У статті під назвою "Про заперечення в загальній системі відліку та випадкової моделі Oracle" Рафаель Пас пише:
Зауважимо, що при доведенні безпеки відповідно до стандартного визначення нульових знань у моделі RO [Random Oracle], тренажер має дві переваги перед звичайним модельним симулятором, а саме:
- Симулятор може бачити, на які значення сторони запитують оракул.
- Симулятор може відповідати на ці запити будь-яким способом, який він обрав, поки відповіді "виглядають" ОК.
Перша методика, а саме здатність "контролювати" запити до RO, дуже поширена у всіх роботах, що стосуються концепції нульових знань у моделі RO.
Тепер розглянемо визначення нульових знань чорної скриньки ( PPT розшифровується як імовірнісна поліномальна машина Тьюрінга ):
симулятор PPT S , такий, що ∀ (можливо, обман) верифікатор PPT V ∗ , ∀ загальний вхід x ∈ L і ∀ випадковість r , наступні не відрізняються:
- вигляд під час взаємодії з прихильником Р на вході x та використанням випадковості r ;
- вихід на входах x і r , коли S надається доступ чорного поля до V ∗ .
Тут я хочу виставити верифікатор обману , завдання якого - вичерпати будь-який тренажер, який намагається контролювати RO-запити:
Нехай - тренажер, гарантований екзистенціальним квантором у визначенні нульових знань чорного поля, і нехай q ( | x | ) - поліном, який перевершує час роботи S на вході x . Припустимо, що S намагається контролювати запити V ∗ до RO.
Тепер розглянемо обман , який спочатку запитує RO для q ( | x | ) + 1 раз (на довільних входах за його вибором), а потім діє довільно злісно.
Очевидно, що вичерпує імітатор S . Простий спосіб для S - відкинути таку шкідливу поведінку, але, таким чином, розрізниця може легко відрізнити реальну взаємодію від змодельованої. (Оскільки в реальній взаємодії доказ P не може відслідковувати запити V ' , і, отже, не буде відхиляти, виходячи із простого факту, що V ' запитує занадто багато.)
Яке вирішення вищезазначеної проблеми?
Редагувати:
Хорошим джерелом для вивчення ЗК в моделі РО є:
Мартін Гагне, Дослідження моделі випадкового оракула, к.т.н. Дисертація, Каліфорнійський університет, Девіс , 2008, 109 с. Доступно на ProQuest: http://gradworks.umi.com/33/36/3336254.html
Зокрема, він дає визначення чорної коробки ZK у моделі RO в розділі 3.3 (стор. 20), віднесеної до Юнга та Чжао: