Sử dụng ký hiệu trong liên kết Wikipedia của bạn để đảm bảo tính nhất quán, với bất kỳ trình xác minh nào, có thể là gian lận $V^*$, bạn muốn xây dựng một mô phỏng $S$ trong đó, chỉ được cung cấp quyền truy cập vào dư lượng bậc hai $v$ (nhưng không phải là căn bậc hai $s$), tạo ra một đầu ra không thể phân biệt được với quan điểm của người xác minh trong tương tác của nó với một người xác minh trung thực.
Cách bạn làm điều này trong trường hợp này về cơ bản là đoán bit $e$ người xác minh sẽ gửi. Bạn thống nhất lấy mẫu một số ngẫu nhiên $y\in(\mathbb{Z}/N\mathbb{Z})^*$, cũng như $e'\in\{0,1\}$, và thiết lập $r=y^2\cdot v^{-e'}$. Trong cả hai trường hợp, $r$ là phần dư bậc hai khả nghịch ngẫu nhiên đều, do đó phân phối của $V^*(r)$ không thể phụ thuộc vào bit $e'$, và do đó, $e=e'$ xảy ra với xác suất chính xác $1/2$ bất chấp chiến lược của $V^*$. Nếu chúng xảy ra bằng nhau, trình giả lập sẽ xuất ra $(r,y)$ và nếu không thì khởi động lại (hoặc hủy bỏ, tùy thuộc vào định nghĩa chính xác của bạn về kiến thức bằng không; điều đó không thành vấn đề).
Trong trường hợp thành công, $(r,y)$ được phân phối chính xác như trong sự tương tác với một câu tục ngữ trung thực: $r$ là thống nhất trong $QR_N$, $y$ là thống nhất trong $(\mathbb{Z}/N\mathbb{Z})^*$, và chúng thỏa mãn $y^2 = r\cdot v^e$. Hơn nữa, thành công đạt được với xác suất vượt trội sau nhiều lần lặp lại nhiều nhất (ở kích thước $N$). Điều này đảm bảo rằng giao thức hoàn toàn không có kiến thức.
