3色彩の知識ゼロ証明のための最小通信コスト

Goldreichらの3つのカラーリングには知識がゼロであるという証明は、各ラウンドのグラフ全体の色付けにビットコミットメントを使用します[1]。グラフに個の頂点とe個のエッジがあり、安全なハッシュにbビットがあり、エラー確率pを求める場合、合計通信コストは$n$$e$$b$$p$

オーバーラウンド。徐々に明らかにされたマークルツリーを使用すると、ラウンド数をO （log n ）に増やすことを犠牲にして、総通信量をO （b e log n log （1 / p ））に減らすことができます。$O(1)$$O(be \log n \log (1/p))$$O(\log n)$

総通信量またはラウンド数のいずれかで、これよりもうまくやることは可能ですか？

1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

編集：欠落因子を指摘してくれたリッキー・デマーに感謝します。$e$

だから、ここに私の目的に合った紙があります：

ジョー・キリアン、「効率的なゼロ知識の証明と議論に関するメモ」http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

最強の結果を得るには、証明（計算的に制限された証明者）ではなく、ゼロの知識引数を受け入れる必要があります。これらは私が興味を持っているものですが、用語を知りませんでした。

十分な暗号化の仮定を仮定して、この論文は、c = O （1 ）に対して、総通信でゼロの知識引数を与えます。$O(b \log^c n \log (1/p))$$c = O(1)$

この結果は、Ishai et al。、「Efficient Zero-Knowledge PCPs」、http： //www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdfによりラウンドに絞られています。$O(1)$

更新：この答えは、適切な参照から完全に多対数の境界を持つ、他の答えによって廃止されました。

考え直して、マークルツリーを徐々に明らかにする必要はないので、下位の通信バージョンでは余分なラウンドは必要ありません。通信手順は

1. 証明者Pは、色付けをランダム化し、（塩漬け）マークルツリーに変換し、ルートを検証者Vに送信します。
2. Vはランダムなエッジを選択し、Pに送信します。$e$
3. Pは、ルートから各エンドポイントへのマークルツリーパスをVに送信します。$e$

これは、得られるを介した通信O （1 ）ラウンド。$O(be \log n \log (1/p))$$O(1)$

更新： マークルツリーの構築の詳細を以下に示します。簡単にするために、いくつかの切断されたノードを追加してグラフを拡張し、頂点を正確につにします（これらは3つの色付け可能性またはゼロの知識には影響しません）。任意のサイズの入力を受け取り、bビット出力を生成する安全なハッシュ関数を想定します。マークルツリーごとに、証明者は2 a + 1 − 1のランダムなbビットのノンスを選択します。バイナリツリーのリーフとノンリーフごとに1つです。葉では、ノンスと連結された色をハッシュして葉の値を生成します。各非リーフで、2つの子値を非リーフのノンスでハッシュして、非リーフの値を生成します。$2^a$$b$$2^{a+1}-1$$b$

最初のラウンドでは、証明者はルート値のみを送信しますが、ルートのノンスでハッシュされるため、情報は提供されません。3回目のラウンドでは、そのようなノードはそのノードでナンスでハッシュされているため、バイナリツリー内の拡張されていないノードに関する情報は伝達されません。ここでは、証明者と検証者の両方が計算的に制限されており、ハッシュを破ることができないと想定しています。

編集：欠落因子を指摘してくれたリッキー・デマーに感謝します。$e$

簡潔で非対話的なゼロ知識の議論の活動が最近急増しています。たとえば、引数の長さが非常に小さい定数のグループ要素であるCircuit-SATのNIZK引数を作成する方法は知られています（Groth 2010、Lipmaa 2012、Gennaro、Gentryなど、Eurocrypt 2013などを参照）。NP削減に基づいて、同じコミュニケーションで3色性の引数を明確に構築できます。

もちろん、これは元の質問とは異なるモデルです-たとえば、これらの引数では、CRSの長さは回路サイズで線形であり、ある意味では通信の一部と考えることができます（ただし、多くの異なる引数）。

（これはコメントに収まりません。）

私は今、あなたの塩漬けが
正直な検証者のゼロ知識を必ずしも提供しないことを示す方法を見ると思います 。$\:$$H_0$$\:$
$H_0$$H_1$$H_0$
$H_1$$H_0$
$||$$\:$$H_2$


$x$$z$$\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$$\;$$y$
$m$$\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$、
ある$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$



$x$$r\hspace{-0.02 in}$$m$$x$$r\hspace{-0.02 in}$、場合$m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$



$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$。


。

$H_1$$H_2$$H_1$$\:$$H_1$
$H_0$$\:$$H_0$$H_2$


$1/(2^{(b-1)})$