Feige-Fiat-Shamir neden işaret bitleri olmadan Sıfır Bilgi değil?

In HAC (10.4.2) bölüm 10 , biz kare kökler faktör zor bir kompozit modulo çıkarma (farz) kullanırken zorluk sıfır bilgi kanıta dayalı iyi bilinen Feige-Fiat-Shamir kimlik protokolünü görüyoruz. Şemayı kendi sözlerimle vereceğim (ve umarım doğru olur).

Daha basit bir şema ile başlayalım: , faktoringin çekilemez olduğu kadar büyük boyutta bir Blum tamsayısı ( ve ve her biri 3 mod 4'tür) olsun. Bu yana Blum tamsayıdır, elementlerinin yarı Jacobi sembolü + 1 ve diğer yarısı vardır -1. +1 elemanları için, bunların yarısının kare kökleri vardır ve kare kökü olan her elemanın dört tanesi vardır, bunlardan biri tam olarak bir karedir.$n$$n=pq$$p$$q$$n$$Z_n^*$

Şimdi Peggy , dan rastgele bir eleman seçiyor ve ayarlıyor . Daha sonra Victor'a gönderir . Sonraki protokoldür: Victor Peggy bir karekökünü bilen doğrulamak isteyen ve Peggy hakkında bir şey ifşa etmeden ona bunu kanıtlamak istediği Çünkü bu durum bilir aslında ötesinde .$s$$Z_n^*$$v=s^2$$v$$v$$s$$s$

1. Peggy , içinde rastgele bir seçer ve gönderir .$r$$Z_n^*$$r^2$
2. Victor eşzamanlı olarak Peggy'ye veya gönderir .$b=0$$b=1$
3. Peggy , Victor'a gönderir .$rs^b$

Victor, Peggy'nin aldıklarını karelerek ve doğru sonuçla karşılaştırarak doğru cevabı gönderdiğini doğrulayabilir. Elbette, Peggy'nin sadece şanslı bir tahminci olma şansını azaltmak için bu etkileşimi tekrarlıyoruz. Bu protokolün ZK olduğu iddia edilmektedir; çeşitli yerlerde bir kanıt bulunabilir (örneğin, Boaz Barak'ın ders notları ).

Bu protokolü daha verimli hale getirmek için genişlettiğimizde buna Feige-Fiat-Shamir denir; yukarıdakilere çok benzer. Biz birlikte Peggy başlatmak rastgele değerler ve rastgele işaretler o kadar onların kareler yayınlayan . Başka bir deyişle, bazılarını rasgele . şimdi$k$$s_1\cdots s_k$$t_1 = \pm 1, \cdots t_k = \pm 1$$v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$$v_i$

1. Peggy , içinde rastgele bir seçer ve gönderir .$r$$Z_n^*$$r^2$
2. Victor equiprobably gönderir değerleri dan Peggy'e arkasına.$k$$b_i$$\{0,1\}$
3. Peggy, .$r\Pi_{i=1}^ks_i^{b_i}$

Benim Soru: Neden işareti bit gerekli? Parantez içinde, HAC, hiçbir gizli bilginin sızdırılmadığını kanıtlamak için gerekli teknik bir gereklilik olarak bulunduğunu belirtmektedir. Feige-Fiat-Shamir'ın wikipedia sayfası (protokolü yanlış anlıyor), bu olmadan biraz sızıntı olduğunu ima ediyor.$t_i$

İşaretleri atlarsa Peggy'den bir şey çıkaran bir saldırı bulamıyorum.

Feige-Fiat-Shamir (FFS) kimlik protokolü bir olan bilginin kanıt prover (Peggy) bilgisini doğrulayıcı (Victor) verilen girdinin karekök kanıtlıyor ki (Pok).

FFS, PoK'u, Peggy'nin girdinin bazı özelliklere sahip olduğunu kanıtladığı dil üyeliği kanıtlarından ayırt etmek ister (daha resmi olarak, girdi belirli bir dile aittir).

Negatif işaretleri kullanmazsak, girdilerin herhangi bir karekökü olmaması mümkündür. Örneğin, 20 numaralı ayırt kareler olmayan kareler olduğu bir karekök 21. mod bulunmamaktadır ünlü zor bir problem FFS giriş artı ya da eksi kare bir sayıda olmasını sağlayarak bunu önlemek. In kendi ifadeleriyle (biraz değişti):

İzin vererek artı ya da eksi bir kare modülo bir olmak Blum tamsayıdır , biz emin olmak ile tüm numaraları üzerinden uzanabilir Jacobi sembolü ve böylece (bakış V'nin noktasından) mevcut bağımsız olarak karakter, sınırsız girdi sıfır bilgi kanıtlarında gerektiği gibi.$v_i$$v_i$ $+1 \bmod n$$s_i$$v_i$

By bilginin sınırsız giriş sıfır bilgi provaları , bunlar, dil üyelik kanıtı gelen önemsiz bir ZK Pok demek; yani V tek başına girdinin bazı karelerin artı veya eksi olduğuna karar verebilir (sadece Jacobi sembolünü kontrol ederek).