Làm thế nào để trình mô phỏng tạo ra một bảng điểm chính xác theo HVZK với phương pháp phỏng đoán Fiat-Shamir?

Lý lịch

Tôi hiểu phiên bản tương tác của giao thức của Schnorr và tôi hiểu cách trình mô phỏng có thể tạo ra đầu ra i.i.d cho đầu ra của trình chứng minh-người xác minh:

Câu hỏi

Điều tôi không hiểu là làm thế nào để trình mô phỏng tạo ra bản ghi chính xác khi chúng tôi chuyển sang phiên bản không tương tác của giao thức nhận dạng Schnorr? Trang 4 của bài giảng CS355 2019 cho thấy trình giả lập có thể "Lập trình $H(g,h,u)$ được $c$".

Và trang 23 của bài giảng sau cho thấy trình giả lập có thể thiết lập $H$ cho bất kỳ hàm băm tùy ý nào.

Điều này có vẻ kỳ lạ với tôi và tôi không hiểu. Tại sao chúng ta giả định rằng S có khả năng chọn bất kỳ hàm băm nào? Trong thực tế, sẽ có một số hàm băm cố định mà chúng tôi sử dụng để tạo thử thách ngẫu nhiên $c$, đúng?

Tôi hiểu rằng bằng chứng HVZK không hoạt động nếu chúng tôi không cho phép trình mô phỏng tạo nên bất kỳ hàm băm nào. Giả sử chúng ta có một hàm băm chống tiền giả cố định, trình mô phỏng không thể tạo thông báo của người chứng minh $u$, $z$ theo cách phù hợp với thách thức đó. Trong trường hợp tương tác, trình mô phỏng có thể chọn $z$ và $c$ ngẫu nhiên và làm việc ngược lại để có được $u$ xác định ở đâu $u = \frac{g^z}{h^c}$. Nhưng trong trường hợp không tương tác, bạn cần tìm $u$ và $c$ như vậy mà $u = \frac{g^z}{h^c}$ VÀ $H(g,h,u) = c$, và đây là NP-hard. Vì vậy, bạn mất thuộc tính không có kiến ​​thức vì trình mô phỏng không thể tạo bảng điểm hợp lệ.

Vậy bằng chứng tri thức không tương tác không tương tác được triển khai trong thực tế như thế nào?

Thư mục

• https://crypto.stanford.edu/cs355/19sp/lec5.pdf
• Bằng chứng tri thức không tương tác không tương tác là gì?
• Trình giả lập thuộc tính không kiến ​​thức của trình xác minh trung thực đặc biệt hoạt động như thế nào?
• Hàm băm có phải là bằng chứng không có kiến ​​​​thức không?
• https://www.impan.pl/konferencje/bcc/2019/19-simons-x/zero_knowledge_primer_2.pdf

Điểm mấu chốt ở đây là trong quá trình chuyển đổi Fiat-Shamir, bạn cần phân biệt giữa ý nghĩa bảo mật trong triển khai thực tế và ý nghĩa của nó trong lý thuyết thiết kế của bạn. Đúng là trong thực tế, chúng tôi sử dụng các hàm băm để thực hiện chuyển đổi Fiat-Shamir, nhưng như bạn đã đề cập, có vẻ như không dễ dàng để mô phỏng bằng chứng trong trường hợp này. Tuy nhiên, về lý thuyết, chúng tôi sử dụng một đối tượng lý tưởng được gọi là "nhà tiên tri ngẫu nhiên" và tùy thuộc vào thuộc tính mà chúng tôi giả định cho nhà tiên tri ngẫu nhiên này, chúng tôi có thể thực hiện mô phỏng. Chính xác hơn, một tiên tri ngẫu nhiên có thể lập trình được hoặc không lập trình được. Theo khả năng lập trình, điều đó có nghĩa là trình mô phỏng được phép chọn câu trả lời cho các truy vấn tiên tri. Ví dụ, trong bối cảnh bằng chứng không có kiến ​​​​thức (NIZK) không tương tác, điều này làm cho trình giả lập có thể tạo ra bằng chứng thuyết phục nhưng giả mạo.Mặt khác, mô hình tiên tri ngẫu nhiên không thể lập trình (NPRO) hạn chế trình mô phỏng sao cho nó không thể chọn câu trả lời cho các truy vấn nữa. Thay vào đó, trình mô phỏng chỉ được trao quyền bằng cách xem tất cả các cặp truy vấn/câu trả lời do các bên thực hiện trong giao thức. Hạn chế này đối với trình mô phỏng (hay nói chung là giảm tính bảo mật) làm cho các bằng chứng cơ bản trở nên thích hợp hơn, vì chúng dựa vào ít thuộc tính hơn của lời tiên tri ngẫu nhiên và do đó có thể được coi là một bước để loại bỏ nó. Tuy nhiên, trong một số bằng chứng của NIZK, chẳng hạn như chuyển đổi Fiat-Shamir của giao thức Schnorr, việc lập trình tiên tri ngẫu nhiên dường như rất quan trọng để cung cấp thuộc tính ZK.