세 가지 색상의 무 지식 증명을위한 최소 통신 비용

11

Goldreich et al.의 3 가지 착색성에 제로 지식 증명이 있다는 증거는 각 라운드에서 그래프의 전체 채색에 비트 약정을 사용합니다 [1]. 그래프에 개의 정점과 모서리가 있고 보안 해시에 비트가 있고 오류 확률 찾는 경우 총 통신 비용은 다음과 같습니다. $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

이상은 라운드. 점진적으로 공개 된 Merkle 트리를 사용하면 라운드 수를 로 늘리는 대신 전체 통신을 로 줄일 수 있습니다. $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

전체 의사 소통 또는 라운드 수 측면에서 이보다 더 잘 수행 할 수 있습니까?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

편집 : 의 누락 요소를 지적한 Ricky Demer에게 감사합니다 . $e$

communication-complexity zero-knowledge

— 제프리 어빙
소스

3

여기 내 목적에 맞는 논문이 있습니다.

Joe Kilian, "효율적인 제로 지식 증명 및 주장에 대한 메모." http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

가장 강력한 결과를 얻으려면 증명 (계산적으로 검증 된 증명 자)이 아닌 제로 지식 주장 을 수용해야합니다 . 이것들은 내가 관심이 있지만 용어를 몰랐습니다.

충분한 암호 가정을 가정하면,이 논문은 대한 전체 통신 를 전혀 모르는 논증을 제시합니다 . $O(b \log^c n \log (1/p))$ $c = O(1)$

이 결과는 Ishai 등의 "효율적인 제로 지식이없는 PCP"( http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf 의해 라운드로 강화되었습니다 . $O(1)$

— 제프리 어빙
소스

이 답변을 삭제하고 원래 답변을 올바른 답변으로 업데이트하는 것이 좋습니다.

— Kaveh

2

업데이트 :이 답변은 다른 답변에서 더 이상 사용되지 않으며 적절한 참조의 완전히 다항식 범위가 있습니다.

두 번째로, 머클 트리를 점진적으로 공개 할 필요가 없으므로, 낮은 커뮤니케이션 버전은 추가 라운드가 필요하지 않습니다. 통신 단계는

증명 자 P는 채색을 무작위 화하고 (염색 된) 머클 트리로 전환 한 다음 루트를 검증 자 V로 보냅니다.
$e$
$e$

$O(be \log n \log (1/p))$ $O(1)$

$2^a$ $b$ $2^{a+1}-1$ $b$

첫 번째 라운드에서 증명자는 루트 값만 보내며, 루트 값으로 해시되므로 정보를 제공하지 않습니다. 세 번째 라운드에서는 이진 트리의 확장되지 않은 노드에 대한 정보가 전달되지 않습니다. 이러한 노드는 해당 노드에서 nonce로 해시 되었기 때문입니다. 여기서 나는 증명 자와 검증자가 계산적으로 묶여 있고 해시를 깰 수 없다고 가정합니다.

편집 : e 의 누락 요소를 지적한 Ricky Demer에게 감사합니다 $e$

— 제프리 어빙
소스

1 단계는 검증 자에게 추측 당 1 단계 작업의 6 배만 사용하여 증명 자의 채색에서 모든 추측을 테스트 할 수있는 정확한 방법을 제공합니다.

$\:$ 또한 증명에서 인수로 가지 않고 프로 버가 계산 한 머클 트리를 사용하는 방법을 보지 못했습니다 .

$\;\;\;\;$

소금에 절인 머클 나무를 어떻게 채색 할 때 추측 할 수 있습니까?

— Geoffrey Irving

1

소금에 절인 머클 트리 아이디어가 효과가 없다고 생각하는 이유에 대한 답변을 게시했습니다.

$\:$ 대신 색상의 무작위 화에 대한 약속을 Merkle 트리로 바꿔야합니다 .

$\:$ 또한 통신 복잡성에서 number_of_edges 요소가 누락 된 것으로 보입니다.

$\hspace{.48 in}$

1

음, 하나는 고려할 수있는 약속을 할당이 3 착색 또는 유효 [적어도 중 하나입니다

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ 가장자리에는 같은 색의 정점이 있습니다].

$\;\;\;$ 통신 복잡성을 떨어 뜨립니다

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (계속 ...)

1

(... 계속)

$\;\;\;$ 다음으로, 약속 약속과의 표준 3 색 관계를 줄이기 위해 PCP 기계 를 적용 할 수 있습니다 .

$\;\;\;$ 그런 다음, 그 아이디어를 극단적으로 받아들이면 지식이없는 보편적 논증이 됩니다.

$\;\;\;\;\;\;\;\;$

1

간결한 비 대화식 제로 지식 논증에서 최근 활동이 급증하고있다. 예를 들어 인수 길이가 매우 적은 수의 그룹 요소 (Gross 2010, Lipmaa 2012, Gennaro, Gentry 등, Eurocrypt 2013 등 참조) 인 Circuit-SAT에 NIZK 인수를 구성하는 방법이 알려져 있습니다. NP 감소를 기반으로 동일한 통신으로 3 색성에 대한 인수를 명확하게 구성 할 수 있습니다.

물론 이것은 원래의 질문과 비교하여 다른 모델입니다. 예를 들어, 이러한 주장에서 CRS 길이는 회로 크기에서 선형이며 어떤 의미에서는 통신의 일부로 생각할 수 있습니다 (다시 사용할 수는 있지만) 많은 다른 주장).

— 암호
소스

0

(댓글에는 맞지 않습니다.)

나는 이제 당신의 소금이 반드시
정직한 검증 자 지식을 제공하지는 않는다는 것을 보여주는 방법을 보았습니다 . $\:$ $H_0$ $\:$
$H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ $H_2$

$x$ $z$ $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
하나는 $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$

$x$ $r\hspace{-0.02 in}$ $m$ $x$ $r\hspace{-0.02 in}$ 경우 $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$

$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

$H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

나는 당신의 표기법을 따르지 않을지 모르지만, 당신이 내 스케치를 가져 와서 분명하게 바보 같은 방식으로 세부 사항을 작성하여 불안전 한 시스템을 만들 수 있다고 주장하는 것처럼 보입니다. 답에보다 안전한 보안 버전의 세부 정보를 추가하겠습니다.

— Geoffrey Irving

H_{2}

$H_2$

$\:$ 그 밖의 모든 것

$\hspace{1.71 in}$ 내가 솔직하게 생각한 것

$\;\;\;\;$

답변에 추가 된 내용이 명확하게되는지 알려주십시오. 내가 뭔가를 잃어 버렸고 내 건축이 실제로 파손되었을 가능성이 있습니다.

— Geoffrey Irving