Blum-Feldman-Micali의 방법의 결함은 어디에 있습니까

Blum, Micali 및 Feldman (BFM)은 모든 당사자 (정직하거나 적대적인)가 일부 문자열에 액세스 할 수있는 새로운 (암호화) 모델을 제시했습니다. 문자열은 신뢰할 수있는 당사자가 일부 배포 (일반적으로 균일 한 배포)에 따라 선택한다고 가정합니다. 이를 참조 문자열 이라고하며 모델의 이름은 CSR ( Common Reference String ) 모델이라고합니다.

이 모델을 사용하면 많은 흥미로운 대화 형 프로토콜을 비 대화식으로 수행 하여 쿼리를 참조 문자열의 비트로 대체 할 수 있습니다. 특히, 모든 NP 언어에 대한 무 지식 증명은 비 대화식으로 수행 될 수 있으며, 비 대화식 제로 지식 (NIZK) 의 개념이 생깁니다.

NIZK는 공개 키 암호 시스템을 (적응 한) 선택된 암호문 공격으로부터 안전하게 보호하는 방법을 제공하는 등의 많은 어플리케이션을 보유하고 있습니다 .

BFM은 먼저 모든 NP 언어에 대해 단일 정리 버전의 NIZK가 있음을 입증했습니다 . 즉, 참조 문자열 와 언어 L ∈ N P 가 주어지면 x ∈ L 형식의 단일 정리 만 증명할 수 있습니다 . 또한 정리의 길이는 | ρ | . 증명자가 이후 증명에서 일부 비트의 ρ 를 재사용하려고하면 지식 유출의 위험이 있습니다 (그리고 증명은 더 이상 NIZK가 아닙니다).$\rho$$L \in \bf{NP}$$x \in L$$|\rho|$$\rho$

이를 해결하기 위해 BFM은 단일 정리 NIZK를 기반으로하는 다중 정리 버전을 사용했습니다. 이를 위해 의사 난수 발생기를 사용하여 를 확장 한 다음 확장 비트를 사용했습니다. 다른 세부 사항도 있지만 파지 않을 것입니다.$\rho$

Feige, Lapidot 및 Shamir (논문 첫 페이지의 첫 번째 각주) :

이 어려움 을 극복 하기 위해 BFM에서 제안한 방법은 결함이있는 것으로 밝혀졌다.

( 난이도 는 단일 정리보다는 다중 정리 증명을 얻는 것을 말합니다.)

BFM 결함은 어디에 있습니까?

나는 그들의 결함이있는 프로토콜의 세부 사항을 읽지 않았지만, 여러 번 그것에 대해 들었습니다. PRG 시드 사용 방식에 오류가 있다는 인상을 받았습니다. 그들의 프로토콜은 PRG (pseudorandom generator) 시드를 공개 공통 참조 문자열에 넣고 PRG 보안은 PRG 출력의 일부 통계적 속성이 알려진 시드로도 유지되도록 강제한다고 주장합니다. 이 사운드 방법 (Hohenberger 및 워터스의 서명 기법에서이 작업을 수행 할 수 있지만 여기 와 여기가 마음에 봄), 무언가는 인수에 잘못된 갔다.