랜덤 Oracle 모델에서 무 지식 프로토콜의 소진 시뮬레이터

"공통 참조 문자열 및 임의 Oracle 모델의 거부 가능성"이라는 제목의 논문에서 Rafael Pass는 다음과 같이 말합니다.

RO [Random Oracle] 모델에서 표준 제로 지식 정의에 따라 보안을 입증 할 때 시뮬레이터는 일반 모델 시뮬레이터에 비해 두 가지 장점이 있습니다.

1. 시뮬레이터는 당사자가 오라클에 어떤 값을 쿼리하는지 확인할 수 있습니다.
2. 시뮬레이터는 응답이 "보여"괜찮다면 원하는 방식으로 이러한 쿼리에 응답 할 수 있습니다.

첫 번째 기술, 즉 RO에 대한 쿼리를 "모니터링"하는 능력은 RO 모델의 무 지식 개념을 참조하는 모든 논문에서 매우 일반적입니다.

이제 블랙 박스 영 지식 의 정의를 고려하십시오 ( PPT 는 확률적이고 다항식 튜링 머신을 나타냅니다 ).

$\exists$ PPT 시뮬레이터 , 예컨대 그 (아마도 부정) PPT 검증기 , 공통 입력 및 난수 , 다음은 구별 :∀ V ∗ ∀ x ∈ L ∀ $S$$\forall$$V^*$$\forall$$x\in L$$\forall$$r$

• 입력 상에서 프로 버 와 상호 작용하고 랜덤 성 사용 하는 동안 의 관점 ; P x $V^*$$P$$x$$r$
• 출력 입력에 및 , 블랙 박스에 액세스 주어진다 . X는 r에 S V $S$$x$$r$$S$$V^*$

여기에서는 부정 행위 검증기 를 보여 드리고자 합니다.$V'$

하자 블랙 박스 제로 지식의 정의에 존재 한정사에 의해 보장 시뮬레이터, 그리고하자 의 실행 시간 상단 경계 다항식 일 입력에 . 가 의 쿼리를 RO 에 모니터하려고 한다고 가정하십시오 .q ( | x | ) S x S V $S$$q(|x|)$$S$$x$$S$$V^*$

이제 부정 행위 생각해 보자. 우선 RO는 번 (선택한 임의의 입력에 대해 을 쿼리 한 다음 임의로 악의적으로 행동한다. q ( | x | ) + $V'$$q(|x|)+1$

분명히 는 시뮬레이터 소진합니다 . 의 간단한 방법은 그러한 악의적 인 행동을 거부하는 것이지만, 그렇게하면 구별자가 실제 상호 작용을 시뮬레이션 된 행동과 쉽게 구별 할 수 있습니다. (실제 상호 작용에서 증명 자 는 의 쿼리를 모니터링 할 수 없으므로 가 너무 많이 쿼리 한다는 사실만으로는 거부하지 않습니다 .) S S P V ' V $V'$$S$$S$$P$$V'$$V'$

위의 문제에 대한 해결 방법은 무엇입니까?

편집하다:

RO 모델에서 ZK를 연구하기위한 좋은 소스는 다음과 같습니다.

Martin Gagné, 랜덤 오라클 모델 연구, Ph.D. 2008 년 데이비스 , 캘리포니아 대학 논문, 109 쪽. ProQuest에서 사용 가능 : http://gradworks.umi.com/33/36/3336254.html

특히, Yung 및 Zhao에 기인 한 섹션 3.3 (20 페이지)의 RO 모델에서 블랙 박스 ZK에 대한 정의를 제공합니다.

Moti Yung과 Yunlei Zhao. 제한된 랜덤 Oracle을 통한 대화식 제로 지식. 에서 TCC 2006 - 암호화 이론 , LNCS 3876, PP 21-40, 2006..

랜덤 오라클 모델에서 블랙 박스 ZK를 정의하려는 이유에 대한 의문이 있습니다. 사람들이 블랙 박스 제로 지식의 정의를 제안한 이유는 두 가지 이상 있습니다.

1) 긍정적 인 결과를 들어, 시뮬레이터는 "블랙 박스 영 지식"자동으로 당신의 실행 시간에 바인딩 좋은를 제공이라고 말할 (즉, 반대 to ) 그리고 시뮬레이터가 의 내장을 보지 않고 가 RAM, 회로 등을 사용하여 구현 되는지 신경 쓰지 않는다는 것을 아는 것도 유용 할 수 있습니다 . 랜덤 오라클 모델 시뮬레이터는 효율적인 수도 있지만 그것이 실행 보면 어떻게 든로되어 있기 때문에 ..이 블랙 박스는 분명히 아니다 때 그것에서 이해p o l y ( t i m e ( V ∗ ) ) V ∗ V ∗ V ∗ V $poly(|x|) \cdot time(V*)$$poly(time(V*))$$V*$$V*$$V*$$V*$해시 함수를 평가하고 있습니다. 이러한 이유로, 랜덤 오라클 모델 시뮬레이터가 "블랙 박스"라고 말하는 것은 의미가 없습니다.

2) 부정적인 결과를 위해 사람들은 "블랙 박스 시뮬레이터"를 사용하여 다양한 종류의 증명 기술을 포착합니다. 이 경우 랜덤 오라클 모델에서도 블랙 박스 시뮬레이터를 정의 할 수 있으며, 의미있는 정의는 David가 말한 것입니다. 사실, 랜덤 오라클 모델이 아니더라도 부정적인 결과를 얻으려면 시뮬레이터 실행 시간 을 허용하더라도 결과가 유지되는 것이 가장 좋습니다 . 실제로, 그것이 항상 언급되는 것은 아니지만, 부정 행위 검증기 는 일반적으로 의사 난수 함수를 실행하는 고정 다항식 알고리즘이며 시뮬레이터는 다항식 실행 시간을 가질 수 있기 때문에 내가 알고있는 부정적인 결과에는 모두이 속성이 있습니다 .V $poly(time(V*))$$V*$

여기에 문제가 있습니다. 나는 최근 랜덤 오라클 (RO) 모델에서 블랙 박스 제로 지식을 다루는 논문을 읽지 않았으므로 거기에서 쓰여진 내용이 아니라 의미가 무엇인지 추측하고 있습니다. 짧은 대답 (추측)은 RO 모델의 BB-ZK가 시뮬레이터를 | x | 부정 행위 검증자인 V *에 의해 발행 된 RO 쿼리의 수.

그 추측을 정당화하려고 노력합시다. "랜덤 오라클 모델의 블랙 박스 제로 지식 증명"이라는 용어는 제대로 정의하기 위해 더 자세히 살펴볼 필요가 있습니다. 블랙 박스 시뮬레이터는 모든 오라클 (즉, 부정 행위 검증 도구를 블랙 박스로 사용)과 작동하도록 정의되어 있으며 유일한 인터페이스는 오라클 입력 / 출력을 통한 것입니다. 모든 당사자에게 RO를 제공하기 위해이 모델을 보강하면 (아마도 회로에 RO 게이트를 허용함으로써) 시뮬레이터가 Oracle 쿼리에서 RO를 프로그래밍 할 수없는 모델을 얻습니다 (RO 쿼리 포함). V * 오라클의 "내부"에서 발생하고 다음 메시지를 반환합니다. RO 프로그래밍을 허용하려면 인터페이스를 수정해야합니다. 이제 시뮬레이터는 V *에 대한 입 / 출력 오라클을 가져오고 임의 오라클은 얻지 않습니다. V * oracle을 호출 할 때마다 다음 메시지를 생성하는 대신 오라클은 RO에 대한 다음 쿼리를 생성 할 수 있으며 시뮬레이터는 오라클을 다시 호출하여 RO 응답을 제공 할 수 있습니다. 이제 RO 프로그래밍이 가능하며 시뮬레이터의 실행 시간이 RO에 대한 쿼리 수에 의존 할 수 있습니다.

이러한 정의의 의미에 대한 추가 탐색은 독자에게 맡겨져 있습니다. 문법적으로 생각하고 있습니다.