Blum、Micali、およびFeldman(BFM)は、すべての関係者(正直者または敵対者)が何らかの文字列にアクセスできる新しい(暗号化)モデルを提案しました。文字列は、信頼できる当事者による何らかの分布(通常は均一な分布)に従って選択されると想定されます。これは参照文字列と呼ばれ、モデルは適切な共通参照文字列(CSR)モデルと呼ばれます。
このモデルにより、多くの興味深いインタラクティブプロトコルを非インタラクティブに実行でき、クエリを参照文字列のビットで置き換えることができます。特に、NP言語のゼロ知識証明は非対話的に実行でき、非対話型ゼロ知識(NIZK)の概念が生じます。
NIZKには、(適応型)選択暗号文攻撃に対して安全な公開鍵暗号システムを実現する方法を提供するなど、多くのアプリケーションがあります。
BFMは、すべてのNP言語に対してNIZKの単一定理バージョンの存在を最初に証明しました。すなわち、参照文字列与えられ、および言語L ∈ N P、一つの形式のただ1つの定理を証明することができ、X ∈ Lを。さらに、定理の長さは|で区切られます。ρ | 。証明者が後の証明でρの一部を再利用しようとすると、知識の漏洩の危険があります(そして、証明はNIZKではなくなります)。
これを改善するために、BFMは単一定理NIZKに基づいたマルチ定理バージョンを使用しました。この目的のために、彼らはを展開するために擬似乱数発生器を使用し、次に展開されたビットを使用しました。他にもいくつかの詳細がありますが、掘り下げるつもりはありません。
Feige、Lapidot、およびShamir(彼らの論文の最初のページの最初の脚注)は次のように述べています。
この困難を克服するためにBFMで提案された方法には欠陥があることがわかりました。
(難しさとは、単一定理のものではなく、複数定理の証明を取得することです。)
BFMの欠陥はどこにありますか?