P P A D
大まかに言うと、CHKPRRは、解決策を見つけるために次のいずれかを行う必要がある、行末インスタンスへの配布を構築します。
- 有名なサムチェックプロトコルにフィアットシャミルヒューリスティックを適用することによって得られる証明システムの健全性を壊す、または
- ♯ P
♯ S A TP P A D
Σz⃗ ∈ { 0 、1 }んf(z⃗ )= xfんF、これはこの設定で完全にうまく機能します:sumcheckプロトコル。インタラクティブなプルーフを非インタラクティブなプルーフに変換する(パブリックな検証可能性とコンパクトさを維持する)ことは、Fiat-Shamirヒューリスティックがまさに行うことです。
フィアットシャミルのインスタンス化
フィアットシャミルのヒューリスティックは非常に単純です。ハッシュ関数を修正し、パブリックコインのインタラクティブな証明から始めて、検証者のランダムメッセージをそれぞれ、これまでの筆記録全体のハッシュに置き換えます。次に、問題は、ハッシュ関数のどのプロパティの下で、結果のプロトコルがまだ健全であるかを証明できることです(統計的にもう健全ではないことに注意してください。計算上健全であることが望まれます)。
これについて詳しく説明する前に、コメントについてお話ししましょう。
私はまだ理解できません。1.確かに、量子の場合には当てはまらない暗号の硬度の仮定があります。「フィアット-シャミアの破れ」をQCにとって困難にするのは、「RSAの破れ」とは何ですか
「フィアットシャミルの破れ」と「RSAの破れ」は実際には同等の問題ではないことを私が述べた高レベルの説明は明確にすべきです。RSAは具体的な特定の硬度の仮定であり、大きな整数を因数分解できる場合は、それを破ることができます。
PPAD基礎となるハッシュ関数の。直感的なレベルでは、これは量子コンピューターが得意とするものではありません。これは、必ずしも活用できる強力な構造を持っているとは限らないためです(たとえば、離散対数やRSAとは異なります)。ハッシュ関数は通常、非常に「非構造化」。
より具体的に言えば、フィアットシャミルをインスタンス化するためのハッシュ関数を選択する場合、2つの自然な選択肢があります。
ヒューリスティックで具体的に効率的なアプローチ:
好きなハッシュ関数、たとえばSHA-3を選択してください。もちろん、SHA-3でFiat-Shamirをインスタンス化することが難しい問題であるという証拠はありません。しかし、フィアットシャミルとSHA-3を非縮退インタラクティブプルーフシステムに適用することによって得られるプルーフシステムの健全性に対する重要な攻撃についても、私たちは知りません。これは量子の設定にも拡張されます。Groverのアルゴリズムによって与えられる通常の2次の高速化よりも優れた量子攻撃については知りません。暗号解読の試みの数十年後、暗号コミュニティでのコンセンサスはその量子アルゴリズムではありませんように見えることなく、「Minicryptスタイル」プリミティブ(ハッシュ関数、PRGS、ブロック暗号、など)のためsuperpolynomialスピードアップを提供するために、これまで私たちが見ることができるようにと、 SHA-2、SHA-3、AESなどの強力な基礎代数構造
証明可能なセキュリティアプローチ:
ここでの目標は、Fiat-Shamirヒューリスティックサウンドを作成するハッシュ関数のクリーンなプロパティを分離し、もっともらしい暗号の仮定の下でこのプロパティを満たすハッシュ関数を構築することです。
RKx(x,HK(x))∈RRR
ここでの問題は、私たちが気にかけている関係に対して、そしてこの特定のコンテキストでは、sumcheckプロトコルに関連付けられた関係に対して、相関関係を持たないハッシュ関数を構築する方法です。ここで、ワークの最近のラインは(本質的に1、2、3、4、5、6)関心のある多くの関係のために、一つは実際に格子ベースの仮定の下で相関難治性ハッシュ関数を構築することができる、ことを示しています。
PPAD
実際、私たちは正確にそこにいるわけではありません。PeikertとShiehianの最近の画期的な結果(以前に挙げたリストの最後の論文)は、重要な関係について、エラーのある学習やSIS問題などの確立されたラティス問題の下で相関困難なハッシュ関数を構築できることを示しました; ただし、sumcheck関係はこの作業では取得されません。
それでも、この研究に基づいてCHKPRRは、完全準同型暗号化スキームの多くの具体的な構成のいずれかが超多項式時間攻撃に対して準最適な循環セキュリティを持っているという仮定の下で、相関処理困難なハッシュ関数を構築できることを示しました。
この仮定を分解してみましょう:
- 完全準同型暗号化(FHE)は、さまざまな格子の仮定の下で構築する方法を知っているプリミティブです。スキームが制限されたサイズの回路のみを評価する必要がある場合、実際には、エラーを仮定して標準学習の下でそれを構築する方法を知っています。
- 循環セキュリティでは、FHEを使用して自身の秘密鍵を暗号化する場合でも、FHEを破ることは難しいとされています。これは、キーに依存するメッセージを許可しない通常のセキュリティ概念よりも強力です。LWEなどの標準的な格子の仮定の下で循環的に安全なFHEを構築することは、主要で長年にわたる未解決の問題です。それでも、Gentryの最初のFHEの構築と多くの暗号解読の試みから10年後、確立されたFHE候補の循環セキュリティ自体は(量子コンピューターに対してさえ)比較的安全に見える仮定になり、鍵を悪用する攻撃については知りませんに依存しない暗号化。
- 2ω(logλ)−λλ2cλc<12−cλc<1
- 最後に、超多項式の実行時間を攻撃者に許可する場合、上記のすべてを維持する必要があります。これは、既知のアルゴリズムが達成できることと一致しています。
PPAD
もちろん、CHKPRRが残した主な未解決の問題の1つは、より良い格子ベースの仮定-理想的にはLWEの仮定の下で、sumcheck関係の相関処理困難なハッシュ関数を構築することです。これはごく最近の一連の作業であり、他の興味深い関係についてすでに多くの驚くべき結果が達成されていることを考えると、重要なことではありませんが、妥当ではありません。