ความมุ่งมั่นของ Pedersen และความรู้ด้านการคำนวณเป็นศูนย์

ฉันอยากรู้ว่า "ดี"ความรู้ด้านการคำนวณเป็นศูนย์หรือไม่? พิจารณาความมุ่งมั่นของ Pedersen $z = g^x h^y$. มีโปรโตคอล ZK ที่สมบูรณ์แบบอยู่ (อิงจาก Schnorr's) เพื่อพิสูจน์ว่ามีใครรู้ความลับ $x$ และ $y$. แต่วิธีการ "ผ่อนคลาย" ต่อไปนี้:

(1) ผู้พิสูจน์ส่ง $G = ก^x$ และ $H = h^y$ (และผู้ตรวจสอบจำเป็นต้องตรวจสอบ $G\คูณ H = z$); (2) ผู้พิสูจน์เรียกใช้โปรโตคอลของ Schnorr สองตัวอย่างเพื่อพิสูจน์ว่าเธอรู้ลอการิทึมของ $G$ และ $H$

ดูเหมือนว่าโปรโตคอลนี้เป็น ZK เชิงคำนวณเนื่องจากตัวจำลองสามารถเลือกคู่สุ่ม ($G'$, $H'$) ดังนั้น $G' \คูณ H' = z$. เนื่องจาก $(ก',ห')$ จะแยกไม่ออกจากของจริง $(ช,ส)$จากนั้นการสนทนาของโปรแกรมจำลองจะแยกไม่ออกจากการสนทนาจริง (โดยการคำนวณ) [คุณสามารถตรวจสอบได้ว่าการอ้างสิทธิ์นี้ถูกต้องหรือไม่? ขอบคุณ!]

แต่โปรโตคอลนั้นแน่นอน การรั่วไหล บางอย่าง - ตัวอย่างเช่น ลองนึกถึงกรณีที่ $x=1$. จากนั้นความมุ่งมั่นของ pedersen ก็สูญเสียไป การซ่อนที่สมบูรณ์แบบ ที่นี่.

ดังนั้นคำถามคือ: เมื่อใช้ ZK เชิงคำนวณ จะถือว่าน่าพอใจหรือไม่ (หากใช้ ตามลำพัง?) คุณสมบัติบางอย่างควรเพิ่มเติมเช่น แยกไม่ออกของพยาน เป็นที่ต้องการ?

โปรโตคอลไม่ใช่ศูนย์ความรู้ทางคอมพิวเตอร์ ZK เชิงคำนวณเป็นที่น่าพอใจแม้ในขณะที่ "ใช้เพียงอย่างเดียว" และโดยเฉพาะอย่างยิ่งบ่งบอกถึง (การคำนวณ) ของพยานที่แยกไม่ออก

ข้อผิดพลาดอยู่ในประโยค

ดูเหมือนว่าโปรโตคอลนี้เป็น ZK เชิงคำนวณเนื่องจากตัวจำลองสามารถเลือกคู่สุ่ม ($G'$, $H'$) ดังนั้น $G' \คูณ H' = z$. เนื่องจาก $(ก',ห')$ จะแยกไม่ออกจากของจริง $(ช,ส)$จากนั้นการสนทนาของโปรแกรมจำลองจะแยกไม่ออกจากการสนทนาจริง (โดยการคำนวณ)

เครื่องจำลองสามารถเลือกได้ $(ก',ห')$ ที่สุ่มปรับอากาศบน $G'H' = z$แต่สิ่งนี้แยกไม่ออกจากของจริง $(ช,ส)$ โดยทั่วไป จำได้ว่า $z$ (ความมุ่งมั่นของ Pedersen) คือคำว่า: ไม่มีการสันนิษฐานเกี่ยวกับการจัดจำหน่าย ยกตัวอย่างเดียวกันกับคำถามของคุณ เมื่อ $x=1$จากนั้นโปรโตคอลจริงจะสื่อสาร $(g^x, h^y) = (g, h^y)$. ในทางกลับกัน ตัวจำลองจะสื่อสารแบบสุ่ม $G'$ แทน $g$ซึ่งสามารถแยกแยะได้ง่ายจากโปรโตคอลที่ซื่อสัตย์