Chi phí truyền thông tối thiểu cho bằng chứng kiến thức bằng không về ba màu

11

Bằng chứng của Goldreich và cộng sự rằng ba khả năng tạo màu không có bằng chứng kiến thức sử dụng cam kết bit cho toàn bộ màu của đồ thị trong mỗi vòng [1]. Nếu một đồ thị có đỉnh và cạnh , hàm băm an toàn có bit và chúng tôi tìm kiếm xác suất lỗi , tổng chi phí truyền thông là $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

qua vòng. Sử dụng cây Merkle được tiết lộ dần, tổng số giao tiếp có thể được giảm xuống với chi phí tăng số vòng thành . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

Có thể làm tốt hơn thế này, về tổng số giao tiếp hoặc số vòng?

http://www.wisdom.weizmann.ac.il/~oding/X/gmw1j.pdf

Chỉnh sửa : Cảm ơn Ricky Demer đã chỉ ra yếu tố còn thiếu của . $e$

communication-complexity zero-knowledge

— Geoffrey Irving
nguồn

3

Vì vậy, đây là giấy phù hợp cho mục đích của tôi:

Joe Kilian, "Một lưu ý về bằng chứng và lập luận không kiến thức hiệu quả." http://people.csail.mit.edu/vinodv/6892-Fall2013/fficargs.pdf

Để có được kết quả mạnh nhất, chúng ta cần chấp nhận các đối số kiến thức bằng không hơn là bằng chứng (prover ràng buộc tính toán); đây là những gì tôi quan tâm nhưng không biết thuật ngữ này.

Giả sử đủ các giả định về mật mã, bài báo đưa ra các đối số kiến thức bằng không với tổng giao tiếp cho . $O(b \log^c n \log (1/p))$ $c = O(1)$

Kết quả này được Ishai và cộng sự siết chặt với các vòng , "Về các PCP không có kiến thức hiệu quả", http://www.cs.virginia.edu/~mohammad/files/ con / 13% 20ZKPCPs.pdf . $O(1)$

— Geoffrey Irving
nguồn

Tôi nghĩ tốt hơn là xóa câu trả lời này và cập nhật câu trả lời gốc của bạn để có câu trả lời chính xác.

— Kaveh

2

Cập nhật : Câu trả lời này đã bị lỗi thời bởi câu trả lời khác của tôi, với giới hạn đa giác hoàn toàn từ các tham chiếu thích hợp.

Theo suy nghĩ thứ hai, không cần phải tiết lộ cây Merkle dần, vì vậy phiên bản giao tiếp thấp hơn không cần thêm vòng. Các bước giao tiếp là

Người tục ngữ P chọn ngẫu nhiên màu của nó, biến nó thành cây Merkle (đã được muối) và gửi gốc đến trình xác minh V.
V chọn một cạnh ngẫu nhiên và gửi nó cho P. $e$
P gửi các đường dẫn cây Merkle từ gốc đến từng điểm cuối của đến V. $e$

Điều này mang lại cho giao tiếp qua các vòng . $O(be \log n \log (1/p))$ $O(1)$

Cập nhật: Dưới đây là chi tiết về việc xây dựng cây Merkle. Để đơn giản, hãy mở rộng biểu đồ để có chính xác đỉnh bằng cách thêm một vài nút bị ngắt kết nối (những nút này không ảnh hưởng đến ba màu sắc hoặc kiến thức bằng không). Giả sử hàm băm an toàn lấy bất kỳ kích thước đầu vào và tạo đầu ra -bit. Đối với mỗi cây Merkle, prover chọn nonces -bit ngẫu nhiên , một cho mỗi lá và không lá của cây nhị phân. Tại các lá, chúng ta băm màu kết hợp với nonce để tạo ra giá trị của lá. Ở mỗi nonleaf, chúng tôi băm hai giá trị con với nonce của nonleaf để tạo ra giá trị của nonleaf. $2^a$ $b$ $2^{a+1}-1$ $b$

Trong vòng đầu tiên, người hoạt động chỉ gửi giá trị gốc, không cung cấp thông tin nào vì nó được băm bằng lệnh nonce của root. Trong vòng thứ ba, không có thông tin nào được chuyển tải về bất kỳ nút chưa được mở rộng nào trong cây nhị phân, vì một nút như vậy đã được băm với một nonce tại nút đó. Ở đây tôi giả sử người cung cấp và người xác minh đều bị ràng buộc tính toán và không thể phá vỡ hàm băm.

Chỉnh sửa : Cảm ơn Ricky Demer đã chỉ ra yếu tố còn thiếu của . $e$

— Geoffrey Irving
nguồn

Bước 1 sẽ cung cấp cho người xác minh một cách chính xác cao để kiểm tra bất kỳ dự đoán nào về màu sắc của câu tục ngữ, chỉ sử dụng 6 lần công việc bước 1 của câu tục ngữ cho mỗi lần đoán. Ngoài ra, tôi không thấy bất kỳ cách nào để sử dụng cây Merkle được tính bởi người hoạt ngôn mà không đi từ một bằng chứng đến một đối số .

$\:$

$\;\;\;\;$

Làm thế nào một cây Merkle muối có thể được sử dụng để đoán màu?

— Geoffrey Irving

1

Tôi đã đăng một câu trả lời cho biết lý do tại sao tôi nghĩ rằng ý tưởng Merkle Tree mặn không hoạt động.

$\:$ Thay vào đó, bạn nên biến các cam kết về sự ngẫu nhiên của màu sắc thành cây Merkle.

$\:$ Tôi cũng nhận thấy rằng bạn dường như đang thiếu một yếu tố number_of_edges trong độ phức tạp trong giao tiếp.

$\hspace{.48 in}$

1

Chà, người ta có thể xem xét lời hứa rằng bài tập là 3 màu hợp lệ hoặc [ít nhất là

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ các cạnh có các đỉnh cùng màu].

$\;\;\;$ Điều đó làm giảm sự phức tạp trong giao tiếp

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (tiếp tục ...)

1

(... Tiếp tục)

$\;\;\;$ Tiếp theo, người ta có thể áp dụng máy móc của PCP để giảm mối quan hệ 3 màu tiêu chuẩn cho mối quan hệ hứa hẹn đó.

$\;\;\;$ Sau đó, đưa ý tưởng đó đến cực điểm của nó mang lại những lý lẽ phổ quát không có kiến thức .

$\;\;\;\;\;\;\;\;$

1

Có một sự đột biến gần đây trong hoạt động trong các đối số kiến thức không tương tác ngắn gọn. Ví dụ, người ta biết cách xây dựng một đối số NIZK cho Circuit-SAT trong đó độ dài đối số là một số lượng rất nhỏ các phần tử nhóm (xem Groth 2010, Lipmaa 2012, Gennaro, Gentry, v.v., Eurocrypt 2013, v.v.). Dựa trên mức giảm NP, sau đó bạn có thể xây dựng một đối số rõ ràng cho khả năng 3 màu với cùng một giao tiếp.

Tất nhiên đây là một mô hình khác so với câu hỏi ban đầu của bạn - ví dụ, trong các đối số đó, độ dài CRS là tuyến tính theo kích thước mạch và trong một số trường hợp, có thể được coi là một phần của giao tiếp (mặc dù nó có thể được sử dụng lại trong nhiều lập luận khác nhau).

— tiền điện tử
nguồn

0

(Điều này không phù hợp trong một nhận xét.)

Tôi nghĩ bây giờ tôi thấy làm thế nào để chứng minh rằng việc muối của bạn không nhất thiết phải cung cấp
kiến thức không xác minh trung thực. $\:$ $H_0$ $\:$
$H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ $H_2$

$x$ $z$ $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
người ta có $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$

$x$ $r\hspace{-0.02 in}$ $m$ $x$ $r\hspace{-0.02 in}$ $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$

$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

$H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Tôi không chắc chắn tôi làm theo ký hiệu của bạn, nhưng có vẻ như bạn đang tranh luận rằng bạn có thể lấy bản phác thảo của tôi và điền vào các chi tiết một cách rõ ràng ngớ ngẩn, do đó tạo ra một hệ thống không an toàn. Tôi sẽ thêm phiên bản bảo mật sạch hơn của các chi tiết vào câu trả lời của tôi.

— Geoffrey Irving

H_{2}

$H_2$

$\:$ Mọi thứ khác là

$\hspace{1.71 in}$ những gì tôi thành thật nghĩ rằng bạn có nghĩa là.

$\;\;\;\;$

Xin vui lòng cho tôi biết liệu chi tiết được thêm vào câu trả lời của tôi làm cho nó rõ ràng. Hoàn toàn có thể là tôi đang thiếu một cái gì đó và công trình của tôi thực sự bị hỏng.

— Geoffrey Irving

Chi phí truyền thông tối thiểu cho bằng chứng kiến ​​thức bằng không về ba màu

Chi phí truyền thông tối thiểu cho bằng chứng kiến thức bằng không về ba màu