Чому Feige-Fiat-Shamir не має нульових знань без знакових бітів?

У главі 10 HAC (10.4.2) ми бачимо відомий протокол ідентифікації Feige-Fiat-Shamir, заснований на доказі нульових знань, використовуючи (імовірну) складність вилучення квадратних корінців за модулем композиту, який важко врахувати. Я наведу схему власними словами (і, сподіваюся, правильно).

Почнемо з більш простої схеми: нехай є цілим числом Блума (тому і кожен з і - 3 mod 4) досить великого розміру, що факторинг не може бути дозволений. Оскільки - ціле число Блума, половина елементів мають символ Якобі +1, а інша половина -1. Для елементів +1 половина має квадратні корені, а кожен елемент, що має квадратний корінь, має чотири з них, точно один - сам квадрат. $n$ $n=pq$ $p$ $q$ $n$ $Z_n^*$

Тепер Пеггі вибирає випадковий елемент із і встановлює . Потім вона посилає Віктору. Далі це протокол: Віктор хоче перевірити , що Пеггі знає квадратний корінь з і Пеггі хочуть довести йому , НЕ розголошуючи нічого про поза то , що вона знає , що такі . $s$ $Z_n^*$ $v=s^2$ $v$ $v$ $s$ $s$

Пеггі вибирає випадковий у і посилає Віктору. $r$ $Z_n^*$ $r^2$
Віктор однозначно надсилає або назад до Пеггі. $b=0$ $b=1$
Пеггі відправляє до Віктора. $rs^b$

Віктор може переконатись, що Пеггі надіслала правильну відповідь, підрахувавши отримане та порівнявши правильний результат. Звичайно, ми повторюємо цю взаємодію, щоб зменшити ймовірність того, що Пеггі просто щасливий здогад. Цей протокол вважається ZK; доказ можна знайти в різних місцях (наприклад, конспекти лекцій Боаза Барака ).

$k$ $s_1\cdots s_k$ $t_1 = \pm 1, \cdots t_k = \pm 1$ $v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$ $v_i$

Пеггі вибирає випадковий r у Z ∗ n і посилає r 2 $r$ $Z_n^*$ $r^2$
$k$ $b_i$ $\{0,1\}$
$r\Pi_{i=1}^ks_i^{b_i}$

$t_i$

Я не можу знайти атаку, яка витягує що-небудь з Пеггі, якщо вона пропускає знаки.

cr.crypto-security proofs zero-knowledge

— Фікс
джерело

Протокол ідентифікації Feige-Fiat-Shamir (FFS) є доказом знань (PoK), в якому доказчик (Peggy) доводить свої знання квадратним корінням даного входу для перевірки (Victor).

FFS хочуть дискримінувати PoK від доказів мовної приналежності , в яких Пеггі доводить, що вхід має певну властивість (формально, вхід належить певній мові).

Якщо ми не використовуємо негативні ознаки, можливо, вхідні дані не мають квадратного кореня. Наприклад, число 20 не має жодних квадратних коренів мод 21. Оскільки розмежування квадратів і неквадратів є відомою важкою проблемою , FFS уникає цього, дозволяючи введенню бути плюсом або мінусом деякого числа у квадраті. У своїх власних словах (трохи змінився):

$v_i$ $v_i$ $+1 \bmod n$ $s_i$ $v_i$

Під необмеженим введенням доказів з нульовим знанням знань вони означають ZK PoK, відповідне підтвердження належності до мови є тривіальним; тобто V може сам вирішити, що вхід є плюсом або мінусом якогось квадрата (просто перевіривши символ Якобі).

— М. С. Дусті
джерело

Дякую за відповідь, але я все одно не дотримуюся: без знаків символ Якобі - +1. З знаками символ Якобі - +1. Ви кажете вище, "якщо ми не використовуємо негативні знаки, можливо, вхідні дані не мають квадратного кореня". Як це можливо? Вхідні дані для верифікатора - це список квадратів, які (якщо чесний доказ) завжди мають квадратне коріння.

— Fixee

Друге питання: ви говорите, що знаки є лише для того, щоб пройти доказ? Або є фактична атака, якщо вони опущені?

— Fixee

@Fixee: Припустимо, що підманник, який обирає свої відкриті ключі ( ) не відповідно до протоколу; скажімо випадкове значення, символом якого є Jaccobi +1. Перевірявач (поганий) не може сказати, чи мають квадратні корені чи ні. Єдиний спосіб - запустити протокол і отримати допомогу від довідника. Тобто, доказчик одночасно доводить свої знання про , і надає доказ мовної належності (тобто належить до QR-коду квадратичних залишків.) Чомусь FFS любив відокремлювати цей тип доказів з доказів "необмеженого введення". Я бачу це як просто технічність.

v_{i}

$v_i$

v_{i}

$v_i$

s_{i}

$s_i$

v_{i}

$v_i$

— MS Dousti