फीज-फ़िएट-शमीर साइन बिट्स के बिना शून्य ज्ञान क्यों नहीं है?


12

में HAC (10.4.2) के 10 अध्याय है, हम अच्छी तरह से ज्ञात Feige-फिएट-शमीर पहचान (प्रकल्पित) निकालने वर्ग जड़ों एक समग्र कि कारक के लिए कठिन है सापेक्ष की कठिनाई का उपयोग कर एक शून्य ज्ञान सबूत के आधार पर प्रोटोकॉल देखें। मैं योजना अपने शब्दों में दूंगा (और उम्मीद है कि यह सही है)।

चलो एक सरल योजना के साथ शुरू करते हैं: एक ब्लम पूर्णांक होना चाहिए (इसलिए n = p q और प्रत्येक p और q का 3 मॉड 4 है) पर्याप्त रूप से बड़े आकार का है कि फैक्टरिंग अचूक है। चूंकि n एक ब्लम पूर्णांक है, Z n के तत्वों में से आधे में जैकोबी प्रतीक +1 है और दूसरे आधे में -1 है। +1 तत्वों के लिए, उनमें से आधे में वर्गमूल हैं, और प्रत्येक वर्ग वर्ग में चार तत्व हैं, जिनमें से एक स्वयं एक वर्ग है।nn=पीक्षपीक्षnजेडn*

अब पैगी चयन एक यादृच्छिक तत्व से जेड * n और सेट v = रों 2 । फिर वह विक्टर को वी भेजता है । अगला प्रोटोकॉल है: विक्टर की पुष्टि है कि पैगी के वर्गमूल जानता चाहता वी और पैगी बारे में कुछ भी बताने के बिना उसके पास यह साबित करना चाहती है रों तथ्य वह इस तरह के एक जानता है परे रोंरोंजेडn*v=रों2vvरोंरों

  1. पैगी एक यादृच्छिक चुनता में जेड * n और भेजता आर 2 विक्टर करने के लिए।आरजेडn*आर2
  2. विक्टर ने खूंटी में या बी = 1 को वापस भेज दिया।=0=1
  3. पैगी विक्टर को भेजती है ।आररों

विक्टर सत्यापित कर सकता है कि पैगी ने जो प्राप्त किया है, उसका सही जवाब देकर और सही परिणाम की तुलना करके भेजा है। बेशक, हम इस बातचीत को कम करने का मौका दोहराते हैं कि पैगी सिर्फ एक भाग्यशाली अनुमानक है। यह प्रोटोकॉल ZK होने का दावा किया जाता है; एक प्रमाण विभिन्न स्थानों पर पाया जा सकता है (जैसे, बोअज़ बराक के व्याख्यान नोट्स )।

जब हम इसे अधिक कुशल बनाने के लिए इस प्रोटोकॉल का विस्तार करते हैं तो इसे Feige-Fiat-Shamir कहा जाता है; यह ऊपर के समान है। हम साथ पैगी शुरू यादृच्छिक मान रों 1रों कश्मीर और यादृच्छिक संकेत टी 1 = ± 1 , टी कश्मीर = ± 1 वह के रूप में अपने वर्गों प्रकाशित करता v 1 = टी 1 रों 2 1 , रों1रोंटी1=±1,टी=±1 । दूसरे शब्दों में, हम कुछ v को बेतरतीब ढंग से नकारते हैंv1=टी1रों12,,v=टीरों2 । अभीvमैं

  1. पैगी एक यादृच्छिक आर चुनता हैआर में और भेजता आर 2 विक्टर करने के लिए।जेडn*आर2
  2. विक्टर equiprobably भेजता मूल्यों मैं से { 0 , 1 } पैगी वापस करने के लिए।मैं{0,1}
  3. पैगी भेजता विक्टर करने के लिए।आरΠमैं=1रोंमैंमैं

मेरा प्रश्न: साइन बिट्स क्यों आवश्यक हैं? कोष्ठक में, एचएसी नोट करता है कि वे वहाँ एक तकनीकी आवश्यकता के रूप में साबित करने के लिए आवश्यक हैं कि कोई गुप्त जानकारी लीक नहीं हुई है। फीज-फ़िएट-शमीर (जो प्रोटोकॉल गलत हो जाता है) के लिए विकिपीडिया पृष्ठ का अर्थ है कि इसके बिना थोड़ा सा लीक किया जाता है।टीमैं

अगर वह संकेतों को छोड़ देता है तो मुझे पेगी से कुछ भी निकालने वाला हमला नहीं मिल रहा है।

जवाबों:


8

फीज-फिएट-शमीर (एफएफएस) पहचान प्रोटोकॉल ज्ञान (पीओके) का एक प्रमाण है , जिसमें कहावत (पैगी) उसके ज्ञान को दिए गए इनपुट के वर्गमूल (विक्टर) को साबित करती है।

एफएफएस भाषा सदस्यता के सबूतों से पीओके को भेदभाव करना चाहता है , जिसमें पेगी ने साबित किया है कि इनपुट में कुछ संपत्ति है (औपचारिक रूप से, इनपुट एक निश्चित भाषा से संबंधित है)।

यदि हम नकारात्मक संकेतों का उपयोग नहीं करते हैं, तो संभव है कि इनपुट में कोई वर्गमूल न हो। उदाहरण के लिए, संख्या 20 में कोई वर्गमूल 21 mod नहीं है। चूँकि वर्गों और गैर-वर्गों को अलग करना एक प्रसिद्ध कठिन समस्या है , FFS इसे इनपुट के कुछ संख्याओं के प्लस या माइनस होने की अनुमति देकर इससे बचता है। में उनके अपने शब्दों (कुछ बदल):

अनुमति देकर या तो प्लस या माइनस एक वर्ग सापेक्ष एक होने के लिए ब्लम पूर्णांक , हम सुनिश्चित करें कि वी मैं के साथ सभी नंबरों से अधिक हो सकती है जैकोबी प्रतीक + 1 आधुनिक n और इस प्रकार है मैं (देखने के वी के बिंदु से) मौजूद परवाह किए बिना के वी मैं चरित्र, के रूप में ज्ञान की अप्रतिबंधित इनपुट शून्य ज्ञान सबूत में की आवश्यकता है।vमैंvमैं +1आधुनिकnरोंमैंvमैं

द्वारा ज्ञान की अप्रतिबंधित इनपुट शून्य ज्ञान सबूत , वे एक ZK पीओके जिसका इसी भाषा सदस्यता का प्रमाण तुच्छ है मतलब; यानी वी खुद तय कर सकता है कि इनपुट कुछ वर्ग का प्लस या माइनस है (सिर्फ जैकोबी सिंबल की जांच करके)।


जवाब के लिए धन्यवाद, लेकिन मैं अभी भी पालन नहीं करता: संकेतों के बिना जैकोबी प्रतीक +1 है। संकेतों के साथ, जैकोबी प्रतीक +1 है। आप ऊपर कहते हैं "यदि हम नकारात्मक संकेतों का उपयोग नहीं करते हैं, तो संभव है कि इनपुट में कोई वर्गमूल न हो।" वो कैसे संभव है? सत्यापनकर्ता के लिए इनपुट वर्गों की एक सूची है जो (एक ईमानदार कहावत मानते हुए) हमेशा वर्गमूल होते हैं।
21

दूसरा प्रश्न: क्या आप यह कह रहे हैं कि संकेत केवल सबूत के माध्यम से मौजूद हैं? या अगर उन्हें छोड़ दिया जाता है तो क्या कोई वास्तविक हमला होता है?
21

vivisivमैं
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.