ฉันมีโปรโตคอลที่ทำงานในการตั้งค่าที่เป็นอันตรายซึ่งเกี่ยวข้องกับฝ่ายต่างๆ ที่ส่งองค์ประกอบกลุ่มให้กันและกัน $u\in \mathbb{G}$ ของแบบฟอร์มเฉพาะ (ตัวอย่างเช่น ข้อความเหล่านี้เป็นข้อความของแบบฟอร์ม $u=g^{\alpha}\cdot h^{\beta}$ ด้วยเครื่องปั่นไฟ $h,g\in \mathbb{G}$ และ $\alpha, \beta \in \mathbb{Z}_q$ สำหรับนายกรัฐมนตรีบางคน $คิว$).
นอกจากนี้ ฝ่ายเหล่านี้ยังแนบหลักฐานความรู้ที่ไม่มีความรู้เป็นศูนย์แบบไม่โต้ตอบซึ่งแสดงว่าองค์ประกอบกลุ่มที่ส่งมานั้นเป็นรูปแบบนั้นจริง ๆ (ตัวอย่างเช่น องค์ประกอบกลุ่มที่ส่งไปไม่ได้ถูกเลือกในลักษณะที่ลืมเลือน) ดังนั้นหากฝ่ายใดฝ่ายหนึ่งในโปรโตคอลส่ง $u=g^{\alpha}\cdot h^{\beta}$ มันยังต้องแนบ $\pi_{g,h}(u)$ ซึ่งเป็น ZKPOK ที่พิสูจน์ได้ว่า $u$ เป็นไปในรูปแบบที่ต้องการ
ในความพยายามของฉันที่จะพิสูจน์ความถูกต้องของโปรโตคอล ฉันสันนิษฐานในความขัดแย้งว่ามีปฏิปักษ์ PPT $\คณิตศาสตร์แคล{A}$ ซึ่งทำลายโปรโตคอล แล้วฉันก็ใช้ $\คณิตศาสตร์แคล{A}$ เป็นรูทีนย่อยใน PPT ใหม่ $\คณิตศาสตร์แคล{B}$ ซึ่งแบ่งปัญหาที่แก้ยาก (โดยเฉพาะ ลอการิทึมแบบไม่ต่อเนื่องใน $\mathbb{G}$).
อย่างไรก็ตาม ปัญหาของฉันคือฉันต้องการ $\คณิตศาสตร์แคล{B}$ ใช้ $\คณิตศาสตร์แคล{A}$ ในลักษณะกล่องดำ แต่ฉันก็ต้องการเช่นกัน ใช้ "เลขชี้กำลัง" ของมัน (ลอการิทึมแบบไม่ต่อเนื่อง) $\alpha, \beta$ หลังจากวิ่ง $\คณิตศาสตร์แคล{A}$ เพื่อคำนวณลอการิทึมแยกขององค์ประกอบกลุ่มตามอำเภอใจ $a\in \mathbb{G}$. อย่างไรก็ตาม, $\คณิตศาสตร์แคล{A}$ สามารถเลือกได้ $\alpha, \beta$ ในลักษณะใด $\คณิตศาสตร์แคล{B}$ วิ่ง $\คณิตศาสตร์แคล{A}$ อาจไม่รู้
ฉันจะแก้ไขความเหลื่อมล้ำนี้ได้อย่างไร
สิ่งที่ฉันมีในใจคือการมี $\คณิตศาสตร์แคล{A}$ เอาต์พุต $\alpha, \beta$ เป็นส่วนหนึ่งของผลลัพธ์และเหตุผลตั้งแต่นั้นเป็นต้นมา $\คณิตศาสตร์แคล{A}$ ต้องแนบ ZKPOK ของ $\alpha, \beta$ เมื่อส่งองค์ประกอบกลุ่มมันจะคำนวณ $\alpha, \beta$ ด้วยตัวมันเองและดังนั้นจึงสามารถส่งออกได้
ขอบคุณมากล่วงหน้า
คุณไม่สามารถแก้ไขได้ $\คณิตศาสตร์ A$ ทางนี้. ถ้าคุณต้องการ $\alpha$ และ $\เบต้า$ สำหรับการลดลงคุณจะต้องใช้ความรู้เป็นศูนย์ พิสูจน์ความรู้ ซึ่งคุณสามารถแยกมันออกมา ฉันเข้าใจว่าคุณต้องการใช้ NIZK อย่างไรก็ตาม นี่ไม่ใช่ปัญหา หากคุณใช้ Sigma-protocol (การพิสูจน์ 3 รอบ) สำหรับข้อผูกพันของ Pedersen (ซึ่งโดยพื้นฐานแล้วคือสิ่งที่คุณมีอยู่ที่นี่) แล้วใช้การแปลง Fiat-Shamir กับมัน ผลลัพธ์ที่ได้คือการพิสูจน์ความรู้ที่ไม่มีความรู้แบบไม่โต้ตอบ ที่คุณสามารถสกัดพยานได้ $\alpha,\beta$, ใน โมเดลสุ่มออราเคิล. นี่เป็นมาตรฐานมาก สามารถดูบทช่วยสอนเกี่ยวกับโปรโตคอล Sigma โดย Ivan DamgÃ¥rd ที่นี่. ความจริงที่ว่าคุณสามารถแยกดังต่อไปนี้จาก การแยกบทแทรก สำหรับ Fiat-Shamir โดย Pointcheval และ Stern (ดูบทความนี้โดย Bellare และ Neven ใน การแยกบทแทรก).
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
