これは実際の答えではありません。いくつかの結果を共有しているだけです(1つのコメントに収まりません)。
- Goldreich、Micali、Wigderson(J. ACM、1991)は、NPのすべての言語が言語メンバーシップのゼロ知識証明を持っていることを証明しました(OWFが存在すると仮定)。この目的のために、彼らはグラフ3彩色性のZK証明を提示しました。その後、BellareとGoldreich(CRYPTO '92)は、このZK証明がZK知識の証明(PoK)であることを証明しました。レビン簡約(前の論文の脚注12を参照)を使用して、NPのすべての言語にZK PoKがあります(OWFが存在すると仮定)。
- 伊藤と桜井(ASIACRYPT '91)は、一定ラウンドZK PoKを持つ関係に関する複雑性理論の結果に関する論文を持っています。
- これは一見無関係な結果ですが、いくつかの類似点に気づかずにはいられません。私は何とかという(正式ではないもの)を感じるのメンバーシップの証対知識の証明はに似て決断対検索。おそらくこの意味で、BellareとGoldwasserの研究(J. Computing、1994)を引用することもできます。そこでは、NPのすべての言語が検索から決定に減少するわけではないことを(条件付きで)証明しています。
PoKの複雑さの理論的側面に関するいくつかの未解決の問題(おそらく解決したが、私が知っていることではない):
特定の複雑さを持つ特定の関係(AMの関係など)のZK PoKのさまざまな効率測定:
- 証明の通信の複雑さ
- 当事者の計算の複雑さ
- 知識の堅さ(つまり、シミュレーターの(予想される)実行時間と実際の相互作用における検証者の実行時間の比率)
ZK PoKを特定の制限付きで認める関係の複雑さ、たとえば限られたラウンドの複雑さ(伊藤と桜井は、一定のラウンドZK PoKのみを考慮します)。もう1つの例は、証明者が多項式時間の場合です。NP完全な関係を解くことができないため、3彩色への還元を使用できません。すべてのNP完全問題には、検索から決定までのCookの削減があります。しかし、上記で引用したBellare-Goldwasserの結果では、このような削減はすべてのNP言語/関係に必ずしも存在するわけではありません。
- PoKに関するその他の興味深い結果は、必ずしもZKではありませんが、知識の複雑さは制限されています。GoldreichとPetrank(Comput。complex。、1999)を参照してください。
最後に、PoKには実際にいくつかの定義がありますが、その一部を以下に引用します。
1)初期の試み: Feige、Fiat、Shamir(J. Cryptology、1988)、Tompa and Woll(FOCS 1987)、Feige and Shamir(STOC 1990)。
2)事実上の標準: BellareおよびGoldreich(CRYPTO '92)。このペーパーでは、PoKを定義する初期の試みを調査し、それらの欠点を観察し、PoKの「定義」と見なすことができる新しい定義を提案します。この定義にはブラックボックスの性質があります(ナレッジエクストラクターは不正行為者にブラックボックスでアクセスできます)。
3)保守的なPoK: HaleviおよびMicali(ePrintアーカイブ:レポート1998/015)によって定義されたこの定義は、証明者の実行可能性を保証するために以前の定義を補強します。また、単一の証明者の知識の定義を提供します。これは、「Pが何かを知っていると言うことはどういう意味ですか?」という質問に答えるときに役立ちます。
4)非ブラックボックス抽出による知識の議論:上記のように、PoKの標準定義はブラックボックスであり、非自明な言語の知識のリセット可能なゼロ知識証明(または引数)を持つことを不可能にします。バラクら。(FOCS 2001)は、ブラックボックス以外の定義を提供します。これは、上記で引用したFeige and Shamir(STOC 1990)の定義に基づいています(ただし、異なります)。