Điểm:3

Mài trong Fiat-Shamir heuristic

lá cờ in

Phương pháp phỏng đoán Fiat-Shamir được giả định là thay thế các thông báo về đồng xu công khai từ trình xác minh bằng hàm băm của các thông báo của trình chứng minh cho đến thời điểm này, tức là: $$H(\alpha_1) = \beta_1, \ H(\alpha_1, \alpha_2) = \beta_2,\H(\alpha_1, \alpha_2, \alpha_3) = \beta_3,\vdots$$ ở đâu $\alpha_i$'s là thông điệp của người tục ngữ.

Tôi hiểu tại sao heuristic Fiat-Shamir được chứng minh là an toàn trong ROM, tuy nhiên, trên thực tế, hàm băm $H$ KHÔNG phải là một nhà tiên tri, vậy điều gì tránh được việc người châm ngôn nghiền ngẫm các thông điệp của mình để có thể giả mạo một bằng chứng giả mạo?

Ví dụ, trong một $\Sigma$-protocol chỉ có một tin nhắn từ trình xác minh $\beta_1 = H(\alpha_1)$. Điều gì sẽ xảy ra nếu người tục ngữ nghiền ngẫm một số $\alpha_1'$ cho đến khi anh ta tìm thấy một số đầu vào cho hàm băm sao cho $\beta_1$ cho phép anh ta để có được một số lợi thế?

Tại sao chúng ta băm TẤT CẢ các tin nhắn của người hoạt ngôn trước đó để lấy tin nhắn của người xác minh không tương tác tiếp theo? Đó là vấn đề của việc thực hiện, ví dụ, $H(\alpha_i) = \beta_i$? Tệ hơn nữa, điều gì sẽ xảy ra nếu người chứng minh có thể băm bất cứ thứ gì anh ta muốn?

Điểm:9
lá cờ cn

Điều gì tránh cho người châm ngôn nghiền ngẫm các thông điệp của mình để có thể giả mạo bằng chứng giả mạo?

Chúng ta cũng có thể hỏi chính xác câu hỏi tương tự đối với một lời tiên tri ngẫu nhiên! Điều gì ngăn cản người châm ngôn nghiền ngẫm thông điệp của anh ta cho đến khi anh ta có thể giả mạo bằng chứng giả mạo? Những gì bạn đề xuất hoàn toàn có thể được thực hiện với RO.

Và câu trả lời là: nên có một số lượng tin nhắn rất nhỏ $\alpha_1$ như vậy mà $\beta_1 = H(\alpha_1)$ cho phép người chứng minh có một lợi thế. trong một điển hình $\Sigma$-giao thức, ví dụ, khi tuyên bố không có trong ngôn ngữ (do đó người tục ngữ gian lận), trung bình có một $\alpha_1$ điều đó cho phép người chứng minh gian lận. (Bài tập: chứng minh rằng đây là trường hợp của $\Sigma$-protocol cho bộ dữ liệu DDH, trong đó có từ $(X,Y)$ và nhân chứng là $x\in\mathbb{Z}_p$ như vậy mà $X = g^x$$Y = h^x$). Do đó, nếu có $2^c$ những giá trị khả thi $\beta_1$ (đó là không gian thử thách), người châm ngôn độc hại sẽ phải tính toán $O(2^c)$ băm để giả mạo một bằng chứng giả mạo. bây giờ làm cho $c$ đủ lớn, và bạn có được bảo mật máy tính.

Lưu ý rằng cuộc tấn công mài vẫn là một cân nhắc quan trọng: $\Sigma$-các giao thức có bảo mật vô điều kiện, nhưng ngay sau khi bạn biên dịch chúng trong ROM bằng Fiat-Shamir, chúng chỉ có tính toán sự lành mạnh. Điều này có nghĩa là tham số bảo mật cho tính hợp lý (không gian thử thách) phải được điều chỉnh tương ứng: không gian thử thách 40 bit phù hợp với một $\Sigma$-giao thức (vì nó mang lại cho một câu tục ngữ ác ý một $2^{-40}$ xác suất thống kê của việc phá vỡ thành công âm thanh, có thể chấp nhận được trong thực tế), nhưng bị phá vỡ đối với Fiat-Shamir (vì việc phá vỡ giao thức được biên dịch yêu cầu $2^{40}$ hoạt động, đó là tầm thường để thực hiện). Thông thường, chúng tôi sẽ sử dụng một không gian thách thức về $2^{128}$ khi sử dụng Fiat-Shamir.

Vadym Fedyukovych avatar
lá cờ in
"Trong một giao thức Σ-..không có trong ngôn ngữ điển hình, trung bình có một số 1 cho phép người hoạt ngôn gian lận." Điều này giữ cho việc xác minh các câu trả lời tục ngữ như sau đại số lót. Có thể không quá điển hình, người ta có thể xác minh hệ số lũy thừa hai (coi thử thách là một biến tự do) kết hợp ba phản ứng giống như định lý Pythagoras, nhân đôi cơ hội gian lận trong trường hợp này.
Bean Guy avatar
lá cờ in
Mmmm, đó là những gì tôi nghĩ. Dù sao đi nữa, khả năng xảy ra một cuộc tấn công "nghiền" nên được xem xét mỗi khi người ta có ý định xây dựng một giao thức, phải không? Tôi cho rằng người ta chưa chứng minh được (trong trường hợp chung) rằng xác suất của một cuộc tấn công mài thành công là không đáng kể.
Geoffroy Couteau avatar
lá cờ cn
@Vadym đúng, sẽ chính xác hơn nếu nói rằng nó dành cho các ngôn ngữ tuyến tính hoặc nói một cách đơn giản rằng con số trung bình sẽ là một phần không đáng kể trong không gian thử thách nói chung.
Vadym Fedyukovych avatar
lá cờ in
@Geoffroy có lẽ ý tưởng "sức mạnh thách thức" này đã được phóng đại từ phía tôi và hầu hết các giao thức Î £ được xuất bản đều là "tuyến tính". Quan điểm của tôi là, đã có một số tiến bộ trong việc thiết kế loại giao thức Σ này để chứng minh quan hệ đa thức trước R1CS/snark days.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.