Theo như tôi biết, bạn đã có điểm. "Tua lại" chỉ là chiến lược "nhìn về phía trước" có thể thực hiện được bằng quyền truy cập tiên tri của trình giả lập vào trình xác minh
Nó thường được gọi là "siêu năng lực" bởi vì đó là khả năng mà Prover không có trong quá trình thực thi giao thức thông thường, nếu không, tính hợp lý có thể bị tổn hại (vì trình mô phỏng có thể tạo ra bản ghi tương tác thuyết phục mà không cần biết bất cứ điều gì, nên nó có thể mạo danh một hành vi gian lận chứng minh giả vờ chứng minh một tuyên bố sai)
Về thực tế là mô phỏng chính xác là thứ mà người xác minh có thể làm một mình, điều đó đúng: người giả lập không biết gì để chứng minh ZKness, và ai là ứng cử viên sáng giá hơn Người xác minh cho vai trò của một người không biết?!
CHỈNH SỬA ĐỂ TRẢ LỜI NHẬN XÉT SAU:
Trong chương 6 của Hướng dẫn về nền tảng của mật mã học (Springer) Yehuda Lindell viết:
Đầu tiên, người ta có thể thắc mắc làm thế nào có thể tua lại trình xác minh “về mặt kỹ thuật” Trên thực tế, khi xem xét kiến thức về hộp đen bằng 0, điều này là không đáng kể. Cụ thể, trình mô phỏng được cấp quyền truy cập tiên tri vào chức năng thông báo tiếp theo V*(x, z, r, ·) của trình xác minh. Điều này có nghĩa là nó cung cấp bản ghi m' = (m1, m2, . . . . . ) của tin nhắn đến và nhận lại tin nhắn tiếp theo được gửi khi V* có đầu vào x, đầu vào phụ z, băng ngẫu nhiên r và tin nhắn đến m'
vì vậy, đây chỉ là tin nhắn tiếp theo, không phải toàn bộ bản ghi kết quả khi kết thúc tương tác (nếu đây là nghi ngờ của bạn).
Với định nghĩa đã nói ở trên về chức năng tin nhắn tiếp theo (trong đó thử thách của người chứng minh thuộc về các tin nhắn mà người xác minh đã nhận trước đó), "cách hiển nhiên" của bạn đối với tôi có vẻ sai đối với người xác minh chung chung (còn gọi là có khả năng gian lận) V*.
Nếu trình xác minh là trung thực (do đó, thử thách là "ngẫu nhiên" một cách trung thực - ngay cả khi không nhất thiết phải được phân phối đồng đều), bạn có thể chỉ cần hoàn nguyên thứ tự mà trình giả lập nhận được thông báo (vì vậy đầu tiên là kết quả, sau đó thử thách, sau đó là cam kết): BTW, đó là chiến lược để chứng minh rằng giao thức nhận dạng Schnorr là HVZKP (bỏ qua - vì mục đích đơn giản - rằng chúng ta đang xử lý các bản phân phối chứ không chỉ các giá trị thực tế).
Nhưng nếu chúng ta phải đối phó với một người xác minh có khả năng gian lận V* (và đó là trường hợp giả định trong phần 8.7 của bài giảng của bạn), có thể các thử thách là chức năng của các cam kết, vì vậy chúng không độc lập lẫn nhau, vì vậy chiến lược tốt nhất của bạn là thử tất cả các kết quả cho đến khi bạn tìm thấy cái hợp lệ (hoặc, theo quan điểm bài giảng của bạn, đưa ra kết quả, bạn bắt đầu thử tất cả các cam kết cho đến khi hàm tạo ra thử thách "đúng")... dù sao thì bạn cũng phải kiểm tra một số trường hợp tăng theo cấp số nhân nếu bạn chỉ có một bậc tự do, vì vậy Trình mô phỏng PPT không thể xử lý nó, hay còn gọi là ZK không được chứng minh:
Điều này có nghĩa là sau khi trình mô phỏng tua lại, toàn bộ giao thức sẽ bắt đầu lại từ đầu. Điều này ngụ ý rằng số lần tua lại dự kiến là theo cấp số nhân và chúng tôi không thể xây dựng trình mô phỏng PPT, ngụ ý rằng chúng tôi không thể chứng minh thuộc tính không kiến thức.
Vì vậy, không có gì mâu thuẫn giữa định nghĩa tua lại ở trên và kết luận của đoạn đầu tiên trong phần 8.7 của bài giảng của bạn.
Tôi thừa nhận rằng tôi chưa nghĩ nhiều về lý do tại sao một trình giả lập phải là PPT và không thể - giả sử - không bị giới hạn về mặt tính toán, ít nhất là về nguyên tắc: Tôi muốn nghe ý kiến của những người khác về điều đó.
Trong khi đó, những phỏng đoán được giáo dục của tôi là:
- "chúng tôi coi những nhiệm vụ khó thực hiện mà máy PPT không thể thực hiện được" (Goldreich, Foundation of Cryptography Tập I trang 19)
- đối với bất kỳ mục đích sử dụng thực tế nào, chúng tôi luôn bị hạn chế sử dụng các thực thể hiệu quả (bao gồm cả các bộ chứng minh, ngay cả khi về mặt lý thuyết không có vấn đề gì khi coi chúng là không giới hạn)
- sự tồn tại của một trình mô phỏng là điều kiện đủ nhưng không cần thiết đối với ZK, do đó, việc sử dụng mô hình này đồng nghĩa với việc thiếu bất kỳ giả định toàn diện nhất nào: trong trường hợp này, có vẻ như có thể chấp nhận được việc sử dụng một định nghĩa quá thận trọng