Score:4

Groth16 จำลองการพิสูจน์ความรู้เป็นศูนย์สำหรับคำสั่งที่ไม่ถูกต้อง

ธง mx

ทรัพย์สินที่ไม่มีความรู้ของ Groth16 (https://eprint.iacr.org/2016/260, หน้า 8) อาร์กิวเมนต์ที่ไม่มีความรู้เป็นศูนย์แบบไม่โต้ตอบนั้นขึ้นอยู่กับการมีอยู่ของตัวจำลอง $\text{Sim}$ สร้างหลักฐาน "ปลอม" สำหรับข้อความที่ถูกต้อง $(\phi, w) \ใน R$ โดยปราศจากความรู้ของพยาน $w$ สำหรับคำสั่ง $\phi$.

คำถามของฉันคือสำหรับ Groth16 มีตัวจำลองอยู่ด้วยหรือไม่ $\text{Sim}'$ เพื่อสร้างหลักฐาน "ปลอม" สำหรับ ไม่ถูกต้อง งบ $\phi'$ซึ่งไม่มีพยาน $w'$ กับ $(\phi', w') \ใน R$ มีอยู่ Groth16 ตอบสนองแนวคิดต่อไปนี้อย่างเป็นทางการหรือไม่?

ความรู้เป็นศูนย์ปลอม: สำหรับทุกอย่าง $\lambda \in \mathbb{N}, (R, z) \gets \mathcal{R}(1^\lambda), (\phi, w) \in R$, ทั้งหมด $\phi'$และศัตรูทั้งหลาย $\คณิตศาสตร์แคล{A}$: $Pr[(\sigma, \tau) \gets \text{ตั้งค่า}(R); \pi \gets \text{พิสูจน์}(R, \sigma, \phi, w): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1] = Pr[(\sigma, \tau) \gets \text{ตั้งค่า}(R); \pi \gets \text{Sim}'(R, \tau, \phi'): \mathcal{A}(R, z, \sigma, \tau, \pi) = 1]$

คำตอบใด ๆ จะเป็นประโยชน์ รวมถึงหลักฐานสำหรับความรู้ปลอมเป็นศูนย์ของ Groth16 หรือแผนการอื่น ๆ คำจำกัดความของแนวคิดที่คล้ายกันแต่แตกต่างกัน หรือผลลัพธ์ที่เป็นไปไม่ได้

(ฉันกำลังพยายามสร้างหลักฐานการรักษาความปลอดภัยซึ่งการสร้างหลักฐานปลอมนั้นดูเหมือนจำเป็น ฉันไม่เคยเห็นแนวคิดข้างต้น แต่สำหรับฉันแล้วดูเหมือนว่า $\text{Sim}'$ ควรมีไว้สำหรับบางแผน)

Score:3
ธง cn

"Fake zero-knowledge" มักจะตามมาจากการรวมกันของสองคุณสมบัติ:

  • ความรู้ที่ไม่มีมาตรฐาน: มี Sim Simulator ที่สามารถสร้างหลักฐาน (แยกไม่ออกจากการพิสูจน์ที่ซื่อสัตย์) สำหรับข้อความที่ถูกต้อง และ

  • สมาชิกกลุ่มย่อยยาก: มีอัลกอริทึมการสุ่มตัวอย่างสำหรับภาษา และข้อความที่สุ่มตัวอย่างผิดจะแยกไม่ออกจากข้อความจริงที่สุ่มตัวอย่าง

การรวมสิ่งที่กล่าวมาข้างต้นเข้าด้วยกันทำให้เกิดแนวคิดที่ "ถูกต้อง" สำหรับ "ความรู้ปลอมที่ไม่มีความรู้": การสุ่มตัวอย่างข้อความจริงและสร้าง NIZK ที่ซื่อสัตย์ เพราะมันแยกไม่ออกจากการสุ่มตัวอย่างข้อความเท็จและจำลอง NIZK สำหรับมัน

หมายเหตุ 1

แนวคิดของความรู้ปลอมเป็นศูนย์ในคำถามของคุณนั้นแตกต่างออกไป (ไม่ได้อ้างอิงถึงอัลกอริทึมการสุ่มตัวอย่างสำหรับภาษา): คุณกำลังบอกว่าสำหรับ ใดๆ ข้อความจริง $(\phi, w)$ และ ใดๆ ข้อความเท็จ $\phi'$, NIZK ที่ซื่อสัตย์กับ $(\phi,w)$ ควรแยกไม่ออกจาก NIZK จำลองด้วย $\phi'$. มันแข็งแกร่งเกินไปและไม่สามารถทนได้ เหตุผลก็คืออัลกอริธึมการโจมตีนั้น $\คณิตศาสตร์แคล{A}$ สามารถมี $\phi, \phi'$ ฮาร์ดโค้ดในคำอธิบาย (เนื่องจากคุณสมบัตินี้มีไว้สำหรับทุกคน $\phi,\phi'$ และศัตรูทั้งหลาย $\คณิตศาสตร์แคล{A}$) และสามารถลองใช้อัลกอริทึมการตรวจสอบบน NIZK ตอนนี้เนื่องจากใช้อัลกอริทึมการตรวจสอบ $\phi$ (หรือ $\phi'$) เป็นอินพุต ฝ่ายตรงข้ามจะแยกแยะทั้งสองสถานการณ์เสมอ (หากการยืนยันผ่าน $\phi'$, เป็นหลักฐานปลอม , อย่างอื่นเป็นหลักฐานจริง ; โปรดทราบว่าโดยความถูกต้อง การตรวจสอบข้อพิสูจน์ที่แท้จริงซึ่งสร้างขึ้นโดยผู้พิสูจน์ที่ซื่อสัตย์ไม่สามารถประสบความสำเร็จได้ในส่วนที่เกี่ยวกับข้อความที่ไม่ถูกต้อง $\phi'$ดังนั้น การโจมตีที่แตกต่างที่ฉันเพิ่งอธิบายไปจึงเป็นไปได้อย่างล้นหลาม)

โน้ต 2

การเป็นสมาชิกกลุ่มย่อยเป็นสิ่งจำเป็นสำหรับ "ความรู้ปลอมเป็นศูนย์": หากไม่ยากที่จะแยกแยะข้อความจริงออกจากข้อความผิด เราจะไม่สามารถกำหนดแนวคิดที่เป็นประโยชน์และไม่สำคัญของความรู้ปลอมเป็นศูนย์ได้ แต่ถือเป็นภาษาเข้ารหัสที่น่าสนใจส่วนใหญ่ - โดยปกติแล้ว เราสนใจที่จะสร้าง NIZK สำหรับข้อความที่ผู้ตรวจสอบไม่สามารถตรวจสอบได้ด้วยตัวเองอยู่แล้ว

Anakin Charles avatar
mx flag
ขอบคุณ ฉันเข้าใจแล้วว่าทำไมความคิดที่เสนอของฉันจึงแรงเกินไป อย่างที่คุณพูดว่า "ติดตามเสมอ": มีการอ้างอิงที่แสดงว่าสมาชิกแบบมาตรฐาน -zk + ฮาร์ดซับเซ็ตอนุญาตให้มีการจำลองการพิสูจน์ข้อความปลอมหรือไม่
Geoffroy Couteau avatar
cn flag
ฉันไม่สามารถคิดถึงการอ้างอิงมาตรฐานบนหัวของฉันได้ มันเป็นการสังเกตโดยตรงของชาวบ้านมากกว่า หากคุณเขียนคำจำกัดความของการเป็นสมาชิกฮาร์ดซับเซตและความรู้เป็นศูนย์ ดังนั้น "ความรู้ปลอมเป็นศูนย์" จะตามมาทันทีโดยใช้ทั้งสองอย่างตามลำดับ: เริ่มด้วยการพิสูจน์ความจริงในข้อความจริง ขั้นแรกให้ใช้ความรู้เป็นศูนย์เพื่อแทนที่ผู้พิสูจน์ด้วยเครื่องจำลอง จากนั้น ใช้การเป็นสมาชิกฮาร์ดซับเซตเพื่อเปลี่ยนข้อความจริงเป็นข้อความเท็จอย่างแยกไม่ออก (ซึ่งสามารถทำได้ในขั้นตอนนี้ เพราะซิมส์ไม่ต้องการพยาน)
Anakin Charles avatar
mx flag
เข้าใจแล้ว. ใช่ หลักฐานการกระโดดเกมดังกล่าวควรสร้างได้ง่าย ขอบคุณ!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา