百隆-费尔德曼-米卡利方法中的缺陷在哪里

百隆（Blum），米卡利（Micali）和费尔德曼（Feldman）（BFM）提出了一种新的（密码学）模型，在这种模型中，所有各方（诚实的或对抗的）都可以使用某些字符串。假定该字符串是由受信任方根据某种分布（通常是均匀分布）选择的。它称为参考字符串，并且该模型恰当地命名为通用参考字符串（CSR）模型。

该模型使我们能够非交互地执行许多有趣的交互协议，从而用查询字符串中的位代替查询。特别是，任何NP语言的零知识证明都可以非交互式地进行，从而产生了非交互式零知识（NIZK）的概念。

NIZK有许多应用程序，例如提供一种方法来实现针对（自适应）选择密文攻击的安全的公钥密码系统。

$\rho$$L \in \bf{NP}$$x \in L$$|\rho|$$\rho$

$\rho$

Feige，Lapidot和Shamir（在其论文第一页的第一个脚注中）说：

发现BFM中建议的克服此困难的方法是有缺陷的。

（困难是指获得多定理证明而不是单定理证明。）

BFM缺陷在哪里？

我还没有阅读他们有缺陷的协议的细节，但是我已经有好几次听说过它了。我的印象是他们的错误在于他们如何使用PRG种子。他们的协议将伪随机生成器（PRG）种子放入公共通用参考字符串中，并且他们试图证明PRG安全性迫使PRG输出的某些统计属性即使在已知种子的情况下也保持不变。虽然这是可能做到这一点在一个健全的方式（Hohenberger和Waters的签名方案在这里和这里涌现在脑海里），出事了他们的说法。