지식 증명을위한 복잡성 클래스

Greg Kuperberg가 나에게 묻는 질문에 따라 다양한 종류 의 지식 증명을 인정하는 복잡한 언어 클래스를 정의하고 연구하는 논문이 있는지 궁금합니다 . 같은 클래스 SZK 및 NISZK은 우리가 영의 지식에 대해 완전히 잊고 그들의 완전한 약속 문제의 관점에서 그들을 정의 된 경우에도 복잡성의 관점에서 매우 자연입니다. 반대로, '지식 증명'이라는 인터넷 검색에서 복잡한 클래스 측면 에서이 사랑스러운 개념에 대한 논문이나 강의 노트를 찾지 못하는 것에 놀랐습니다.

몇 가지 예를 들자면 : x∈L 또는 x∉L에 대한 통계적 제로 지식 증명을 인정하는 모든 언어 L로 구성된 SZK aboutMA∩coMA의 서브 클래스에 대해 말할 수있는 것은 x 는 증명 하는 증인 에 대한 지식의 증거이기도합니다. ∈L 또는 x∉L? 확실히이 클래스는 불연속 로그와 같은 것을 포함하지만, GI를 coMA에 넣지 않고 그래프 동형이 포함되어 있음을 증명할 수 없었습니다. 수업은 모든 SZK∩MA∩coMA를 포함합니까? 일방 함수가 존재한다면, 모든 언어 LMAMAcoMA는 계산 영 지식 증명을 인정합니까, 그것은 또한 x∈L 또는 x∉L을 증명하는 증인에 대한 지식의 증거입니까? (이들 중 하나 또는 둘 다 사소한 답변을 가지고 있다면 사과드립니다 .-- 저는 할 수 있는 일을 설명하려고합니다. 한 번 복잡성 이론 용어로 PoK를 살펴보기로 결정했습니다.)

complexity-classes cr.crypto-security zero-knowledge

— 스콧 애런 슨
소스

재미있는 질문! 이 질문들은

대

의 질문과 많이 같지 않습니까? 실제로 에 대한 귀하의 질문 은 의 (또는 a) 무작위 버전과 거의 똑같

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

M A \cap c o M A

$MA \cap coMA$

대

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

— Joshua Grochow

어디 않습니다

이야기를 입력? 누군가가 그것이 지식의 증거 또는 무언가를 특징 짓는다는 것을 보여 주었습니까?

D P

$DP$

— Scott Aaronson

그것은 단지 비유에 의한 것이라고 생각합니다. 두 경우 모두 (

및

vs 제안한 클래스), 검증기의 조건에 의해 정의 된 두 개의 클래스가 있으며 두 복잡성의 교집합을 비교합니다 두 조건을 동시에 만족시키는 단일 검증자가있는 언어 세트에 대한 클래스. (내가 올바르게 이해했다면)

N P \cap c o N P

$NP \cap coNP$

D P

$DP$

M A \cap c o M A

$MA \cap coMA$

— Joshua Grochow

이것은 실제 답변이 아닙니다. 일부 결과를 공유하고 있습니다 (한 의견에 맞지 않음).

Goldreich, Micali 및 Wigderson ( J. ACM, 1991 )은 NP의 모든 언어가 OWF가 존재한다고 가정 할 때 언어 지식에 대한 지식이 전혀 없다는 것을 증명했습니다. 이를 위해, 이들은 그래프 3 착색성에 대한 ZK 증거를 제시 하였다. 나중에 Bellare와 Goldreich ( CRYPTO '92 )는이 ZK 증명이 ZK 지식 증명 (PoK)임을 증명했습니다. 레빈 축소 (이전 백서의 각주 12 참조)를 사용하여 NP의 모든 언어에는 ZK PoK가 있습니다 (OWF가 있다고 가정).
Itoh와 Sakurai ( ASIACRYPT '91 )는 ZK PoK가 일정한 관계에 관한 복잡한 이론적 결과에 관한 논문을 가지고있다.
이것은 약간의 유사점을 알 수는 없지만 관련이없는 결과입니다. 어떻게 든 (안 공식 아무것도) 느낌 회원의 증거 대의 지식의 증명 과 유사 결정의 대를 검색 . 아마도 이런 의미에서 Bellare와 Goldwasser의 연구를 인용 할 수있다 ( J. Computing, 1994 ). NP의 모든 언어가 검색에서 결정으로 축소되는 것은 아니라는 것을 조건 적으로 증명한다.

PoK의 복잡성 이론 측면과 관련하여 몇 가지 미해결 문제 (아마도 해결되었지만 아는 것은 아님) :

특정 복잡도와의 특정 관계 (예 : AM의 관계)의 ZK PoK에 대한 다양한 효율성 측정 :
- 증거의 통신 복잡성
- 당사자의 계산 복잡성
- 지식 견고성 (즉, 시뮬레이터의 (예상) 실행 시간과 실제 상호 작용에서 검증기의 실행 시간 사이의 비율)
ZK PoK를 특정 제한으로 인정하는 관계의 복잡성, 제한된 라운드 복잡성 (Itoh 및 Sakurai는 일정한 라운드 ZK PoK 만 고려). 다른 예는 증명자가 다항식 시간 인 경우입니다. 그는 NP- 완전한 관계를 해결할 수 없기 때문에 3 색으로 축소를 사용할 수 없습니다. 모든 NP- 완료 문제는 검색에서 결정까지 Cook이 줄어 듭니다. 그러나, 상기 인용 된 Bellare-Goldwasser 결과에 의해, 이러한 감소가 모든 NP 언어 / 관계에 반드시 존재하는 것은 아니다.
반드시 ZK는 아니지만 지식 복잡성이 제한되는 PoK에 관한 다른 흥미로운 결과. Goldreich and Petrank ( Comput. complex., 1999 )를 참조하십시오 .

결론을 내리기 전에 실제로 PoK에 대한 몇 가지 정의가 있으며 그 중 일부는 아래에 언급되어 있습니다.

1) 초기 시도 : Feige, Fiat and Shamir ( J. Cryptology, 1988 ), Tompa and Woll ( FOCS 1987 ) 및 Feige and Shamir ( STOC 1990 ).

2) 사실상의 표준 : Bellare와 Goldreich ( CRYPTO '92 ). 이 백서에서는 PoK 정의에 대한 초기 시도를 조사하고 그 단점을 관찰하며 PoK의 "the"정의로 간주 될 수있는 새로운 정의를 제안합니다. 이 정의에는 블랙 박스 특성이 있습니다 (지식 추출기는 부정 행위를하는 블랙 박스에 액세스 할 수 있음).

3) 보수적 PoK : Halevi 및 Micali ( ePrint Archive : Report 1998/015 )에서 정의한이 정의는 입증 가능성을 보장하기 위해 이전 정의를 보완합니다. 또한 단일 프로 버의 지식에 대한 정의를 제공합니다. 이는 "P가 무언가를 알고 있다고 말하는 것이 무엇을 의미합니까?"라는 질문에 대답 할 때 좋습니다.

4) 비 블랙 박스 추출에 대한 지식의 주장 : 위에서 언급 한 바와 같이, PoK의 표준 정의는 블랙 박스이므로, 사소하지 않은 언어에 대한 지식의 지식에 대한 재설정 이 불가능합니다 . Barak et al. ( FOCS 2001 )은 위에 언급 된 Feige와 Shamir (STOC 1990)의 정의를 기반으로하지만 비 블랙 박스 정의를 제공합니다.

— MS 두티
소스