có thể trích xuất nhân chứng $\alpha,\beta$, bên trong mô hình tiên tri ngẫu nhiên. Điều này là rất chuẩn. Có thể tìm thấy hướng dẫn về giao thức Sigma của Ivan DamgÃ¥rd đây. Thực tế là bạn có thể trích xuất những điều sau đây từ bỏ bổ đề cho Fiat-Shamir của Pointcheval và Stern (xem thêm bài báo này của Bellare và Neven trên bỏ bổ đề).

0 + 0

yacovm

23:15, 19/02/2023

Tôi nghĩ rằng tôi hiểu những gì bạn đang cố gắng nói, tuy nhiên, điều gì sẽ xảy ra nếu PPT lồng nhau (PPT của đối thủ) có đầu vào riêng và kết quả là các yêu cầu để áp dụng bổ đề rẽ nhánh không đáp ứng được? Sau đó, có lẽ tôi nên chia đối thủ thành hai thuật toán khác nhau - (i) một thuật toán tạo ra ZKPOK và (ii) một thuật toán nhận ZKPOK NIZK làm đầu vào và thực hiện phần còn lại, sau đó áp dụng phân nhánh trên đối thủ đầu tiên? Đó có phải là một cái gì đó có thể?

Hồi đáp

Yehuda Lindell

11:41, 20/02/2023

Bạn luôn áp dụng trình trích xuất kiến thức cho máy tạo ZKPOK. Điều này thường quan trọng đối với các tin nhắn đã gửi trước đó. Vì vậy, người ta nhìn vào "đối thủ còn lại" là đối thủ đã thiết lập trạng thái của đối thủ cho đến thời điểm đó. Bạn thực sự không quan tâm điều gì xảy ra sau ZKPOK vì bạn không bao giờ đạt được điều đó.

Hồi đáp

yacovm

11:57, 20/02/2023

Cảm ơn câu trả lời của bạn (và cho câu trả lời, tất nhiên). Tôi không chắc mình hiểu hết. Bạn có thể chỉ cho tôi một bài báo (hoặc một chương trong sách) mô tả đối thủ còn sót lại như vậy để tôi có thể học hỏi từ một ví dụ cụ thể không? Rất cám ơn trước.

Hồi đáp

Yehuda Lindell

07:17, 21/02/2023

Xem Phần 5.3 của https://eprint.iacr.org/2016/046.pdf.Nó mô tả một trình xác minh còn lại được sử dụng để chứng minh ZK và cách hoạt động của quá trình tua lại về mặt kỹ thuật. Đó là điều tương tự như bạn sẽ cần ở đây.

Hồi đáp

yacovm

08:20, 21/02/2023

Cảm ơn vì đã trả lời. Tuy nhiên, trong giao thức của tôi, không có tiết lộ cam kết nào đang diễn ra - tất cả các bên đều gửi tin nhắn kèm theo ZKPOK và tôi đang gặp khó khăn trong việc chứng minh tính hợp lý, chứ không phải thuộc tính không kiến thức. Mục 5.3 đề cập đến việc chứng minh thuộc tính không tri thức.

Hồi đáp

Yehuda Lindell

07:41, 24/02/2023

Khái niệm tương tự về đối thủ còn lại được sử dụng để chứng minh tri thức bằng không và để chạy trình trích xuất tri thức. Vì vậy, tài liệu tham khảo là có liên quan.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Altering a subroutine PPT's output to fit a reduction proof

TH: การปรับเปลี่ยนเอาต์พุตของรูทีนย่อย PPT ให้พอดีกับหลักฐานการลดลง

RO: Modificarea ieșirii unei subrutine PPT pentru a se potrivi cu o dovadă de reducere

RU: Изменение вывода подпрограммы PPT, чтобы соответствовать доказательству сокращения

VI: Thay đổi đầu ra của chương trình con PPT để phù hợp với bằng chứng rút gọn

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.