Bộ mô phỏng cạn kiệt các giao thức không kiến ​​thức trong mô hình Oracle ngẫu nhiên

Trong một bài báo có tiêu đề "Về khả năng từ chối trong chuỗi tham chiếu chung và mô hình Oracle ngẫu nhiên", Rafael Pass viết:

Chúng tôi lưu ý rằng khi chứng minh bảo mật theo định nghĩa không kiến ​​thức chuẩn trong mô hình RO [Random Oracle], trình giả lập có hai lợi thế so với mô phỏng mô hình đơn giản, cụ thể là,

1. Trình mô phỏng có thể thấy những giá trị mà các bên truy vấn nhà tiên tri trên.
2. Trình mô phỏng có thể trả lời các truy vấn này theo bất kỳ cách nào nó chọn miễn là câu trả lời "nhìn" OK.

Kỹ thuật đầu tiên, cụ thể là khả năng "giám sát" các truy vấn đối với RO, rất phổ biến trong tất cả các bài viết đề cập đến khái niệm kiến ​​thức không trong mô hình RO.

Bây giờ, hãy xem xét định nghĩa về kiến thức không hộp đen ( PPT là viết tắt của máy Turing có xác suất, thời gian đa thức ):

S ∀ V * ∀ x ∈ L ∀ $\exists$ một trình giả lập PPT , sao cho (có thể gian lận) Trình xác minh PPT , đầu vào chung và ngẫu nhiên , những điều sau đây không thể phân biệt được:$S$$\forall$$V^*$$\forall$$x\in L$$\forall$$r$

• quan điểm của trong khi tương tác với người hoạt động trên đầu vào và sử dụng tính ngẫu nhiên ; $V^*$$P$$x$$r$
• đầu ra của trên đầu vào và , khi được cấp quyền truy cập hộp đen vào . $S$$x$$r$$S$$V^*$

Ở đây, tôi muốn trưng bày một trình xác minh gian lận , công việc của họ là làm cạn kiệt bất kỳ trình giả lập nào cố gắng theo dõi các truy vấn RO:$V'$

Đặt là trình giả lập được đảm bảo bởi bộ định lượng tồn tại trong định nghĩa về kiến ​​thức không hộp đen và để là một đa thức có giới hạn thời gian chạy của trên đầu vào . Giả sử rằng cố gắng theo dõi các truy vấn của đến RO.$S$$q(|x|)$$S$$x$$S$$V^*$

Bây giờ, hãy xem xét một gian lận , lần đầu tiên truy vấn RO cho lần (trên các đầu vào tùy ý của sự lựa chọn của nó), sau đó hành động độc hại tùy ý.$V'$$q(|x|)+1$

Rõ ràng, cạn kiệt giả lập . Một cách đơn giản cho là từ chối hành vi độc hại đó, nhưng theo cách đó, một người phân biệt có thể dễ dàng phân biệt sự tương tác thực sự với mô phỏng. (Vì trong tương tác thực tế, người hoạt ngôn không thể theo dõi các truy vấn của và do đó sẽ không từ chối dựa trên thực tế là đang truy vấn quá nhiều.)$V'$$S$$S$$P$$V'$$V'$

Cách giải quyết cho vấn đề trên là gì?

Biên tập:

Một nguồn tốt để nghiên cứu ZK trong mô hình RO là:

Martin Gagné, Một nghiên cứu về Mô hình Oracle ngẫu nhiên, Ph.D. Luận văn, Đại học California, Davis , 2008, 109 trang. Có sẵn trên ProQuest: http://gradworks.umi.com/33/38/3336254.html

Đặc biệt, nó đưa ra các định nghĩa về ZK hộp đen trong Mô hình RO trong phần 3.3 (trang 20), được quy cho Yung và Zhao:

Moti Yung và Yunlei Zhao. Không có kiến ​​thức tương tác với các phép lạ ngẫu nhiên bị hạn chế. Trong Lý thuyết về Mật mã học - TCC 2006 , LNCS 3876, trang 21-40, 2006.

Có một câu hỏi tại sao người ta muốn định nghĩa ZK hộp đen trong mô hình nhà tiên tri ngẫu nhiên. Có ít nhất hai lý do tại sao mọi người đề xuất định nghĩa về kiến ​​thức không có hộp đen:

1) Đối với một kết quả tích cực, khi bạn nói rằng một mô phỏng là "hộp đen không hiểu biết" nó sẽ tự động cung cấp cho bạn một ID tốt ràng buộc về thời gian chạy của nó (ví dụ, như trái ngược với p o l y ( t i m đ ( V * ) ) ) và nó cũng có thể hữu ích để biết rằng trình mô phỏng không "nhìn vào ruột của V * và không quan tâm nếu V $poly(|x|) \cdot time(V*)$$poly(time(V*))$$V*$$V*$được thực hiện sử dụng RAM, mạch, vv ... Trong khi một mô hình ngẫu nhiên oracle mô phỏng có thể hiệu quả, đó là rõ ràng không phải hộp đen, bởi vì nó là nghĩa vụ phải bằng cách nào đó nhìn vào việc thực hiện các và hiểu từ khi V * đang đánh giá một hàm băm. Vì lý do này, có một ý nghĩa trong đó không có nghĩa gì khi nói rằng một trình mô phỏng mô hình ngẫu nhiên là "hộp đen".$V*$$V*$

2) Để có kết quả âm tính, mọi người sử dụng "trình giả lập hộp đen" để nắm bắt một lớp lớn các kỹ thuật chứng minh. Trong trường hợp này, bạn có thể định nghĩa trình giả lập hộp đen trong mô hình nhà tiên tri ngẫu nhiên và định nghĩa có ý nghĩa là những gì David nói. Trong thực tế, đối với một kết quả âm ngay cả trong mô hình nhà tiên tri ngẫu nhiên, tốt nhất là nếu kết quả giữ được ngay cả khi bạn cho phép trình giả lập thời gian chạy. Trên thực tế, mặc dù nó không phải lúc nào cũng tuyên bố, kết quả tiêu cực Tôi nhận thức được tất cả đều có thuộc tính này, vì gian lận verifier V $poly(time(V*))$$V*$ thường là một thuật toán đa thức cố định chạy một số hàm giả ngẫu nhiên, trong khi trình giả lập có thể có bất kỳ thời gian chạy đa thức nào.

Đây là vấn đề của tôi. Gần đây tôi chưa đọc bất kỳ bài báo nào liên quan đến kiến ​​thức không hộp đen trong mô hình nhà tiên tri ngẫu nhiên (RO), vì vậy tôi chỉ đoán ý nghĩa của chúng chứ không phải những gì được viết ở đó. Câu trả lời ngắn gọn (đoán) là BB-ZK trong mô hình RO sẽ cho phép trình giả lập chạy theo đa thức thời gian trong | x | và số lượng truy vấn RO do V *, trình xác minh gian lận.

Hãy cố gắng biện minh cho dự đoán đó. Một quan sát ban đầu là thuật ngữ "bằng chứng không kiến ​​thức hộp đen trong mô hình nhà tiên tri ngẫu nhiên" cần xem xét kỹ hơn để xác định đúng. Trình mô phỏng hộp đen được xác định để hoạt động với bất kỳ nhà tiên tri nào (nghĩa là trình xác minh gian lận dưới dạng hộp đen) và giao diện duy nhất của chúng là thông qua đầu vào / đầu ra của nhà tiên tri. Nếu chúng ta chỉ tăng mô hình này để cung cấp RO cho tất cả các bên (có lẽ bằng cách cho phép các mạch của họ có cổng RO), thì chúng ta sẽ có một mô hình trong đó trình giả lập không thể lập trình RO - trên một truy vấn orory, mọi thứ (bao gồm cả truy vấn RO) xảy ra "bên trong" của nhà tiên tri V *, và sau đó nó trả về tin nhắn tiếp theo của nó. Nếu chúng ta muốn cho phép lập trình RO, thì chúng ta cần sửa đổi các giao diện: Trình mô phỏng hiện có một orory đầu vào / đầu ra cho V * và không có orest ngẫu nhiên. Trên mỗi cuộc gọi đến nhà tiên tri V *, thay vì tạo thông điệp tiếp theo, thay vào đó, nhà tiên tri có thể tạo ra truy vấn tiếp theo cho RO và trình giả lập có thể cung cấp cho nó phản hồi RO bằng cách gọi lại nhà tiên tri. Bây giờ điều này cho phép lập trình RO và chúng tôi cũng có thể cho phép thời gian chạy của trình giả lập phụ thuộc vào số lượng truy vấn của RO.

Bất kỳ khám phá thêm về ý nghĩa của các định nghĩa này được để lại cho người đọc. Tôi đang suy nghĩ cú pháp.