Üç renklendirmenin sıfır bilgi kanıtı için minimum iletişim maliyeti

11

Goldreich ve ark., Üç renklendirmenin sıfır bilgi kanıtına sahip olduğuna dair kanıt, her turda grafiğin tüm renklendirilmesi için bit taahhüdü kullanır [1]. Bir grafiktir varsa $n$ köşeleri ve $e$ kenarları, güvenli bir karma sahiptir $b$ bit ve hata olasılığı aramak $p$ , toplam iletişim maliyeti

Ö (b e n günlük (1 / p))

$O(ben \log(1/p))$

fazla $O(1)$ mermi. Kademeli olarak ortaya çıkan bir Merkle ağacı kullanılarak, toplam iletişim olan raund sayısını arttırma pahasına olarak azaltılabilir . $O(be \log n \log (1/p))$ $O(\log n)$

Toplam iletişim veya mermi sayısı açısından bundan daha iyisini yapmak mümkün mü?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Düzenleme : eksik faktörünü işaret ettiğiniz için Ricky Demer sayesinde $e$ .

communication-complexity zero-knowledge

— Geoffrey Irving
kaynak

3

İşte amacım için doğru makale:

Joe Kilian, "Verimli sıfır bilgi kanıtları ve argümanları üzerine bir not." http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

En güçlü sonucu elde etmek için sıfır bilgi argümanını kabul etmeliyiz kanıtlardan ziyade (hesaplamalı olarak sınırlanmış kanıtlayıcı); bunlar ilgilendiğim, ancak terminolojiyi bilmiyordum.

Yeterli şifreleme varsayımı olduğu varsayıldığında, makale için toplam iletişim ile sıfır bilgi argümanı verir . $O(b \log^c n \log (1/p))$ $c = O(1)$

Bu sonuç için sıkılır ile mermi Ishai vd., "Etkin Sıfır Bilgi yaratanlar üzerinde", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf . $O(1)$

— Geoffrey Irving
kaynak

Bu cevabı silmek ve orijinal cevabınızı doğru cevap olacak şekilde güncellemenin daha iyi olduğunu düşünüyorum.

— Kaveh

2

Güncelleme : Bu yanıt, uygun referanslardan tamamen polilogaritmik sınırlarla diğer cevabım tarafından geçersiz kılındı.

İkinci düşüncede, Merkle ağacını yavaş yavaş ortaya çıkarmaya gerek yoktur, bu nedenle daha düşük iletişim versiyonunun ekstra turlara ihtiyacı yoktur. İletişim adımları

Atasözü P renklendirmesini rastgele yapar, (tuzlanmış) bir Merkle ağacına dönüştürür ve kökü doğrulayıcı V'ye gönderir.
V rastgele bir kenar seçer ve P'ye gönderir. $e$
P, Merkle ağacı yollarını kökten her uç noktasına V'den gönderir . $e$

Bu verir üzerinden iletişim mermi. $O(be \log n \log (1/p))$ $O(1)$

Güncelleme: İşte Merkle ağacı yapısının detayları. Basitlik için, birkaç bağlantısız düğüm ekleyerek grafiği tam olarak köşeye sahip olacak şekilde genişletin (bunlar üç renklendirmeyi veya sıfır bilgisini etkilemez). Herhangi bir boyut girişi alan ve bit çıktıları üreten güvenli bir karma işlevinin olduğunu varsayın . Her Merkle ağacı için, prover , her bir yaprak ve bir ikili ağacın yapraksız için bir tane olmak üzere rasgele bitlik duruş seçer . Yapraklarda, yaprağın değerini üretmek için nonce ile birleştirilen rengi hash ederiz. Her bir yapraksızda, yapraksızın değerini üretmek için iki alt değeri nonleaf'ın nonce değeriyle birleştiririz. $2^a$ $b$ $2^{a+1}-1$ $b$

İlk turda, prover yalnızca kök değerini gönderir, bu da kökün nonce'si ile karıştırıldığı için hiçbir bilgi sağlamaz. Üçüncü turda, ikili ağaçtaki genişletilmemiş herhangi bir düğüm hakkında hiçbir bilgi aktarılmaz, çünkü böyle bir düğüm o düğümde bir noce ile birleştirilir. Burada prover ve doğrulayıcının hem hesaplamaya bağlı hem de hash'ı kıramadığını varsayıyorum.

Düzenleme : eksik faktörünü işaret ettiğiniz için Ricky Demer sayesinde . $e$

— Geoffrey Irving
kaynak

Adım 1, doğrulayıcının, prover'in tahmin başına 1. adım çalışmasının sadece 6 katını kullanarak, prover'ın renklendirmesinde herhangi bir tahminin test edilmesi için yüksek doğrulukta bir yol verecektir.

$\:$ Ayrıca, ispat tarafından hesaplanan bir Merkle ağacını kanıttan argümanlara gitmeden kullanmanın bir yolunu görmüyorum .

$\;\;\;\;$

Bir renklendirmeyi tahmin etmek için tuzlu bir Merkle ağacı nasıl kullanılabilir?

— Geoffrey Irving

1

Tuzlu Merkle Ağacı fikrinin neden işe yaramadığını düşündüğümü söyleyen bir cevap gönderdim.

$\:$ Bunun yerine renklerin randomizasyonlarına olan bağlılıkları bir Merkle ağacına dönüştürmelisiniz.

$\:$ Ayrıca iletişim karmaşıklığı içinde bir number_of_edges faktörü eksik gibi görünüyor.

$\hspace{.48 in}$

1

Eh, şekillerde de düşünülebilir sözünü ataması 3 boyama veya geçerli [en azından ikisinden biri olduğunu

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ kenarları aynı renkli köşelere sahiptir].

$\;\;\;$ Bu, iletişim karmaşıklığını

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (devamı ...)

1

(... devam etti)

$\;\;\;$ Daha sonra, söz verilen ilişkiyle standart 3 renklendirme ilişkisini azaltmak için PCP makineleri uygulanabilir .

$\;\;\;$ Daha sonra, bu fikri aşırıya çıkarmak sıfır bilgi evrensel argümanları verir .

$\;\;\;\;\;\;\;\;$

1

Kısa bir süre önce kısa ve öz bir etkileşimli olmayan sıfır bilgi argümanlarında etkinlik artmıştır. Örneğin, Devre uzunluğunun çok az sayıda sabit grup elemanı olduğu Devre-SAT için bir NIZK bağımsız değişkeninin nasıl oluşturulduğu bilinmektedir (bkz. Groth 2010, Lipmaa 2012, Gennaro, Gentry, vb., Eurocrypt 2013 vb.). Bir NP azaltımına dayanarak, aynı iletişim ile 3 renklendirme için açıkça bir argüman oluşturabilirsiniz.

Tabii ki bu, orijinal sorunuza kıyasla farklı bir model - örneğin, bu argümanlarda, CRS uzunluğu devre boyutunda doğrusaldır ve bir anlamda iletişimin bir parçası olarak düşünülebilir ( birçok farklı argüman).

— cryptocat
kaynak

0

(Bu bir yoruma uymuyor.)

Şimdi tuzlanmanızın
dürüst doğrulayıcı sıfır bilgisi sağlamadığını nasıl göstereceğimizi düşünüyorum . $\:$ Let güvenli karma olmak. $H_0$ $\:$ Bildiğimiz Eğer
o zaten keyfi uzunlukta girdileri işleyebilir, daha sonra izin eşit , başka let için Merkle-Damgard inşaat uygulanması sonucu . ( Nin bitiştirmeyi temsil ettiğini unutmayın .) $H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ Let olacağı şekilde 3-bit diziliminin için ve , tüm $H_2$

$x$ $z$ bit $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ dizeleri , dizesi için öyle ki $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
biri var $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$ .

ve

Tüm 3 bit dizeler için , tüm tuzlar için $x$ $r\hspace{-0.02 in}$ için ile tuzlamadan kaynaklanan dizesi için $m$ $x$ $r\hspace{-0.02 in}$ Eğer olan form olup daha sonra yukarıda ele $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$ .

ve

her şeritler için olan iki formun ne sahip olduğunu, $m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

Bu yana , her durumda aynı yerde yer almaktadır, herhangi bir çarpışma de bir çarpışma . $H_1$ $H_2$ $H_1$ $\:$ Merkle-Damgard güvenliği ile, herhangi bir çarpışma verimli dönüştürülebilir bir çarpışma içine . $H_1$
$H_0$ $\:$ Böylece, çarpışma dirençli daha çok olan . Bununla birlikte, köşe sayısı iki güçse, o zaman kök karmasının her bir ucundaki 3 biti kontrol ederek , ilk ve son köşelerin daha az hata olasılığı ile aynı rengi alıp almadığını belirleyebiliriz. . $H_0$ $H_2$

$1/(2^{(b-1)})$

Gösterimi takip ettiğimden emin değilim, ancak taslağımı alıp ayrıntıları aptalca bir şekilde doldurabileceğinizi ve böylece güvensiz bir sistem üretebileceğinizi iddia ediyorsunuz. Cevabımın ayrıntılarının daha temiz ve güvenli bir sürümünü ekleyeceğim.

— Geoffrey Irving

H_{2}

$H_2$

$\:$ Diğer her şey

$\hspace{1.71 in}$ Dürüstçe ne demek istediğini düşündüm.

$\;\;\;\;$

Cevabıma eklenen ayrıntılı bilgilerin net olup olmadığını lütfen bana bildirin. Bir şeyi kaçırmam ve yapımın gerçekten kırılması oldukça olası.

— Geoffrey Irving