Мінімальна вартість спілкування за нульові докази знань з трьох кольорових кольорів


11

Доказ Goldreich та ін. Про те, що три кольоровості мають нульові докази знань, використовує бітове зобов'язання для цілого колорування графіка в кожному раунді [1]. Якщо графік має вершин і ребер, захищений хеш має бітів, і ми шукаємо ймовірність помилки , загальна вартість зв'язку становитьe b pnebp

О(бенжурнал(1/p))

над раундами. Використовуючи поступово розкрите дерево Меркле, загальний зв'язок можна зменшити до за рахунок збільшення кількості раундів до .O ( b e log n log ( 1 / p ) ) O ( log n )О(1)О(бежурналнжурнал(1/p))О(журналн)

Чи можна зробити краще, ніж це, або в плані загальної комунікації чи кількості раундів?

  1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Редагувати : Дякую Рікі Демер за вказівку пропущеного фактора .е

Відповіді:


3

Тож ось правильний папір для моїх цілей:

Джо Кіліан, "Примітка про ефективні докази та аргументи з нульовим знанням". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Щоб отримати найсильніший результат, нам потрібно прийняти нульові аргументи знань, а не докази (обчислювально обмежений доказ); це те, що мене цікавить, але не знав термінології.

Припускаючи достатню кількість криптографічних припущень, у статті наведено нульові аргументи знань із загальним зв’язком для .c = O ( 1 )О(бжурналcнжурнал(1/p))c=О(1)

Цей результат підтягується до раундів, виконаними Ishai et al., "Про ефективні ПК з нульовим знанням", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf .О(1)


Я думаю, що краще видалити цю відповідь та оновити оригінальну, щоб вона була правильною.
Каве

2

Оновлення : Ця відповідь застаріла в моїй іншій відповіді з повністю полілогіармічними межами відповідних посилань.

По-друге, немає необхідності розкривати дерево Merkle поступово, тому нижня версія зв'язку не потребує додаткових раундів. Кроки спілкування є

  1. Доказ P рандомізує своє забарвлення, перетворює його на (солоне) дерево Меркла та надсилає корінь перевіряючому В.
  2. V підбирає випадковий край і посилає його до P.е
  3. P посилає стежки дерева Меркле від кореня до кожної кінцевої точки до V.е

Це дає зв’язок через раунди.О(бежурналнжурнал(1/p))О(1)

Оновлення: Ось деталі конструкції дерева Меркле. Для простоти розгорніть графік, щоб він мав рівно вершини, додавши кілька роз'єднаних вузлів (це не впливає на три кольори або нульові знання). Припустимо безпечну хеш-функцію, яка приймає будь-який розмір вводу та виробляє бітові виходи. Для кожного дерева Меркле довідник вибирає випадкових бітів, по одному для кожного аркуша та неопущеного бінарного дерева. На листках у нас є хеш-колір, зв'язаний з нонсом, щоб створити цінність листя. У кожному нелісі ми хешируємо значення двох дочірніх знаків, не маючи на увазі неліф, щоб отримати значення нелісових.2аб2а+1-1б

У першому раунді довідник надсилає лише значення "root", яке не дає інформації, оскільки воно хешируется з коренем "root". У третьому раунді не передається жодна інформація про будь-який нерозгорнутий вузол у двійковому дереві, оскільки такий вузол був хеширован без позначення у цьому вузлі. Тут я припускаю, що довідник і верифікатор є обчислювально обмеженими і не можуть зламати хеш.

Редагувати : Дякую Рікі Демер за вказівку пропущеного фактора .е


Етап 1 дасть верифікатору спосіб з високою точністю перевірити будь-яку здогадку на забарвлення дослідника, використовуючи лише 6 разів роботу кроку перевірки-1 на здогадку. Крім того, я не бачу жодного способу використання дерева Меркле, обчисленого прислівником, не переходячи від доказу до аргументу .

Як можна солоне дерево Меркла використовувати для здогадки при розфарбовуванні?
Джеффрі Ірвінг

1
Я опублікував відповідь, в якій говорив, чому я думаю, що солена ідея Меркле дерева не працює. Натомість слід перетворити зобов’язання щодо рандомізації кольорів у дерево Меркла. Я також зауважую, що вам здається, що у складності спілкування вам не вистачає коефіцієнта число_файли.

1
Що ж, можна врахувати обіцянку про те, що завдання є або дійсним 3-кольоровим кольором, або [принаймні, принаймніδе краї мають одноколірні вершини]. Це зменшує складність спілкування О(((бн)/δ)журнал(н)). (продовження ...)

1
(... продовження) Потім можна застосувати механізм PCP, щоб зменшити стандартне 3-кольорове відношення до цього відношення обіцянки.Потім, використовуючи цю ідею до кінця, наводимо універсальні аргументи з нульовим знанням .

1

Нещодавно зросла активність у стислих неінтерактивних аргументах нульових знань. Відомо, як, наприклад, побудувати аргумент NIZK для Circuit-SAT, де довжина аргументу є дуже малою постійною кількістю елементів групи (див. Groth 2010, Lipmaa 2012, Gennaro, Gentry тощо, Eurocrypt 2013 тощо). На основі скорочення NP ви зможете чітко побудувати аргумент для 3-кольоровості з однаковою комунікацією.

Звичайно, це інша модель порівняно з вашим початковим запитанням - наприклад, у цих аргументах довжина CRS лінійна за розміром ланцюга, і в деякому сенсі може вважатися частиною зв'язку (хоча її можна повторно використовувати в багато різних аргументів).


0

(Це не входить у коментар.)

Я думаю, я тепер бачу, як показати, що ваше засолювання не обов'язково забезпечує
чесний перевіряючий нульовий рівень знань.Нехай - безпечний хеш.H0Якщо ми знаємо,
що вже може обробляти входи довільної довжини, то нехай H 1 дорівнює H 0 , інакше нехай H 1 є результатом застосування конструкції Меркле – Дамгарда до H 0 . (Зверніть увагу, що | | являє собою конкатенацію.)H0H1H0
H1H0
||Нехай буде таким, що для всіх 3-бітних рядків x і z для всіхH2


хz -біт((3б)+6)рядки , для рядка m такий, щоу
мм=х||111 ...[б їх]...111||у||z,
один маєН2(м)=х||111 ...[б їх]...111||Н1(м)||z.

і

для всіх 3-бітних рядків , для всіх солей rхr, для рядка що є результатом засолювання х з rмхr, Якщо є не вид на ім'я вище , том
Н2(м)=х||111 ...[б їх]...111||Н1(м)||х.

і

для всіх рядків які не мають жодної з цих двох форм, H 2 ( m )м
[ бН2(м)=
[б+3 біти, значення яких не мають значення]||Н1(м)||[3 біти, значення яких не мають значення].


.



Оскільки в кожному випадку бере участь у тому самому місці, будь-яке зіткнення H 2 також є зіткненням H 1 .Н1Н2Н1За умови безпеки Меркле-Дамгарда, будь-яке зіткнення в може бути ефективно перетворене на зіткнення H 0 .Н1
Н0Н0Н2


1/(2(б-1))


Я не впевнений, що я слідую за вашими позначеннями, але, здається, ви сперечаєтесь, що можете взяти мій ескіз і заповнити деталі явно нерозумно, таким чином створивши небезпечну систему. Я додам більш чисту безпечну версію деталей до своєї відповіді.
Джеффрі Ірвінг

Н2 Все інше було що я чесно думав, що ти мав на увазі.

Будь ласка, дайте мені знати, чи детально додані до моєї відповіді це ясно. Цілком можливо, що мені чогось не вистачає, і моя конструкція справді зламана.
Джеффрі Ірвінг
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.