Виснажливий імітатор протоколів нульових знань у моделі випадкового Oracle


13

У статті під назвою "Про заперечення в загальній системі відліку та випадкової моделі Oracle" Рафаель Пас пише:

Зауважимо, що при доведенні безпеки відповідно до стандартного визначення нульових знань у моделі RO [Random Oracle], тренажер має дві переваги перед звичайним модельним симулятором, а саме:

  1. Симулятор може бачити, на які значення сторони запитують оракул.
  2. Симулятор може відповідати на ці запити будь-яким способом, який він обрав, поки відповіді "виглядають" ОК.

Перша методика, а саме здатність "контролювати" запити до RO, дуже поширена у всіх роботах, що стосуються концепції нульових знань у моделі RO.

Тепер розглянемо визначення нульових знань чорної скриньки ( PPT розшифровується як імовірнісна поліномальна машина Тьюрінга ):

симулятор PPT S , такий, що (можливо, обман) верифікатор PPT V , загальний вхід x L і випадковість r , наступні не відрізняються:SVxLr

  • вигляд під час взаємодії з прихильником Р на вході x та використанням випадковості r ; VPxr
  • вихід на входах x і r , коли S надається доступ чорного поля до V . SxrSV

Тут я хочу виставити верифікатор обману , завдання якого - вичерпати будь-який тренажер, який намагається контролювати RO-запити:V

Нехай - тренажер, гарантований екзистенціальним квантором у визначенні нульових знань чорного поля, і нехай q ( | x | ) - поліном, який перевершує час роботи S на вході x . Припустимо, що S намагається контролювати запити V до RO.Sq(|x|)SxSV

Тепер розглянемо обман , який спочатку запитує RO для q ( | x | ) + 1 раз (на довільних входах за його вибором), а потім діє довільно злісно.Vq(|x|)+1

Очевидно, що вичерпує імітатор S . Простий спосіб для S - відкинути таку шкідливу поведінку, але, таким чином, розрізниця може легко відрізнити реальну взаємодію від змодельованої. (Оскільки в реальній взаємодії доказ P не може відслідковувати запити V ' , і, отже, не буде відхиляти, виходячи із простого факту, що V ' запитує занадто багато.)VSSPVV

Яке вирішення вищезазначеної проблеми?

Редагувати:

Хорошим джерелом для вивчення ЗК в моделі РО є:

Мартін Гагне, Дослідження моделі випадкового оракула, к.т.н. Дисертація, Каліфорнійський університет, Девіс , 2008, 109 с. Доступно на ProQuest: http://gradworks.umi.com/33/36/3336254.html

Зокрема, він дає визначення чорної коробки ZK у моделі RO в розділі 3.3 (стор. 20), віднесеної до Юнга та Чжао:

Моті Юнг та Юнлей Чжао. Інтерактивні нульові знання з обмеженими випадковими оракулами. « Теорія криптографії» - TCC 2006 , LNCS 3876, с. 21-40, 2006.


Я думаю, ви можете означати "вичерпний", а не "виснажливий".
Дейв Кларк

Дозволю собі не погодитися. Я мав на увазі, що знайшов спосіб "виснажити" тренажер протоколів ZK ... Не існує такого поняття, як "вичерпний" симулятор.
MS Dousti

Моє ліжко. Я читаю вичерпно як прикметник, а не дієслово.
Дейв Кларк

Відповіді:


10

Виникає питання, чому варто було б визначити чорну скриньку ZK у випадковій моделі oracle. Принаймні дві причини, через які люди пропонували визначення нульових знань чорного поля:

poly(|x|)time(V)poly(time(V))VVVV

poly(time(V))V типово алгоритм фіксованого полінома, який виконує деякі псевдовипадкові функції, тоді як тренажер може мати будь-який час роботи полінома.


1
V

Перегляньте відредаговане запитання для деяких посилань.
MS Dousti

1
VV

1
Я затримав відповідати на ваш коментар, оскільки хотів прочитати більше. Зокрема, я прочитав статтю Юнга та Чжао (цитовану вище) і зазначив, що вони використовували чорну скриньку ZK в моделі RO для позитивного результату, тоді як ви сказали, що "не має сенсу говорити, що модель з випадковим оракулом тренажер - "чорний ящик". " Чи є їхній результат філософськи проблематичним, чи ми повинні послабити визначення чорного поля?
MS Dousti

4

Ось мій погляд на проблему. Я нещодавно не читав жодних робіт, які стосуються нульових знань чорної скриньки у моделі випадкового оракула (RO), тому я просто здогадуюсь, що вони означають, а не те, що там написано. Коротка відповідь (здогадка) полягає в тому, що BB-ZK в моделі RO повинен дозволити тренажеру працювати в часі поліном у | x | і кількість RO-запитів, виданих V *, верифікатором обману.

Спробуємо виправдати цю здогадку. Початкове зауваження полягає в тому, що термін «докази нульових знань чорного поля у випадковій моделі оракула» потребує більш детального вивчення, щоб правильно визначити. Симулятори чорних ящиків визначені для роботи з будь-яким оракулом (тобто верифікатором обману як чорною скринькою), і їх єдиний інтерфейс здійснюється через вхід / вихід oracle. Якщо ми просто розширимо цю модель, щоб дати RO всім сторонам (можливо, дозволяючи їх схемам мати ворота RO), тоді ми отримаємо модель, де тренажер не може запрограмувати RO - на запит oracle, все (включаючи запити RO) відбувається "всередині" Oracle Oracle, і тоді він повертає своє наступне повідомлення. Якщо ми хочемо дозволити програмування RO, тоді нам потрібно змінити інтерфейси: симулятор тепер отримує вхідний / вихідний оракул для V *, а не випадковий оракул. Під час кожного дзвінка до Oracle O * замість того, щоб видавати наступне повідомлення, oracle може замість цього виробляти наступний запит до RO, і тренажер може надати йому відповідь RO, викликаючи оракул ще раз. Тепер це дозволяє програмування RO, і ми також можемо дозволити час роботи симулятора залежати від кількості запитів до RO.

Будь-яке подальше вивчення значення цих визначень залишається читачеві. Я синтаксично думаю.


1
Дякую за відповідь Девід. Незалежно від здатності тренажера програмувати РО, він повинен мати можливість «контролювати» їх. Отже, кожен запит на оракул з V * витрачає час М принаймні на час. Ваша велика ідея - змінити модель, щоб "пускати тренажер у поліномію часу у | x | та кількість RO запитів, виданих V *." Це не стандартна модель, але я вважаю це розумним рішенням. Але я думаю, що "гіганти" в громаді повинні спочатку визнати справжність такої моделі ...
MS Dousti

1
Чи можете ви навести джерело, яке точно визначає "стандартну модель"? (Цей термін часто використовується як синонім "жодних випадкових оракул або інших подібних модифікацій немає в моделі обчислення", але я не думаю, що це саме ви мали на увазі.) Моє сподівання полягає в тому, що я накреслив визначення того, що вважатиметься стандартним, а якщо ні, то ми можемо це зрозуміти без будь-яких "гігантів", які активно засвідчують наші міркування.
Девід Кеш

1
Звичайно, під "стандартною моделлю" я мав на увазі "стандартне визначення" ZK під моделлю RO. Ви можете посилатися на статтю Рафаеля Пасса (цитовану у запитанні), або його магістерську дисертацію (під назвою "Альтернативні варіанти доказів нульових знань"), або на документ Ві у "AsiaCrypt 2009" ("Нульові знання в моделі випадкового Oracle, переглянуті") . Жоден з них не визначав "чорну скриньку" ZK у моделі RO (всі вони згадували допоміжний вхід ZK), хоча жоден із них не згадував "поліном часу, що працює у | x | та кількість запитів RO, виконаних V *". Отже, я думаю, ви пропонуєте нове визначення (Google it!)
MS Dousti

Перегляньте відредаговане запитання для деяких посилань.
MS Dousti
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.