Blum, Micali та Feldman (BFM) висунули нову (криптографічну) модель, в якій всі сторони (чесні чи змагальні) мають доступ до якоїсь строки. Припускається, що рядок вибирається відповідно до деякого розподілу (як правило, рівномірного розподілу) довіреною стороною. Він називається опорним рядком , а модель влучно називається моделлю загальної опорної рядки (CSR).
Модель дозволяє виконувати безліч цікавих інтерактивних протоколів неінтерактивно , замінюючи запити бітами з опорного рядка. Зокрема, докази нульових знань для будь-якої мови НП можуть вестися неінтерактивно, що породить поняття неінтерактивного нульового знання (NIZK).
NIZK має безліч застосувань, таких як надання методу реалізації криптосистем з відкритим ключем, захищених від (адаптивних) атак з обраним шифротекстом .
BFM вперше довів існування одномоментної версії NIZK для кожної мови NP ; що, з огляду на посилання рядок і мову , можна довести лише одну теорему виду . Крім того, довжина теореми обмежена у. Якщо дослідник спробує повторно використати деякі шматочки у наступних доказів, існує небезпека витоку знань (і доказ більше не буде NIZK).
Щоб виправити це, BFM використовувала мультитеоремну версію, засновану на одно теоремі NIZK. З цією метою вони використовували псевдовипадковий генератор для розширення , а потім використовували розширені біти. Є ще деякі деталі, але я не збираюсь копати.
Фейге, Лапідот і Шамір (у першій виносці на першій сторінці своєї статті) заявили:
Метод, запропонований в BFM для подолання цієї складності, виявився недоліком.
( Складність стосується отримання доказів багато теорем, а не одно теоремних.)
Де криється недолік BFM?