Де помилка в методі Блюма-Фельдмана-Мікалі

Blum, Micali та Feldman (BFM) висунули нову (криптографічну) модель, в якій всі сторони (чесні чи змагальні) мають доступ до якоїсь строки. Припускається, що рядок вибирається відповідно до деякого розподілу (як правило, рівномірного розподілу) довіреною стороною. Він називається опорним рядком , а модель влучно називається моделлю загальної опорної рядки (CSR).

Модель дозволяє виконувати безліч цікавих інтерактивних протоколів неінтерактивно , замінюючи запити бітами з опорного рядка. Зокрема, докази нульових знань для будь-якої мови НП можуть вестися неінтерактивно, що породить поняття неінтерактивного нульового знання (NIZK).

NIZK має безліч застосувань, таких як надання методу реалізації криптосистем з відкритим ключем, захищених від (адаптивних) атак з обраним шифротекстом .

BFM вперше довів існування одномоментної версії NIZK для кожної мови NP ; що, з огляду на посилання рядок і мову , можна довести лише одну теорему виду . Крім того, довжина теореми обмежена у. Якщо дослідник спробує повторно використати деякі шматочки у наступних доказів, існує небезпека витоку знань (і доказ більше не буде NIZK).$\rho$$L \in \bf{NP}$$x \in L$$|\rho|$$\rho$

Щоб виправити це, BFM використовувала мультитеоремну версію, засновану на одно теоремі NIZK. З цією метою вони використовували псевдовипадковий генератор для розширення , а потім використовували розширені біти. Є ще деякі деталі, але я не збираюсь копати.$\rho$

Фейге, Лапідот і Шамір (у першій виносці на першій сторінці своєї статті) заявили:

Метод, запропонований в BFM для подолання цієї складності, виявився недоліком.

( Складність стосується отримання доказів багато теорем, а не одно теоремних.)

Де криється недолік BFM?

Я не читав подробиці їх помилкового протоколу, але чув про це кілька разів. Моє враження було, що їх помилка полягала в тому, як вони використовували насіння PRG. Їх протокол ставить насіння генератора псевдовипадкових (PRG) у загальну загальну довідкову рядок, і вони намагаються стверджувати, що безпека PRG змушує деяку статистичну властивість виходу PRG зберігати навіть із відомим початком. Хоча це можливо зробити обгрунтовано (схеми підписів Гогенбергера та Уотерс тут і тут спадають на думку), в їх аргументі щось пішло не так.