ทรัพย์สินที่ไม่มีความรู้ของ Groth16 (https://eprint.iacr.org/2016/260, หน้า 8) อาร์กิวเมนต์ที่ไม่มีความรู้เป็นศูนย์แบบไม่โต้ตอบนั้นขึ้นอยู่กับการมีอยู่ของตัวจำลอง $\text{Sim}$ สร้างหลักฐาน "ปลอม" สำหรับข้อความที่ถูกต้อง $(\phi, w) \ใน R$ โดยปราศจากความรู้ของพยาน $w$ สำหรับคำสั่ง $\phi$.
คำถามของฉันคือสำหรับ Groth16 มีตัวจำลองอยู่ด้วยหรือไม่ $\text{Sim}'$ เพื่อสร้างหลักฐาน "ปลอม" สำหรับ ไม่ถูกต้อง งบ $\phi'$ซึ่งไม่มีพยาน $w'$ กับ $(\phi', w') \ใน R$ มีอยู่ Groth16 ตอบสนองแนวคิดต่อไปนี้อย่างเป็นทางการหรือไม่?
ความรู้เป็นศูนย์ปลอม: สำหรับทุกอย่าง $\lambda \in \mathbb{N}, (R, z) \gets \mathcal{R}(1^\lambda), (\phi, w) \in R$, ทั้งหมด $\phi'$และศัตรูทั้งหลาย $\คณิตศาสตร์แคล{A}$: $Pr[(\sigma, \tau) \gets \text{ตั้งค่า}(R); \pi \gets \text{พิสูจน์}(R, \sigma, \phi, w): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1] = Pr[(\sigma, \tau) \gets \text{ตั้งค่า}(R); \pi \gets \text{Sim}'(R, \tau, \phi'): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1]$
คำตอบใด ๆ จะเป็นประโยชน์ รวมถึงหลักฐานสำหรับความรู้ปลอมเป็นศูนย์ของ Groth16 หรือแผนการอื่น ๆ คำจำกัดความของแนวคิดที่คล้ายกันแต่แตกต่างกัน หรือผลลัพธ์ที่เป็นไปไม่ได้
(ฉันกำลังพยายามสร้างหลักฐานการรักษาความปลอดภัยซึ่งการสร้างหลักฐานปลอมนั้นดูเหมือนจำเป็น ฉันไม่เคยเห็นแนวคิดข้างต้น แต่สำหรับฉันแล้วดูเหมือนว่า $\text{Sim}'$ ควรมีไว้สำหรับบางแผน)
"Fake zero-knowledge" มักจะตามมาจากการรวมกันของสองคุณสมบัติ:
ความรู้ที่ไม่มีมาตรฐาน: มี Sim Simulator ที่สามารถสร้างหลักฐาน (แยกไม่ออกจากการพิสูจน์ที่ซื่อสัตย์) สำหรับข้อความที่ถูกต้อง และ
สมาชิกกลุ่มย่อยยาก: มีอัลกอริทึมการสุ่มตัวอย่างสำหรับภาษา และข้อความที่สุ่มตัวอย่างผิดจะแยกไม่ออกจากข้อความจริงที่สุ่มตัวอย่าง
การรวมสิ่งที่กล่าวมาข้างต้นเข้าด้วยกันทำให้เกิดแนวคิดที่ "ถูกต้อง" สำหรับ "ความรู้ปลอมที่ไม่มีความรู้": การสุ่มตัวอย่างข้อความจริงและสร้าง NIZK ที่ซื่อสัตย์ เพราะมันแยกไม่ออกจากการสุ่มตัวอย่างข้อความเท็จและจำลอง NIZK สำหรับมัน
หมายเหตุ 1
แนวคิดของความรู้ปลอมเป็นศูนย์ในคำถามของคุณนั้นแตกต่างออกไป (ไม่ได้อ้างอิงถึงอัลกอริทึมการสุ่มตัวอย่างสำหรับภาษา): คุณกำลังบอกว่าสำหรับ ใดๆ ข้อความจริง $(\phi, w)$ และ ใดๆ ข้อความเท็จ $\phi'$, NIZK ที่ซื่อสัตย์กับ $(\phi,w)$ ควรแยกไม่ออกจาก NIZK จำลองด้วย $\phi'$. มันแข็งแกร่งเกินไปและไม่สามารถทนได้ เหตุผลก็คืออัลกอริธึมการโจมตีนั้น $\คณิตศาสตร์แคล{A}$ สามารถมี $\phi, \phi'$ ฮาร์ดโค้ดในคำอธิบาย (เนื่องจากคุณสมบัตินี้มีไว้สำหรับทุกคน $\phi,\phi'$ และศัตรูทั้งหลาย $\คณิตศาสตร์แคล{A}$) และสามารถลองใช้อัลกอริทึมการตรวจสอบบน NIZK ตอนนี้เนื่องจากใช้อัลกอริทึมการตรวจสอบ $\phi$ (หรือ $\phi'$) เป็นอินพุต ฝ่ายตรงข้ามจะแยกแยะทั้งสองสถานการณ์เสมอ (หากการยืนยันผ่าน $\phi'$, เป็นหลักฐานปลอม , อย่างอื่นเป็นหลักฐานจริง ; โปรดทราบว่าโดยความถูกต้อง การตรวจสอบข้อพิสูจน์ที่แท้จริงซึ่งสร้างขึ้นโดยผู้พิสูจน์ที่ซื่อสัตย์ไม่สามารถประสบความสำเร็จได้ในส่วนที่เกี่ยวกับข้อความที่ไม่ถูกต้อง $\phi'$ดังนั้น การโจมตีที่แตกต่างที่ฉันเพิ่งอธิบายไปจึงเป็นไปได้อย่างล้นหลาม)
โน้ต 2
การเป็นสมาชิกกลุ่มย่อยเป็นสิ่งจำเป็นสำหรับ "ความรู้ปลอมเป็นศูนย์": หากไม่ยากที่จะแยกแยะข้อความจริงออกจากข้อความผิด เราจะไม่สามารถกำหนดแนวคิดที่เป็นประโยชน์และไม่สำคัญของความรู้ปลอมเป็นศูนย์ได้ แต่ถือเป็นภาษาเข้ารหัสที่น่าสนใจส่วนใหญ่ - โดยปกติแล้ว เราสนใจที่จะสร้าง NIZK สำหรับข้อความที่ผู้ตรวจสอบไม่สามารถตรวจสอบได้ด้วยตัวเองอยู่แล้ว
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
