Tại sao Feige-Fiat-Shamir không phải là Kiến thức không có bit ký?

Trong chương 10 của HAC (10.4.2) , chúng ta thấy giao thức nhận dạng Feige-Fiat-Shamir nổi tiếng dựa trên bằng chứng không có kiến ​​thức bằng cách sử dụng khó khăn (giả định) của việc trích xuất căn bậc hai modulo một hỗn hợp khó có thể xác định được. Tôi sẽ đưa ra sơ đồ theo cách của riêng tôi (và hy vọng làm cho đúng).

Hãy bắt đầu với một sơ đồ đơn giản hơn: hãy $n$ là số nguyên Blum (vì vậy $n=pq$ và mỗi $p$ và $q$ là 3 mod 4) có kích thước đủ lớn mà bao thanh toán có thể thu hút được. Vì $n$ là số nguyên Blum, một nửa các phần tử của $Z_n^*$ có ký hiệu Jacobi +1 và nửa còn lại có -1. Đối với các phần tử +1, một nửa trong số chúng có căn bậc hai và mỗi phần tử có căn bậc hai có bốn trong số chúng, chính xác là một phần tử là một hình vuông.

Bây giờ, Peggy chọn một phần tử ngẫu nhiên $s$ từ và đặt . Sau đó, cô gửi cho Victor. Tiếp theo là giao thức: Victor muốn xác minh rằng Peggy biết căn bậc hai của và Peggy muốn chứng minh điều đó với anh ta mà không tiết lộ bất cứ điều gì về ngoài thực tế cô ta biết một như vậy . v = s 2 v v s $Z_n^*$$v=s^2$$v$$v$$s$$s$

1. Peggy chọn một ngẫu nhiên trong và gửi cho Victor.Z * n r $r$$Z_n^*$$r^2$
2. Victor có thể gửi hoặc trở lại cho Peggy.b = $b=0$$b=1$
3. Peggy gửi cho Victor.$rs^b$

Victor có thể xác minh rằng Peggy đã gửi câu trả lời chính xác bằng cách bình phương những gì anh ta nhận được và so sánh với kết quả chính xác. Tất nhiên, chúng tôi lặp lại tương tác này để giảm khả năng Peggy chỉ là một người đoán may mắn. Giao thức này được tuyên bố là ZK; một bằng chứng có thể được tìm thấy ở nhiều nơi (ví dụ, ghi chú bài giảng của Boaz Barak ).

Khi chúng tôi mở rộng giao thức này để làm cho nó hiệu quả hơn, nó được gọi là Feige-Fiat-Shamir; Nó rất giống với ở trên. Chúng tôi bắt đầu Peggy với giá trị ngẫu nhiên và các dấu hiệu ngẫu nhiên cô ấy xuất bản các hình vuông của họ dưới dạng . Nói cách khác, chúng tôi phủ nhận ngẫu nhiên một số . Hiện nays 1 ⋯ s k t 1 = ± 1 , ⋯ t k = ± 1 v 1 = t 1 s 2 1 , ⋯ , v k = t k s 2 k v $k$$s_1\cdots s_k$$t_1 = \pm 1, \cdots t_k = \pm 1$$v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$$v_i$

1. Peggy chọn một ngẫu nhiên trong và gửi cho Victor.Z * n r $r$$Z_n^*$$r^2$
2. Victor có thể dễ dàng gửi các giá trị từ trở lại cho Peggy.$k$$b_i$$\{0,1\}$
3. Peggy gửi cho Victor.$r\Pi_{i=1}^ks_i^{b_i}$

Câu hỏi của tôi: Tại sao các bit dấu cần thiết? Trong ngoặc đơn, HAC lưu ý rằng chúng ở đó như một yêu cầu kỹ thuật cần thiết để chứng minh rằng không có thông tin bí mật nào bị rò rỉ. Trang wikipedia cho Feige-Fiat-Shamir (bị sai giao thức) ngụ ý rằng không có điều này một chút sẽ bị rò rỉ.$t_i$

Tôi không thể tìm thấy một cuộc tấn công trích xuất bất cứ thứ gì từ Peggy nếu cô ấy bỏ qua các dấu hiệu.

Giao thức nhận dạng Feige-Fiat-Shamir (FFS) là một bằng chứng về kiến ​​thức (PoK), trong đó người hoạt ngôn (Peggy) chứng minh kiến ​​thức của mình về căn bậc hai của đầu vào cho trình xác minh (Victor).

FFS muốn phân biệt PoK với bằng chứng về tư cách thành viên ngôn ngữ , trong đó Peggy chứng minh rằng đầu vào có một số thuộc tính (chính thức hơn, đầu vào thuộc về một ngôn ngữ nhất định).

Nếu chúng ta không sử dụng các dấu hiệu tiêu cực, có thể các đầu vào không có bất kỳ căn bậc hai nào. Ví dụ, số 20 không có bất kỳ căn bậc hai mod 21. Vì việc phân biệt bình phương và không bình phương là một vấn đề khó khăn nổi tiếng , FFS tránh điều đó bằng cách cho phép đầu vào là cộng hoặc trừ một số bình phương. Nói cách riêng của họ (thay đổi một chút):

Bằng cách cho phép là cộng hoặc trừ một modulo vuông một số nguyên Blum , chúng tôi đảm bảo rằng v i có thể nằm trên tất cả các số có ký hiệu Jacobi + 1 mod n và do đó , tôi tồn tại (theo quan điểm của V) của ký tự v i , theo yêu cầu trong chứng minh kiến ​​thức không giới hạn đầu vào không hạn chế.$v_i$$v_i$ $+1 \bmod n$$s_i$$v_i$

Bằng cách chứng minh kiến ​​thức không kiến ​​thức đầu vào không hạn chế , chúng có nghĩa là ZK PoK có bằng chứng thành viên ngôn ngữ tương ứng là không đáng kể; tức là V có thể tự mình quyết định rằng đầu vào là cộng hoặc trừ của một số hình vuông (chỉ bằng cách kiểm tra biểu tượng Jacobi).