Điểm:3

Crypto

Làm thế nào để làm bằng chứng không phải là thành viên cho một giá trị cam kết?

user77340

14:24, 04/08/2023

Giả sử rằng người xác minh được đưa ra ba cam kết $C_i=g^{m_i}h^{r_i}, i=1,2,3$. Bây giờ một người tục ngữ biết $m_i, r_i, i=1,2,3$ muốn chứng minh $m_3\neq m_1\nêm m_3\neq m_2$. Cụ thể mối quan hệ như sau: $\{(m_i,r_i), i=1,2,3|C_i=g^{m_i}h^{r_i}\wedge m_3\neq m_1\wedge m_3\neq m_2)\}$. Một quan hệ tổng quát có thể được viết như sau: $\{(m_i,r_i), i=1,2,..,n|C_i=g^{m_i}h^{r_i}, i=1,2,...,n\wedge m_n\notin\ {m_1,m_2,...,m_{n-1}\})\}$. Có một hệ thống bằng chứng có thể chứng minh mối quan hệ tổng quát như vậy? Một giải pháp tầm thường có thể chỉ là làm $n-1$ lần chứng minh bất đẳng thức. Có cách tiếp cận nào đơn giản hơn không? Bất kỳ tài liệu tham khảo? Cảm ơn.

0 + 0

zero-kiến thức-bằng chứng

Điểm:2

Crypto

knaccc

18:55, 04/08/2023

Nếu bạn chỉ quan tâm đến việc làm mờ cam kết (để ngăn chặn hành vi vũ phu) và không cần các cam kết đồng hình bổ sung, bạn có thể thực hiện các thao tác sau:

Người tục ngữ có một cặp chìa khóa $(x, X=xG)$, và công bố khóa công khai $X$.

Đối với mỗi thành viên của tập hợp, câu tục ngữ xuất bản:

$C_i=H_p(m_i) + r_iG$, ở đâu $H_p(m_i)$ có nghĩa là để băm $m_i$ và giải thích kết quả là một điểm EC hợp lệ.
$D_i=xH_p(m_i)$
$E_i=xC_i$
Một bằng chứng DLEQ rằng $X$ và $E_i$ chia sẻ cùng khóa riêng $x$ trên các điểm $G$ và $C_i$
Chữ ký cho khóa công khai $(E_i-D_i)$ trên máy phát điện $G$.

Lưu ý rằng $E_i-D_i==xH_p(m_i)+xr_iG-xH_p(m_i)==xr_iG$.

Chứng minh DLEQ (mục 4) sẽ chứng minh rằng $E_i$ đã được tính toán hợp lý. Những gì chúng ta đang làm ở đây là sử dụng hàm giả ngẫu nhiên có thể kiểm chứng (VPRF) mà chỉ người chứng thực mới có thể truy vấn nhưng bất kỳ người quan sát nào cũng có thể xác minh.

Chữ ký (mục 5) sẽ chỉ có thể thực hiện được nếu $D_i$ cũng đã được tính toán chính xác, vì chữ ký sẽ chỉ có thể thực hiện được trên trình tạo $G$ nếu không có $H_p()$ thành phần còn lại (vì nhật ký rời EC w.r.t. $G$ không thể biết được đối với bất kỳ đầu ra nào của $H_p()$).

Kết quả cuối cùng là chúng tôi đã tạo một đầu ra VPRF $D_i$ cho mỗi tin nhắn $m_i$và chứng minh rằng mỗi đầu ra VPRF đã được khai báo chính xác.

Bây giờ sẽ rõ ràng ngay lập tức nếu có bất kỳ cam kết nào đối với cùng một thông điệp, vì chúng sẽ chia sẻ cùng một $D_i$ các giá trị.

0 + 0

user77340

22:50, 04/08/2023

ồ, đây là ý tưởng về giao dịch vòng bí mật (RingCT)! Có vẻ như điều này là chính xác. Cảm ơn!

Hồi đáp

user77340

08:00, 05/08/2023

Tôi có thể hỏi một câu được không? Đối với chữ ký ở bước 5, ý của bạn là chứng minh kiến thức về nhật ký rời rạc của Ei-Di trên trình tạo H?

Hồi đáp

knaccc

09:12, 05/08/2023

@ user77340 vâng, chính xác

Hồi đáp

user77340

14:20, 05/08/2023

câu trả lời là không được chấp nhận.

Hồi đáp

user77340

01:05, 06/08/2023

vấn đề là gì nếu chúng ta chỉ sử dụng $D_i=xm_iG$? Có cuộc tấn công nào không? Tôi không thấy có vấn đề gì khi chứng minh Cam kết của Pedersen giống $m_i$ với $D_i$.

Hồi đáp

knaccc

01:29, 06/08/2023

@user77340 Vấn đề là nếu có hai thông báo đã biết, $m_a$ và $m_b$, có thể xuất hiện trong tập hợp, thì bạn có thể tính toán $c=m_a/m_b$ rồi kiểm tra xem có bất kỳ cặp $D_i nào không $ các giá trị trong đó tỷ lệ giữa chúng là $c$. Do đó, bạn hoàn tác thuộc tính ẩn/làm mù của các cam kết Pedersen

Hồi đáp

user77340

03:28, 06/08/2023

Tôi hiểu rồi. Tôi có thể nói rằng cuộc tấn công này chỉ có thể hoạt động nếu có bất kỳ tin nhắn nào bị rò rỉ không? Hoặc nếu chúng ta có thể cho rằng các tin nhắn sẽ không bị rò rỉ, thì cũng có thể để $D_i=xm_iG$? Vì $D_i=xm_iG$ đơn giản hơn nên nó được ưu tiên hơn.

Hồi đáp

knaccc

10:56, 06/08/2023

@ user77340 Lý do mà Cam kết Pedersen cần yếu tố che khuất $r_i$ là để ngăn ai đó phát hiện ra thông báo bằng cách cưỡng bức cam kết. Do đó, sẽ không có ý nghĩa gì nếu gặp rắc rối khi có một cam kết của Pedersen sử dụng yếu tố gây mù để ngăn chặn hành vi cưỡng bức vũ phu, chỉ để sau đó giới thiệu lại khả năng sử dụng vũ lực thông qua đầu ra $D_i$ VPRF.

Hồi đáp

user77340

00:57, 07/08/2023

ok, tôi thấy, cảm ơn!

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to do a non-membership proof for a committed value?

TH: จะทำการพิสูจน์การไม่เป็นสมาชิกเพื่อยืนยันมูลค่าได้อย่างไร?

RO: Cum se face o dovadă de non-membri pentru o valoare angajată?

RU: Как сделать доказательство отсутствия членства для зафиксированного значения?

VI: Làm thế nào để làm bằng chứng không phải là thành viên cho một giá trị cam kết?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.