タグ付けされた質問 「zero-knowledge」

グレッグ・クーパーバーグが私に尋ねた質問に促されて、さまざまな種類の知識の証明を認める言語の複雑さのクラスを定義および研究する論文があるかどうか疑問に思っています。SZKやNISZKのようなクラスは、完全にゼロの知識を忘れて完全な約束問題の観点から定義したとしても、複雑さの観点から非常に自然です。対照的に、グーグルの「知識の証明」では、複雑なクラスの観点からこの素敵な概念を議論している論文や講義ノートを見つけられないことに驚いた。 例を挙げます：x∈Lまたはx∉Lの統計的ゼロ知識証明を認めるすべての言語Lで構成されるSZK∩MA∩coMAのサブクラスについて言えることは、xを証明する証人の知識の証明でもあります∈Lまたはx∉L？確かにこのクラスには離散対数のようなものが含まれていますが、GIをcoMAに入れずにグラフ同型を含むことを証明できませんでした。クラスにはSZK∩MA∩coMAがすべて含まれますか？また、一方向関数が存在する場合、すべての言語L∈MA∩coMAが計算ゼロ知識証明を認めますか？それは、x∈Lまたはx∉Lを証明する証人の知識の証明でもありますか？（これらのいずれかまたは両方に些細な答えがある場合、私の謝罪---私はただ、私ができることを説明しようとしています PoKを複雑性理論の観点から見ることに決めたら、質問してください。）

16 complexity-classes  cr.crypto-security  zero-knowledge 

HAC（10.4.2）の第10章、我々は平方根因子に難しい複合モジュロ抽出（推定）困難を使用してゼロ知識証明に基づく周知Feige -フィアット-シャミール識別プロトコルを参照します。スキームを自分の言葉で説明します（そしてうまくいけばそれを正しくします）。 単純なスキームから始めましょうを、因数分解が困難な十分に大きいサイズのBlum整数（で、とそれぞれが3 mod 4）とします。以来ブラム数である、の要素の半分ヤコビシンボル+1及び他の半分を持っている持っている-1。+1要素の場合、それらの半分には平方根があり、平方根を持つ各要素には4つの要素があり、1つはそれ自体が正方形です。n = p q p q n Z ∗ nnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* 今ペギーはランダムな要素を選択からし、セットが。次に、をVictorに送信します。次は、プロトコルです：ビクターは、ペギーはの平方根を知っていることを確認したいとペギーはについては何も漏らすことなく、彼にそれを証明したい彼女は、このような知っている事実を超えた。Z ∗ n v = s 2 v v s ssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss ペギーはでランダムを選択し、をビクターに送信します。Z ∗ n r 2rrrZ∗nZn∗Z_n^*r2r2r^2 ビクターはおそらくまたはをペギーに送り返します。b = 1b=0b=0b=0b=1b=1b=1 ペギーはビクターにを送ります。rsbrsbrs^b ビクターは、受け取ったものを二乗し、正しい結果と比較することにより、ペギーが正しい答えを送信したことを確認できます。もちろん、この相互作用を繰り返して、ペギーが単なる幸運な推測者である可能性を減らします。このプロトコルはZKであると主張されています。証拠はさまざまな場所で見つけることができます（たとえば、Boaz Barakの講義ノート）。 このプロトコルを拡張してより効率的にする場合、Feige-Fiat-Shamirと呼ばれます。上記と非常によく似ています。私たちは、とペギーを開始ランダムな値とランダム兆候彼女のように自分の正方形を公開し。つまり、一部をランダムに無効にします。今s 1 ⋯ s k t 1 = ± 1 、⋯ t k = …

12 cr.crypto-security  proofs  zero-knowledge 

Goldreichらの3つのカラーリングには知識がゼロであるという証明は、各ラウンドのグラフ全体の色付けにビットコミットメントを使用します[1]。グラフに個の頂点とe個のエッジがあり、安全なハッシュにbビットがあり、エラー確率pを求める場合、合計通信コストはnnneeebbbppp O （b e n log（1 / p ）））O(benlog⁡(1/p))O(ben \log(1/p)) オーバーラウンド。徐々に明らかにされたマークルツリーを使用すると、ラウンド数をO （log n ）に増やすことを犠牲にして、総通信量をO （b e log n log （1 / p ））に減らすことができます。O （1 ）O(1)O(1)O （b e logn ログ（1 / p ）））O(belog⁡nlog⁡(1/p))O(be \log n \log (1/p))O （ログn ）O(log⁡n)O(\log n) 総通信量またはラウンド数のいずれかで、これよりもうまくやることは可能ですか？ http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf 編集：欠落因子を指摘してくれたリッキー・デマーに感謝します。eee

11 communication-complexity  zero-knowledge 

一部のHORN-SAT式が満足できることを証明者が検証者に納得させる方法はありますか？ もちろん、HORN-SATには線形時間アルゴリズムがあるので、これはばかげているように見えるかもしれません。一方、HORN-SATはP完全であるため、P = Lでない限り、ログスペースアルゴリズムはありません。したがって、ベリファイアの計算能力をLに制限します。ベリファイアは非常に脆弱であるため、問題は馬鹿げていません。 これに関する別のひねりは、それがゼロ知識証明になることができるかどうかです。

10 cc.complexity-theory  interactive-proofs  zero-knowledge 

対数丸め複雑さを伴う並行ゼロ知識証明 ページ番号は論文自体からのものであり、pdfからのものではありません。 3ページから 「対話型の証明システムは 、確率的多項式時間オラクルマシンが存在 する場合、確率的多項式時間検証器V ∗およびSSSV∗V∗V^*X ∈ Lx∈L\:x \in L\:、 入力xでS V ∗ によって生成された出力の分布 は、 相互作用の最後の検証者のビュー（P 、V ）（x ）から計算上区別できません 。SV∗SV∗S^{V^*}バツxx（P、V）（x ）(P,V)(x)(P,V)(x) 彼らが意味すると思います （P、V∗）（x ）(P,V∗)(x)\:\left(P,V^*\right)(x)\:最後に、そうでなければ、これ は正直な検証者計算ゼロ知識を定義するだけです。 7ページから 「すべてのセッションが 終了するまで（または検証ツールが終了するまで）シミュレーターが中断しない場合、 その時点で検証ツールのビューが出力されます。」 8ページの第3段落から 「深度カウンターが葉の1レベル上にあることを示している場合、 シミュレーターは次の2つのプリアンブルメッセージを待つ必要があります。つまり、 2つの葉を通過してから 戻る必要があります。このため、シミュレーターは変更を続けます。 2つのプリアンブルメッセージが到着するまで、（変更された）証明者と検証者を実行させることによる現在のビュー 。」 その段階で の証明者のメッセージは統計的に拘束力のある約束であるので、これはうまくいかないように私には思えます 。 しましょう p ：ω → ωp:ω→ω\: p: \omega \to \omega \:オラクルクエリの数を制限する多項式であるSSSV∗V∗V^*\:使用されている統計的に拘束力のあるコミットメント方式 …

8 cr.crypto-security  concurrency  zero-knowledge