Score:3

จะทำการพิสูจน์การไม่เป็นสมาชิกเพื่อยืนยันมูลค่าได้อย่างไร?

ธง ie

สมมติว่าผู้ตรวจสอบได้รับข้อผูกมัดสามประการ $C_i=g^{m_i}h^{r_i}, i=1,2,3$. ตอนนี้ผู้พิสูจน์รู้ $m_i, r_i, i=1,2,3$ ต้องการพิสูจน์ $m_3\neq m_1\wedge m_3\neq m_2$. โดยเฉพาะอย่างยิ่ง ความสัมพันธ์มีดังนี้: $\{(m_i,r_i), i=1,2,3|C_i=g^{m_i}h^{r_i}\wedge m_3\neq m_1\wedge m_3\neq m_2)\}$. สามารถเขียนความสัมพันธ์ทั่วไปได้ดังนี้ $\{(m_i,r_i), i=1,2,..,n|C_i=g^{m_i}h^{r_i}, i=1,2,...,n\wedge m_n\notin\ {m_1,m_2,...,m_{n-1}\})\}$. มีระบบพิสูจน์ที่สามารถพิสูจน์ความสัมพันธ์ทั่วไปเช่นนั้นได้หรือไม่? วิธีแก้ปัญหาเล็กน้อยอาจทำได้ $n-1$ การพิสูจน์ความไม่เท่าเทียมกันครั้ง มีแนวทางที่ง่ายกว่านี้หรือไม่? เอกสารอ้างอิงใด ๆ ? ขอบคุณ.

Score:2
ธง es

หากคุณสนใจเพียงการผูกมัดอย่างคลุมเครือ (เพื่อป้องกันการบังคับอย่างดุร้าย) และไม่ต้องการการผูกมัดแบบโฮโมมอร์ฟิคเพิ่มเติม คุณสามารถทำสิ่งต่อไปนี้:

ผู้พิสูจน์มีคู่สำคัญ $(x, X=xG)$และเผยแพร่รหัสสาธารณะ $X$.

สำหรับแต่ละสมาชิกของชุด ผู้พิสูจน์เผยแพร่:

  1. $C_i=H_p(m_i) + r_iG$, ที่ไหน $H_p(m_i)$ หมายถึงการแฮช $m_i$ และตีความผลลัพธ์เป็นจุด EC ที่ถูกต้อง

  2. $D_i=xH_p(m_i)$

  3. $E_i=xC_i$

  4. DLEQ ​​พิสูจน์ได้ว่า $X$ และ $E_i$ แบ่งปันรหัสส่วนตัวเดียวกัน $x$ ในประเด็น $G$ และ $C_i$

  5. ลายเซ็นสำหรับรหัสสาธารณะ $(อี_ไอ-ดี_ไอ)$ บนเครื่องกำเนิดไฟฟ้า $G$.

โปรดทราบว่า $E_i-D_i==xH_p(m_i)+xr_iG-xH_p(m_i)==xr_iG$.

การพิสูจน์ DLEQ (ข้อ 4) จะพิสูจน์สิ่งนั้น $E_i$ ถูกคำนวณอย่างถูกต้อง สิ่งที่เรากำลังทำอยู่นี้คือการใช้ฟังก์ชันสุ่มหลอก (VPRF) ที่ตรวจสอบได้ ซึ่งมีเพียงผู้พิสูจน์เท่านั้นที่สามารถสืบค้นได้ แต่ผู้สังเกตการณ์ทุกคนสามารถตรวจสอบได้

การลงลายมือชื่อ (ข้อ 5) จะกระทำได้ต่อเมื่อ $D_i$ ได้รับการคำนวณอย่างถูกต้องเนื่องจากลายเซ็นจะทำได้บนตัวสร้างเท่านั้น $G$ ถ้าไม่มี $H_p()$ คอมโพเนนต์ที่เหลือ (เนื่องจาก EC แยกบันทึก w.r.t. $G$ ไม่ทราบผลลัพธ์ใด ๆ ของ $H_p()$).

ผลลัพธ์ที่ได้คือเราได้สร้างเอาต์พุต VPRF $D_i$ สำหรับแต่ละข้อความ $m_i$และพิสูจน์แล้วว่าเอาต์พุต VPRF แต่ละรายการได้รับการประกาศอย่างถูกต้อง

ตอนนี้จะชัดเจนทันทีหากมีข้อผูกมัดใด ๆ กับข้อความเดียวกัน เนื่องจากพวกเขาจะแบ่งปันสิ่งเดียวกัน $D_i$ ค่า

user77340 avatar
ie flag
โอ้ นี่คือแนวคิดของการทำธุรกรรมที่เป็นความลับ (RingCT)! ดูเหมือนว่านี่ถูกต้อง ขอบคุณ!
user77340 avatar
ie flag
ฉันขอถามสักคำได้ไหม? สำหรับลายเซ็นในขั้นตอนที่ 5 คุณหมายถึงการพิสูจน์ความรู้ของบันทึกแยกของ Ei-Di บนเครื่องกำเนิด H หรือไม่
knaccc avatar
es flag
@ user77340 ใช่เลย
user77340 avatar
ie flag
คำตอบคือไม่ยอมรับ
user77340 avatar
ie flag
จะมีปัญหาอะไรถ้าเราใช้ $D_i=xm_iG$ การโจมตีใด ๆ ? ฉันไม่เห็นว่ามีปัญหาในการพิสูจน์ว่า Pedersen Commitment นั้นเท่ากับ $m_i$ กับ $D_i$
knaccc avatar
es flag
@user77340 ปัญหาคือถ้ามีสองข้อความที่รู้จัก $m_a$ และ $m_b$ ซึ่งอาจเกิดขึ้นในชุด จากนั้นคุณสามารถคำนวณ $c=m_a/m_b$ แล้วตรวจสอบว่ามีคู่ของ $D_i หรือไม่ ค่า $ โดยที่อัตราส่วนระหว่างค่าเหล่านั้นคือ $c$ ดังนั้นคุณจึงยกเลิกคุณสมบัติการซ่อน/ปกปิดข้อผูกพันของ Pedersen
user77340 avatar
ie flag
เข้าใจแล้ว. ฉันพูดได้ไหมว่าการโจมตีนี้จะได้ผลก็ต่อเมื่อมีข้อความรั่วไหลออกมาเท่านั้น หรือถ้าเราสามารถสันนิษฐานได้ว่าข้อความจะไม่รั่วไหล ก็ตกลงที่จะให้ $D_i=xm_iG$? เนื่องจาก $D_i=xm_iG$ ง่ายกว่า จึงเป็นที่ต้องการ
knaccc avatar
es flag
@ user77340 เหตุผลที่คำมั่นสัญญาของ Pedersen ต้องการปัจจัยที่ทำให้ไม่เห็น $r_i$ เพื่อป้องกันไม่ให้ใครก็ตามค้นพบข้อความโดยการบังคับคำมั่นสัญญาอย่างดุร้าย ดังนั้นจึงไม่มีเหตุผลที่จะมีปัญหาในการมีความมุ่งมั่นของ Pedersen ซึ่งใช้ปัจจัยที่ทำให้ไม่เห็นเพื่อป้องกันการบังคับอย่างดุร้าย เพียงเพื่อแนะนำความสามารถในการใช้กำลังดุร้ายอีกครั้งผ่านเอาต์พุต $D_i$ VPRF
user77340 avatar
ie flag
โอเค ฉันเข้าใจ ขอบคุณ!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา