Мінімальна вартість спілкування за нульові докази знань з трьох кольорових кольорів

11

Доказ Goldreich та ін. Про те, що три кольоровості мають нульові докази знань, використовує бітове зобов'язання для цілого колорування графіка в кожному раунді [1]. Якщо графік має вершин і ребер, захищений хеш має бітів, і ми шукаємо ймовірність помилки , загальна вартість зв'язку становить $n$ $e$ $b$ $p$

О (б е н журнал (1 / p))

$O(ben \log(1/p))$

над раундами. Використовуючи поступово розкрите дерево Меркле, загальний зв'язок можна зменшити до за рахунок збільшення кількості раундів до . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

Чи можна зробити краще, ніж це, або в плані загальної комунікації чи кількості раундів?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Редагувати : Дякую Рікі Демер за вказівку пропущеного фактора . $e$

communication-complexity zero-knowledge

— Джеффрі Ірвінг
джерело

3

Тож ось правильний папір для моїх цілей:

Джо Кіліан, "Примітка про ефективні докази та аргументи з нульовим знанням". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Щоб отримати найсильніший результат, нам потрібно прийняти нульові аргументи знань, а не докази (обчислювально обмежений доказ); це те, що мене цікавить, але не знав термінології.

Припускаючи достатню кількість криптографічних припущень, у статті наведено нульові аргументи знань із загальним зв’язком для . $O(b \log^c n \log (1/p))$ $c = O(1)$

Цей результат підтягується до раундів, виконаними Ishai et al., "Про ефективні ПК з нульовим знанням", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf . $O(1)$

— Джеффрі Ірвінг
джерело

Я думаю, що краще видалити цю відповідь та оновити оригінальну, щоб вона була правильною.

— Каве

2

Оновлення : Ця відповідь застаріла в моїй іншій відповіді з повністю полілогіармічними межами відповідних посилань.

По-друге, немає необхідності розкривати дерево Merkle поступово, тому нижня версія зв'язку не потребує додаткових раундів. Кроки спілкування є

Доказ P рандомізує своє забарвлення, перетворює його на (солоне) дерево Меркла та надсилає корінь перевіряючому В.
V підбирає випадковий край і посилає його до P. $e$
P посилає стежки дерева Меркле від кореня до кожної кінцевої точки до V. $e$

Це дає зв’язок через раунди. $O(be \log n \log (1/p))$ $O(1)$

Оновлення: Ось деталі конструкції дерева Меркле. Для простоти розгорніть графік, щоб він мав рівно вершини, додавши кілька роз'єднаних вузлів (це не впливає на три кольори або нульові знання). Припустимо безпечну хеш-функцію, яка приймає будь-який розмір вводу та виробляє бітові виходи. Для кожного дерева Меркле довідник вибирає випадкових бітів, по одному для кожного аркуша та неопущеного бінарного дерева. На листках у нас є хеш-колір, зв'язаний з нонсом, щоб створити цінність листя. У кожному нелісі ми хешируємо значення двох дочірніх знаків, не маючи на увазі неліф, щоб отримати значення нелісових. $2^a$ $b$ $2^{a+1}-1$ $b$

У першому раунді довідник надсилає лише значення "root", яке не дає інформації, оскільки воно хешируется з коренем "root". У третьому раунді не передається жодна інформація про будь-який нерозгорнутий вузол у двійковому дереві, оскільки такий вузол був хеширован без позначення у цьому вузлі. Тут я припускаю, що довідник і верифікатор є обчислювально обмеженими і не можуть зламати хеш.

Редагувати : Дякую Рікі Демер за вказівку пропущеного фактора . $e$

— Джеффрі Ірвінг
джерело

Етап 1 дасть верифікатору спосіб з високою точністю перевірити будь-яку здогадку на забарвлення дослідника, використовуючи лише 6 разів роботу кроку перевірки-1 на здогадку.

$\:$ Крім того, я не бачу жодного способу використання дерева Меркле, обчисленого прислівником, не переходячи від доказу до аргументу .

$\;\;\;\;$

Як можна солоне дерево Меркла використовувати для здогадки при розфарбовуванні?

— Джеффрі Ірвінг

1

Я опублікував відповідь, в якій говорив, чому я думаю, що солена ідея Меркле дерева не працює.

$\:$ Натомість слід перетворити зобов’язання щодо рандомізації кольорів у дерево Меркла.

$\:$ Я також зауважую, що вам здається, що у складності спілкування вам не вистачає коефіцієнта число_файли.

$\hspace{.48 in}$

1

Що ж, можна врахувати обіцянку про те, що завдання є або дійсним 3-кольоровим кольором, або [принаймні, принаймні

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ краї мають одноколірні вершини].

$\;\;\;$ Це зменшує складність спілкування

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (продовження ...)

1

(... продовження)

$\;\;\;$ Потім можна застосувати механізм PCP, щоб зменшити стандартне 3-кольорове відношення до цього відношення обіцянки.

$\;\;\;$ Потім, використовуючи цю ідею до кінця, наводимо універсальні аргументи з нульовим знанням .

$\;\;\;\;\;\;\;\;$

1

Нещодавно зросла активність у стислих неінтерактивних аргументах нульових знань. Відомо, як, наприклад, побудувати аргумент NIZK для Circuit-SAT, де довжина аргументу є дуже малою постійною кількістю елементів групи (див. Groth 2010, Lipmaa 2012, Gennaro, Gentry тощо, Eurocrypt 2013 тощо). На основі скорочення NP ви зможете чітко побудувати аргумент для 3-кольоровості з однаковою комунікацією.

Звичайно, це інша модель порівняно з вашим початковим запитанням - наприклад, у цих аргументах довжина CRS лінійна за розміром ланцюга, і в деякому сенсі може вважатися частиною зв'язку (хоча її можна повторно використовувати в багато різних аргументів).

— криптовалюта
джерело

0

(Це не входить у коментар.)

Я думаю, я тепер бачу, як показати, що ваше засолювання не обов'язково забезпечує
чесний перевіряючий нульовий рівень знань. $\:$ Нехай - безпечний хеш. $H_0$ $\:$ Якщо ми знаємо,
що вже може обробляти входи довільної довжини, то нехай дорівнює , інакше нехай є результатом застосування конструкції Меркле – Дамгарда до . (Зверніть увагу, що являє собою конкатенацію.) $H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ Нехай буде таким, що для всіх 3-бітних рядків і для всіх $H_2$

$x$ $z$ -біт $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ рядки , для рядка такий, що $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
один має $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$ .

і

для всіх 3-бітних рядків , для всіх солей $x$ $r\hspace{-0.02 in}$ , для рядка що є результатом засолювання з $m$ $x$ $r\hspace{-0.02 in}$ , Якщо є не вид на ім'я вище , то $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$ .

і

для всіх рядків які не мають жодної з цих двох форм, $m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

Оскільки в кожному випадку бере участь у тому самому місці, будь-яке зіткнення також є зіткненням . $H_1$ $H_2$ $H_1$ $\:$ За умови безпеки Меркле-Дамгарда, будь-яке зіткнення в може бути ефективно перетворене на зіткнення . $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Я не впевнений, що я слідую за вашими позначеннями, але, здається, ви сперечаєтесь, що можете взяти мій ескіз і заповнити деталі явно нерозумно, таким чином створивши небезпечну систему. Я додам більш чисту безпечну версію деталей до своєї відповіді.

— Джеффрі Ірвінг

H_{2}

$H_2$

$\:$ Все інше було

$\hspace{1.71 in}$ що я чесно думав, що ти мав на увазі.

$\;\;\;\;$

Будь ласка, дайте мені знати, чи детально додані до моєї відповіді це ясно. Цілком можливо, що мені чогось не вистачає, і моя конструкція справді зламана.

— Джеффрі Ірвінг