Неинтерактивное доказательство с нулевым разглашением - Non-interactive zero-knowledge proof

Неинтерактивные доказательства с нулевым разглашением- также известный как NIZK[1], zk-SNARK[2], zk-STARK[3]-находятся доказательства с нулевым разглашением которые не требуют взаимодействия между проверяющим и проверяющим.

История

Блюм, Фельдман и Микали[4] показал в 1988 году, что общая ссылочная строка, разделяемая проверяющим и проверяющим, достаточна для достижения вычислительного нулевого знания без необходимости взаимодействия. Goldreich и Орен[5] дала невозможные результаты[требуется разъяснение ] за один выстрел протоколы с нулевым разглашением в стандартная модель. В 2003 г. Шафи Гольдвассер и Яэль Тауман Калаи опубликовал экземпляр схемы идентификации, для которой любая хеш-функция приведет к небезопасной схеме цифровой подписи.[6] Эти результаты не противоречат друг другу, так как невозможность[требуется разъяснение ] Голдрейха и Орена не удерживает общая эталонная строковая модель или случайная модель оракула. Однако неинтерактивные доказательства с нулевым разглашением показывают разделение между криптографическими задачами, которые могут быть выполнены в стандартной модели, и теми, которые могут быть выполнены в «более мощных» расширенных моделях.[нужна цитата ]

Модель влияет на свойства, которые могут быть получены из протокола с нулевым разглашением. Проходить[7] показал, что в модели общей эталонной строки неинтерактивные протоколы с нулевым разглашением не сохраняют всех свойств интерактивных протоколов с нулевым разглашением; например, они не сохраняют права на отказ.

Неинтерактивные доказательства с нулевым разглашением также можно получить в случайная модель оракула с использованием Эвристика Fiat – Shamir. Статья Битанского 2012 г. и другие представил аббревиатуру zk-SNARK за краткий неинтерактивный аргумент знания с нулевым разглашением,[2] которые обеспечивают вычислительную основу Zcash блокчейн протокол.[8]

В 2017 г. Пуленепробиваемые были выпущены, что позволяет доказать, что зафиксированное значение находится в диапазоне, используя логарифмическое (в битовой длине диапазона) количество элементов поля и группы.[9]

В 2018 г. zk-STARK протокол был введен[10], предлагая прозрачность (без надежной настройки), квазилинейное время проверки и время полилогарифмической проверки.[3]

Определение

Первоначально[4] неинтерактивное нулевое знание было определено только как система доказательства единственной теоремы. В такой системе каждое доказательство требует своей собственной свежей общей ссылочной строки. Обычная ссылочная строка в целом не является случайной строкой. Он может, например, состоять из случайно выбранных групповых элементов, которые используют все стороны протокола. Хотя элементы группы являются случайными, ссылочная строка не является таковой, поскольку содержит определенную структуру (например, элементы группы), которая отличается от случайности. Впоследствии Файги, Лапидот и Шамир[11] ввел мультитеоремные доказательства с нулевым разглашением как более универсальное понятие для неинтерактивных доказательств с нулевым разглашением.

В этой модели проверяющий и проверяющий имеют эталонную строку, взятую из распределения, D, с помощью доверенной установки . Чтобы доказать заявление со свидетелем ш, прувер бежит и отправляет доказательство, , верификатору. Проверяющий принимает, если , и отклоняет в противном случае. Чтобы учесть тот факт, что могут влиять на утверждения, которые доказываются, отношение свидетеля может быть обобщено на параметризованный .

Полнота

Проверка прошла успешно для всех и каждый .

Более формально для всех k, все , и все :

Разумность

Обоснованность требует, чтобы ни один доказывающий не мог заставить проверяющего принять неверное утверждение. за исключением небольшой вероятности. Верхняя граница этой вероятности называется ошибкой надежности системы доказательств.

Более формально, для каждого злоумышленника , существует незначительная функция, , так что

Приведенное выше определение требует, чтобы ошибкой надежности можно было пренебречь в параметре безопасности, k. Увеличивая k ошибку правильности можно сделать сколь угодно малой. Если ошибка правильности 0 для всех k, мы говорим о безупречная надежность.

Мульти-теорема с нулевым разглашением

Неинтерактивная система доказательства является мульти-теоремой с нулевым разглашением, если существует симулятор, , такая, что для всех противников с неоднородным полиномиальным временем ,

Здесь выходы за и оба оракула выводят отказ иначе.

Неинтерактивные доказательства на основе пар

Криптография на основе пар привел к нескольким достижениям в криптографии. Одно из этих достижений - более мощные и эффективные неинтерактивные доказательства с нулевым разглашением. Идея заключалась в том, чтобы скрыть значения для оценки пары в обязательство. Используя различные схемы обязательств, эта идея была использована для построения систем доказательства с нулевым разглашением в рамках подгруппа сокрытие[12] и под решающее линейное предположение.[1] Эти системы доказательств доказывают выполнимость схемы, и, следовательно, Теорема Кука – Левина позволяют доказать членство в NP для каждого языка. Размер стандартной справочной строки и доказательств относительно невелик; однако преобразование оператора в логическую схему влечет за собой значительные накладные расходы.

Системы доказательства под подгруппа сокрытие, решающее линейное предположение, и внешнее предположение Диффи – Хеллмана которые позволяют напрямую доказать уравнения парного произведения, общие в криптография на основе пар Были предложены.[13]

Под сильным предположения о знаниях, известно, как создавать сублинейные вычислительно звукоизоляционные системы для НП-полный языков. Точнее, доказательство в таких системах доказательств состоит лишь из небольшого числа билинейная группа элементы.[14][15]

Рекомендации

  1. ^ а б Йенс Грот, Рафаил Островский, Амит Сахаи: Неинтерактивные Zaps и новые методы для NIZK. КРИПТО 2006: 97–111
  2. ^ а б Битанский, Нир; Канетти, Ран; Кьеза, Алессандро; Тромер, Эран (январь 2012 г.). «От извлекаемого сопротивления столкновениям до сжатых неинтерактивных аргументов знания и обратно». Материалы 3-й конференции «Инновации в теоретической информатике» - ITCS '12. ACM. С. 326–349. Дои:10.1145/2090236.2090263. ISBN  9781450311151. S2CID  2576177.
  3. ^ а б https://eprint.iacr.org/2018/046.pdf
  4. ^ а б Мануэль Блюм, Пол Фельдман и Сильвио Микали. Неинтерактивное нулевое разглашение и его приложения. Материалы двадцатого ежегодного симпозиума ACM по теории вычислений (STOC 1988). 103–112. 1988 г.
  5. ^ Одед Гольдрайх и Яир Орен. Определения и свойства систем доказательства с нулевым разглашением. Журнал криптологии. Том 7 (1). 1–32. 1994 г. (PS)
  6. ^ Шафи Гольдвассер и Яэль Калаи. О (не) безопасности парадигмы Fiat – Shamir. Материалы 44-го ежегодного симпозиума IEEE по основам компьютерных наук (FOCS'03). 2003 г.
  7. ^ Рафаэль Пасс. Об отрицании в общей ссылочной строке и случайной модели Oracle. Достижения в криптологии - CRYPTO 2003. 316–337. 2003 г. (PS)
  8. ^ Бен-Сассон, Эли; Кьеза, Алессандро; Гарман, Кристина; Грин, Мэтью; Майерс, Ян; Тромер, Эран; Вирза, Мадарс (18 мая 2014 г.). «Zerocash: децентрализованные анонимные платежи из биткойнов» (PDF). IEEE. Получено 26 января 2016.
  9. ^ http://web.stanford.edu/~buenz/pubs/bulletproofs.pdf
  10. ^ Масштабируемая, прозрачная и постквантовая безопасная вычислительная целостность, Бен-Сассон, Эли и Бентов, Иддо и Хореш, Йинон и Рябзев, Майкл, 2018
  11. ^ Уриэль Файги, Дрор Лапидот, Ади Шамир: множественные неинтерактивные доказательства с нулевым разглашением при общих предположениях. SIAM J. Comput. 29 (1): 1-28 (1999).
  12. ^ Йенс Грот, Рафаил Островский, Амит Сахай: Совершенное неинтерактивное нулевое знание для NP. EUROCRYPT 2006: 339–358
  13. ^ Йенс Грот, Амит Сахаи: Эффективные неинтерактивные системы доказательства для билинейных групп. EUROCRYPT 2008: 415–432
  14. ^ Йенс Грот. Краткие неинтерактивные аргументы с нулевым разглашением на основе пар. ASIACRYPT 2010: 321–340
  15. ^ Хельгер Липмаа. Множества без прогрессии и неинтерактивные аргументы с нулевым разглашением на основе сублинейных пар. TCC 2012: 169–189

внешняя ссылка