Почему Фейге-Фиат-Шамир не является Нулевым Знанием без знаковых битов?

В главе 10 HAC (10.4.2) мы видим хорошо известный протокол идентификации Фейге-Фиат-Шамира, основанный на доказательстве с нулевым знанием, использующем (предполагаемую) сложность извлечения квадратных корней по модулю композита, который трудно проанализировать. Я дам схему своими словами (и, надеюсь, сделаю все правильно).

Давайте начнем с более простой схемы: пусть $n$ будет целым числом Блюма (так что $n=pq$ и каждый из $p$ и $q$ равен 3 mod 4) достаточно большого размера, чтобы факторинг был интраабильным. Поскольку $n$ - целое число Блюма, половина элементов $Z_n^*$ имеет символ Якоби +1, а другая половина - -1. Для элементов +1 половина из них имеет квадратные корни, а каждый элемент, имеющий квадратный корень, имеет четыре из них, ровно один сам является квадратом.

Теперь Пегги выбирает случайный элемент $s$ из $Z_n^*$ и устанавливает $v=s^2$ . Затем она отправляет $v$ к Виктору. Далее следует протокол: Виктор хочет убедиться, что Пегги знает квадратный корень из $v$ и Пегги хочет доказать это ему, не раскрывая ничего о $s$ кроме факта, что она знает такие $s$ .

1. Пегги выбирает случайное значение $r$ в $Z_n^*$ и отправляет $r^2$ Виктору.
2. Виктор равновероятно отправляет $b=0$ или $b=1$ обратно Пегги.
3. Пегги посылает $rs^b$ Виктору.

Виктор может проверить, что Пегги отправила правильный ответ, возведя в квадрат то, что он получил, и сравнив с правильным результатом. Конечно, мы повторяем это взаимодействие, чтобы уменьшить вероятность того, что Пегги просто удачливая догадка. Этот протокол называется ZK; доказательства могут быть найдены в разных местах (например, конспекты лекций Вооза Барака ).

$k$$s_1\cdots s_k$$t_1 = \pm 1, \cdots t_k = \pm 1$$v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$$v_i$, Сейчас

1. Пегги выбирает случайный в и отправляет Виктору.Z ∗ n r $r$$Z_n^*$$r^2$
2. Виктор равновероятно отправляет значений из обратно в Пегги.b i { 0 , 1 $k$$b_i$$\{0,1\}$
3. Пегги отправляет Виктору .$r\Pi_{i=1}^ks_i^{b_i}$

Мой вопрос: зачем биты знака ? В скобках HAC отмечает, что они присутствуют в качестве технического требования, необходимого для доказательства того, что секретная информация не пропущена. Страница Википедии для Feige-Fiat-Shamir (которая неправильно использует протокол) подразумевает, что без этого немного утечек.$t_i$

Я не могу найти атаку, которая извлекает что-либо из Пегги, если она пропускает знаки.

Протокол идентификации Feige-Fiat-Shamir (FFS) является доказательством знания (PoK), в котором доказатель (Peggy) подтверждает свои знания квадратными корнями данного ввода для верификатора (Victor).

FFS хочет отличить PoK от доказательств принадлежности к языку , в которых Пегги доказывает, что вход обладает некоторым свойством (более формально вход принадлежит определенному языку).

Если мы не используем отрицательные знаки, возможно, что входные данные не имеют квадратного корня. Например, число 20 не имеет никаких квадратных корней по модулю 21. Поскольку различение квадратов и неквадратов является известной сложной проблемой , FFS избегает ее, позволяя вводить значение плюс или минус некоторого квадрата числа. В своих собственных словах (немного изменился):

$v_i$$v_i$ $+1 \bmod n$$s_i$$v_i$

Под неограниченным вводом доказательств знания с нулевым знанием они подразумевают ZK PoK, соответствующее доказательство принадлежности к языку которого тривиально; т.е. V может сам решить, что вход является плюсом или минусом некоторого квадрата (просто проверяя символ Якоби).