PrabhakaranとSahaiによる同時ZK論文に関する質問

対数丸め複雑さを伴う並行ゼロ知識証明

ページ番号は論文自体からのものであり、pdfからのものではありません。


3ページから

「対話型の証明システムは
、確率的多項式時間オラクルマシンが存在 する場合、確率的多項式時間検証器V ∗および$S$
$V^*$$\:x \in L\:$、 入力xでS V ∗
によって生成された出力の分布 は、 相互作用の最後の検証者のビュー（P 、V ）（x ）から計算上区別できません 。$S^{V^*}$$x$
$(P,V)(x)$

彼らが意味すると思います $\:\left(P,V^*\right)(x)\:$最後に、そうでなければ、これ
は正直な検証者計算ゼロ知識を定義するだけです。

7ページから

「すべてのセッションが
終了するまで（または検証ツールが終了するまで）シミュレーターが中断しない場合、 その時点で検証ツールのビューが出力されます。」

8ページの第3段落から

「深度カウンターが葉の1レベル上にあることを示している場合、
シミュレーターは次の2つのプリアンブルメッセージを待つ必要があります。つまり、
2つの葉を通過してから 戻る必要があります。このため、シミュレーターは変更を続けます。
2つのプリアンブルメッセージが到着するまで、（変更された）証明者と検証者を実行させることによる現在のビュー 。」

その段階で の証明者のメッセージは統計的に拘束力のある約束であるので、これはうまくいかないように私には思えます 。

しましょう $\: p: \omega \to \omega \:$オラクルクエリの数を制限する多項式である$S$$V^*$$\:$使用されている統計的に拘束力のあるコミットメント方式
は、どのコミットメントがおよその確率を持つ述語を計算することが容易であるようなものであると仮定します$\: \frac1{2\cdot p(k)} \:$（たとえば、Naorコミットメントまたは単射疑似ランダムジェネレーターからのコミットメント）$\:$$V_1$
$\;\;$ の確率 $\:\left(P,V_1\right)(x)\:$ 成功は明らかにおよそです $\: \frac1{2\cdot p(k)} \:$、 $\:$
$S^{V_1}$
$\: \frac1{4\cdot p(k)} \:$。 $\;\;$
$k$$\:\left(P,V_1\right)(x)\:$ 成功は以上になります $\: \frac1{5\cdot p(k)} \:$
$S^{V_1}$$\;\;$
$S^{V_1}$$\:\left(P,V_1\right)(x)\:$。

これは論文の誤りですか？ $\:$ いいえの場合、何が欠けていますか？

私は著者の一人です。誰かが私にこの質問を指摘しました。早読に基づいて、ここにあなたの懸念に答える試みがあります。

このバージョンのシミュレーターの説明（これは私が初めてシミュレーターを説明したときであり、確かに機械語に少し似ている）からはあまり明確ではないかもしれませんが、結局のところ、シミュレーターによって出力されるビューはスタックのプッシュとポップは、L1とR1のラベルが付いたエッジを通過するトラバースにのみ対応します。そのため、ベリファイアがどこかでアボートした場合でも、ポップオフされ、シミュレーターは続行します。

このe-PrintバージョンよりもFOCS議事録バージョン（または私のホームページから入手できる少し拡張されたバージョン）をお勧めします。手続きバージョンの説明では、シミュレーターの出力はシミュレーションの「メインスレッド」に対応し、先読みブロックで発生する可能性のあるアボートは含まれていません。（紙を見るだけで、図3の図を参照してください。）

お役に立てば幸いです。

-マノジ