Questions tagged «zero-knowledge»

格雷格·库珀伯格（Greg Kuperberg）问我一个问题时，我想知道是否有任何论文可以定义和研究承认各种知识证明的语言的复杂性类别。从复杂性的角度来看，即使我们完全忘记了零知识，而只是根据它们的完全承诺问题对其进行了定义，从复杂性的角度来看，诸如SZK和NISZK之类的类还是非常自然的。相比之下，在使用谷歌搜索“知识证明”时，我很惊讶地发现没有任何论文或讲义就复杂性类别讨论了这个可爱的概念。 举个例子：关于SZK∩MA∩coMA的子类，由所有接受L∈L或x∉L的统计零知识证明的语言L构成，这也是见证者证明x 的知识的证明，该怎么说呢？∈L或x∉L？当然，此类包含诸如离散对数之类的东西，但是如果不将GI放入coMA中，我们就无法证明它包含图同构。该课程是否涵盖所有SZK∩MA∩coMA？还会有人问：如果存在单向函数，那么每种语言L∈MA∩coMA都承认计算零知识证明，这也是证人证明x∈L或x∉L的知识证明吗？（我很抱歉，如果其中一个或两个都得到了平凡的答案，我只想说明一个人可以做的事情 问，一旦有人决定以复杂性理论的眼光看待PoK。）

16 complexity-classes  cr.crypto-security  zero-knowledge 

在HAC（10.4.2）的第10章中，我们看到了众所周知的Feige-Fiat-Shamir识别协议，该协议基于零知识证明，使用（假定的）提取模因难以分解的复合物的平方根的难度。我会用自己的话说这个方案（并希望能正确解决）。 让我们从一个更简单的方案开始：让是一个足够大的大小的Blum整数（所以，和均为3 mod 4），使得分解难以处理。由于是Blum整数，因此的元素的一半具有雅可比符号+1，而另一半则具有-1。对于+1元素，其中一半具有平方根，每个具有平方根的元素具有四个，正好一个本身就是一个平方。n = p q p q n Z ∗ nnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* 现在，Peggy 从选择一个随机元素，并设置。然后，她将发送给Victor。接下来是协议：Victor希望验证Peggy知道平方根，Peggy希望向他证明而不对透露任何事实，而她并不知道。Z * n v = s 2 v v s ssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss 佩吉（Peggy）在选择一个随机，然后将发送给Victor。Z * n r 2rrrZ∗nZn∗Z_n^*r2r2r^2 维克托可能将或发送回Peggy。b = 1b=0b=0b=0b=1b=1b=1 佩吉将发送给维克多。rsbrsbrs^b Victor可以通过对收到的结果进行平方并与正确的结果进行比较来验证Peggy是否已发送正确的答案。当然，我们重复此交互操作以减少Peggy只是幸运的猜测者的机会。该协议被称为ZK；可以在各个地方找到证明（例如Boaz Barak的讲义）。 当我们扩展该协议以使其更有效时，它称为Feige-Fiat-Shamir；这与上面的非常相似。我们以随机值和随机符号开始Peggy，她将其正方形发布为。换句话说，我们随机否定一些。现在kkks1⋯sks1⋯sks_1\cdots s_kt1=±1,⋯tk=±1t1=±1,⋯tk=±1t_1 = \pm 1, \cdots t_k = \pm 1v1=t1s21,⋯,vk=tks2kv1=t1s12,⋯,vk=tksk2v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2viviv_i …

12 cr.crypto-security  proofs  zero-knowledge 

Goldreich等人的证明，三种可着色性为零的知识证明，在每一回合中对图形的整个着色都使用位承诺[1]。如果图具有个顶点和边，则安全散列具有位，并且我们寻求错误概率，则总通信成本为Ë b pnnneeebbbppp O(benlog(1/p))Ø（bËñ日志⁡（1个/p））O(ben \log(1/p)) 超过回合。使用逐渐显示的梅克尔树，可以将总通信量减少为，但代价是增加回合数到。ø （b Ë 日志Ñ 日志（1 / p ））ø （登录Ñ ）O(1)Ø（1个）O(1)O(belognlog(1/p))Ø（bË日志⁡ñ日志⁡（1个/p））O(be \log n \log (1/p))O(logn)Ø（日志⁡ñ）O(\log n) 无论是在整体交流还是在回合数量上，是否都可以做得更好？ http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf 编辑：感谢Ricky Demer指出的缺失因子。eËe

11 communication-complexity  zero-knowledge 

证明者是否有办法使验证者确信某些HORN-SAT表达式是可以满足的？ 当然，这似乎很愚蠢，因为存在针对HORN-SAT的线性时间算法。另一方面，HORN-SAT是P完全的，这意味着除非P = L，否则它没有对数空间算法。因此，将验证者的计算能力限制为L。现在，验证者非常虚弱，因此问题不再是愚蠢的。 另一个问题是它是否可以是零知识证明。

10 cc.complexity-theory  interactive-proofs  zero-knowledge