「共通参照文字列とランダムOracleモデルにおける否認可能性」というタイトルの論文で、Rafael Passは次のように書いています。
RO [Random Oracle]モデルの標準ゼロ知識定義に従ってセキュリティを証明する場合、シミュレーターにはプレーンモデルシミュレーターに比べて2つの利点があります。
- シミュレーターは、パーティがオラクルを照会する値を確認できます。
- シミュレーターは、答えが「見える」限り、どのような方法でもこれらのクエリに答えることができます。
最初の手法、つまりROへのクエリを「監視」する機能は、ROモデルのゼロ知識の概念に言及するすべての論文で非常に一般的です。
ここで、ブラックボックスゼロ知識の定義を検討します(PPTは、確率的、多項式時間チューリングマシンを表します)。
(おそらく不正行為)PPT verifier、共通入力、およびランダム性ように、PPTシミュレーターし、以下は区別できません。∀ V * ∀ X ∈ L ∀ R
- 入力証明者と対話し、ランダム性を使用しているののビュー。 P x r
- 出力入力上及び、ブラックボックスへのアクセス与えられる。 x r S V ∗
ここでは、ROクエリを監視しようとするシミュレーターを使い果たすことを目的とした不正検証ツール紹介します。
LETブラックボックス零知識の定義において存在記号によって保証シミュレータであり、およびletの実行時間上部境界多項式である入力に。がROへのクエリを監視しようとすると仮定します。q (| x |)S x S V ∗
ここで、最初に(選択した任意の入力に対して回ROを照会し、次に悪意を持って任意に動作する不正について考えます。 q (| x |)+ 1
明らかに、はシミュレータ使い果たします。の簡単な方法は、このような悪意のある動作を拒否することですが、その方法では、区別者は実際の対話をシミュレートされた対話と簡単に区別できます。(実際のインタラクションでは、証明者は 'のクエリを監視できないため、がクエリしすぎているという単なる事実に基づいて拒否しません。) S S P V ′ V ′
上記の問題の回避策は何ですか?
編集:
ROモデルでZKを学習するための優れた情報源は次のとおりです。
MartinGagné、ランダムオラクルモデルの研究、博士号 論文、カリフォルニア大学デービス校、2008年、109ページ。ProQuestで入手可能:http : //gradworks.umi.com/33/36/3336254.html
特に、YungおよびZhaoに起因するセクション3.3(20ページ)のROモデルのブラックボックスZKの定義を示します。