फीज-फ़िएट-शमीर साइन बिट्स के बिना शून्य ज्ञान क्यों नहीं है?

में HAC (10.4.2) के 10 अध्याय है, हम अच्छी तरह से ज्ञात Feige-फिएट-शमीर पहचान (प्रकल्पित) निकालने वर्ग जड़ों एक समग्र कि कारक के लिए कठिन है सापेक्ष की कठिनाई का उपयोग कर एक शून्य ज्ञान सबूत के आधार पर प्रोटोकॉल देखें। मैं योजना अपने शब्दों में दूंगा (और उम्मीद है कि यह सही है)।

चलो एक सरल योजना के साथ शुरू करते हैं: एक ब्लम पूर्णांक होना चाहिए (इसलिए n = p q और प्रत्येक p और q का 3 मॉड 4 है) पर्याप्त रूप से बड़े आकार का है कि फैक्टरिंग अचूक है। चूंकि n एक ब्लम पूर्णांक है, Z ∗ n के तत्वों में से आधे में जैकोबी प्रतीक +1 है और दूसरे आधे में -1 है। +1 तत्वों के लिए, उनमें से आधे में वर्गमूल हैं, और प्रत्येक वर्ग वर्ग में चार तत्व हैं, जिनमें से एक स्वयं एक वर्ग है।$n$$n=pq$$p$$q$$n$$Z_n^*$

अब पैगी चयन एक यादृच्छिक तत्व से जेड * n और सेट v = रों 2 । फिर वह विक्टर को वी भेजता है । अगला प्रोटोकॉल है: विक्टर की पुष्टि है कि पैगी के वर्गमूल जानता चाहता वी और पैगी बारे में कुछ भी बताने के बिना उसके पास यह साबित करना चाहती है रों तथ्य वह इस तरह के एक जानता है परे रों ।$s$$Z_n^*$$v=s^2$$v$$v$$s$$s$

1. पैगी एक यादृच्छिक चुनता में जेड * n और भेजता आर 2 विक्टर करने के लिए।$r$$Z_n^*$$r^2$
2. विक्टर ने खूंटी में या बी = 1 को वापस भेज दिया।$b=0$$b=1$
3. पैगी विक्टर को भेजती है ।$rs^b$

विक्टर सत्यापित कर सकता है कि पैगी ने जो प्राप्त किया है, उसका सही जवाब देकर और सही परिणाम की तुलना करके भेजा है। बेशक, हम इस बातचीत को कम करने का मौका दोहराते हैं कि पैगी सिर्फ एक भाग्यशाली अनुमानक है। यह प्रोटोकॉल ZK होने का दावा किया जाता है; एक प्रमाण विभिन्न स्थानों पर पाया जा सकता है (जैसे, बोअज़ बराक के व्याख्यान नोट्स )।

जब हम इसे अधिक कुशल बनाने के लिए इस प्रोटोकॉल का विस्तार करते हैं तो इसे Feige-Fiat-Shamir कहा जाता है; यह ऊपर के समान है। हम साथ पैगी शुरू यादृच्छिक मान रों 1 ⋯ रों कश्मीर और यादृच्छिक संकेत टी 1 = ± 1 , ⋯ टी कश्मीर = ± 1 वह के रूप में अपने वर्गों प्रकाशित करता v 1 = टी 1 रों 2 1 , $k$$s_1\cdots s_k$$t_1 = \pm 1, \cdots t_k = \pm 1$ । दूसरे शब्दों में, हम कुछ v को बेतरतीब ढंग से नकारते हैं$v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$ । अभी$v_i$

1. पैगी एक यादृच्छिक आर चुनता है$r$ में और भेजता आर 2 विक्टर करने के लिए।$Z_n^*$$r^2$
2. विक्टर equiprobably भेजता मूल्यों ख मैं से { 0 , 1 } पैगी वापस करने के लिए।$k$$b_i$$\{0,1\}$
3. पैगी भेजता विक्टर करने के लिए।$r\Pi_{i=1}^ks_i^{b_i}$

मेरा प्रश्न: साइन बिट्स क्यों आवश्यक हैं? कोष्ठक में, एचएसी नोट करता है कि वे वहाँ एक तकनीकी आवश्यकता के रूप में साबित करने के लिए आवश्यक हैं कि कोई गुप्त जानकारी लीक नहीं हुई है। फीज-फ़िएट-शमीर (जो प्रोटोकॉल गलत हो जाता है) के लिए विकिपीडिया पृष्ठ का अर्थ है कि इसके बिना थोड़ा सा लीक किया जाता है।$t_i$

अगर वह संकेतों को छोड़ देता है तो मुझे पेगी से कुछ भी निकालने वाला हमला नहीं मिल रहा है।

फीज-फिएट-शमीर (एफएफएस) पहचान प्रोटोकॉल ज्ञान (पीओके) का एक प्रमाण है , जिसमें कहावत (पैगी) उसके ज्ञान को दिए गए इनपुट के वर्गमूल (विक्टर) को साबित करती है।

एफएफएस भाषा सदस्यता के सबूतों से पीओके को भेदभाव करना चाहता है , जिसमें पेगी ने साबित किया है कि इनपुट में कुछ संपत्ति है (औपचारिक रूप से, इनपुट एक निश्चित भाषा से संबंधित है)।

यदि हम नकारात्मक संकेतों का उपयोग नहीं करते हैं, तो संभव है कि इनपुट में कोई वर्गमूल न हो। उदाहरण के लिए, संख्या 20 में कोई वर्गमूल 21 mod नहीं है। चूँकि वर्गों और गैर-वर्गों को अलग करना एक प्रसिद्ध कठिन समस्या है , FFS इसे इनपुट के कुछ संख्याओं के प्लस या माइनस होने की अनुमति देकर इससे बचता है। में उनके अपने शब्दों (कुछ बदल):

अनुमति देकर या तो प्लस या माइनस एक वर्ग सापेक्ष एक होने के लिए ब्लम पूर्णांक , हम सुनिश्चित करें कि वी मैं के साथ सभी नंबरों से अधिक हो सकती है जैकोबी प्रतीक + 1 आधुनिक n और इस प्रकार है मैं (देखने के वी के बिंदु से) मौजूद परवाह किए बिना के वी मैं चरित्र, के रूप में ज्ञान की अप्रतिबंधित इनपुट शून्य ज्ञान सबूत में की आवश्यकता है।$v_i$$v_i$ $+1 \bmod n$$s_i$$v_i$

द्वारा ज्ञान की अप्रतिबंधित इनपुट शून्य ज्ञान सबूत , वे एक ZK पीओके जिसका इसी भाषा सदस्यता का प्रमाण तुच्छ है मतलब; यानी वी खुद तय कर सकता है कि इनपुट कुछ वर्ग का प्लस या माइनस है (सिर्फ जैकोबी सिंबल की जांच करके)।