Минимальные расходы на связь для нулевого знания доказательств трех цветов

11

В доказательстве Голдрайха и др. О том, что три цвета имеют нулевое доказательство знания, используется битовое обязательство для полной раскраски графа в каждом раунде [1]. Если граф имеет вершин и ребер, безопасный хеш имеет битов, и мы ищем вероятность ошибки , общая стоимость связи равна $n$ $e$ $b$ $p$

О (б е N журнал (1 / п))

$O(ben \log(1/p))$

за раундов. Используя постепенно открывающееся дерево Меркле, общее количество сообщений может быть уменьшено до за счет увеличения количества раундов до . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

Можно ли добиться большего успеха, чем с точки зрения общего количества общения или количества раундов?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Редактировать : Спасибо Рики Демер за указание недостающего фактора . $e$

communication-complexity zero-knowledge

— Джеффри Ирвинг
источник

3

Так что вот правильный документ для моих целей:

Джо Килиан, «Замечание об эффективных доказательствах и аргументах с нулевым знанием». http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Чтобы получить самый сильный результат, нам нужно принимать аргументы с нулевым знанием, а не доказательства (ограниченный в вычислительном отношении доказатель); это то, что меня интересует, но я не знаю терминологию.

Предполагая достаточное количество криптографических допущений, в статье приводятся аргументы с нулевым знанием при полной связи для . $O(b \log^c n \log (1/p))$ $c = O(1)$

Ишай и др., «Об эффективных РСР с нулевым знанием», http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf, подтянули этот результат к раундам . $O(1)$

— Джеффри Ирвинг
источник

Я думаю, что лучше удалить этот ответ и обновить исходный, чтобы он был правильным.

— Каве

2

Обновление : этот ответ устарел из-за моего другого ответа с полилогарифмическими оценками из соответствующих ссылок.

Во-вторых, нет необходимости постепенно раскрывать дерево Меркле, поэтому версия с более низкой связью не требует дополнительных раундов. Коммуникационные шаги

Доказатель P рандомизирует свою раскраску, превращает ее в (соленое) дерево Меркля и отправляет корень верификатору V.
V выбирает случайное ребро и отправляет его в P. $e$
P отправляет пути дерева Merkle от корня к каждой конечной точке от до V. $e$

Это дает связь через раундов. $O(be \log n \log (1/p))$ $O(1)$

Обновление: вот детали конструкции дерева Меркле. Для простоты разверните граф так, чтобы он имел ровно вершины, добавив несколько отключенных узлов (они не влияют на три цвета или нулевое знание). Предположим, что безопасная хеш-функция принимает входные данные любого размера и создает битные выходные данные. Для каждого дерева Меркля проверяющий выбирает случайных битных одноразовых номеров, по одному на каждый лист и не лист на двоичном дереве. На листьях мы хэшируем цвет, соединенный с одноразовым номером для получения значения листа. В каждом nonleaf мы хэшируем значение двух дочерних элементов с nonce nonleaf, чтобы получить значение nonleaf. $2^a$ $b$ $2^{a+1}-1$ $b$

В первом раунде проверяющий отправляет только корневое значение, которое не предоставляет никакой информации, поскольку оно хешируется с одноразовым значением корня. В третьем раунде информация не передается ни о каком нерасширенном узле в двоичном дереве, поскольку такой узел хэшируется с одноразовым номером в этом узле. Здесь я предполагаю, что и средство проверки, и средство проверки ограничены в вычислительном отношении и не могут разбить хеш.

Редактировать : Спасибо Рики Демер за указание недостающего фактора . $e$

— Джеффри Ирвинг
источник

Шаг 1 дал бы верификатору высокоточный способ проверить любую догадку о раскраске проверяющего, используя только 6 раз работу шага-1 проверяющего за предположение. Кроме того, я не вижу способа использовать дерево Меркле, вычисленное проверяющим, не перейдя от доказательства к аргументу .

$\:$

$\;\;\;\;$

Как можно использовать соленое дерево Меркле, чтобы угадать цвет?

— Джеффри Ирвинг

1

Я опубликовал ответ, говорящий, почему я думаю, что соленая идея дерева Меркле не работает. Вместо этого вы должны превратить обязательства по рандомизации цветов в дерево Меркле. Я также заметил, что вы, похоже, упускаете фактор number_of_edges в сложности коммуникации.

$\:$

$\hspace{.48 in}$

1

Хорошо, можно рассмотреть обещание, что присваивание является допустимой 3-раскраской или [по крайней мере ребра имеют вершины одинакового цвета]. Это снижает сложность связи до, (продолжение ...)

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$

$\;\;\;$

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$

$\;\;\;$

1

(... продолжение)Затем можно применить механизм PCP, чтобы уменьшить стандартное отношение трех цветов к этому отношению обещания. Затем доведение этой идеи до крайности дает универсальные аргументы с нулевым знанием .

$\;\;\;$

$\;\;\;\;\;\;\;\;$

1

В последнее время наблюдается всплеск активности в виде кратких неинтерактивных аргументов с нулевым знанием. Известно, например, как создать аргумент NIZK для Circuit-SAT, где длина аргумента - это очень небольшое постоянное число групповых элементов (см. Groth 2010, Lipmaa 2012, Gennaro, Gentry и т. Д., Eurocrypt 2013 и т. Д.). Основываясь на NP-сокращении, вы можете четко построить аргумент для 3-цветности с той же информацией.

Конечно, это другая модель по сравнению с вашим первоначальным вопросом - например, в этих аргументах длина CRS является линейной по размеру схемы, и в некотором смысле ее можно рассматривать как часть коммуникации (хотя ее можно использовать повторно в много разных аргументов).

— cryptocat
источник

0

(Это не вписывается в комментарий.)

Я думаю, что теперь я вижу, как показать, что ваше соление не обязательно обеспечивает
честную проверку нулевого знания. $\:$ Пусть будет безопасным хешем. $H_0$ $\:$ Если мы знаем,
что уже может обрабатывать входы произвольной длины, то пусть равен , иначе пусть будет результатом применения конструкции Меркля – Дамгарда к . (Обратите внимание, что представляет конкатенацию.) $H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ Пусть таково, что для всех 3-битных строк и для всех $H_2$

$x$ $z$ -бит $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ строки , для строки такой, что $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
Один имеет $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$ ,

и

для всех 3-битных строк , для всех солей $x$ $r\hspace{-0.02 in}$ для строки , получающейся в результате посола с $m$ $x$ $r\hspace{-0.02 in}$ , Если является не вид на имя выше , то $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$ ,

и

для всех строк которые не относятся ни к одной из этих двух форм, $m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ ,

,

$H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Я не уверен, что следую вашей нотации, но кажется, что вы спорите, что вы можете взять мой набросок и заполнить детали явно глупым образом, создав тем самым небезопасную систему. Я добавлю более чистую безопасную версию деталей в мой ответ.

— Джеффри Ирвинг

H_{2}

$H_2$

$\:$ Все остальное было

$\hspace{1.71 in}$ что я честно думал, что ты имел в виду.

$\;\;\;\;$

Пожалуйста, дайте мне знать, ясно ли добавлено в мой ответ. Вполне возможно, что я что-то упустил, и моя конструкция действительно сломана.

— Джеффри Ирвинг