Минимальные расходы на связь для нулевого знания доказательств трех цветов

В доказательстве Голдрайха и др. О том, что три цвета имеют нулевое доказательство знания, используется битовое обязательство для полной раскраски графа в каждом раунде [1]. Если граф имеет вершин и ребер, безопасный хеш имеет битов, и мы ищем вероятность ошибки , общая стоимость связи равнае б $n$$e$$b$$p$

за раундов. Используя постепенно открывающееся дерево Меркле, общее количество сообщений может быть уменьшено до за счет увеличения количества раундов до .O ( b e log n log ( 1 / p ) ) O ( log n $O(1)$$O(be \log n \log (1/p))$$O(\log n)$

Можно ли добиться большего успеха, чем с точки зрения общего количества общения или количества раундов?

1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Редактировать : Спасибо Рики Демер за указание недостающего фактора .$e$

Так что вот правильный документ для моих целей:

Джо Килиан, «Замечание об эффективных доказательствах и аргументах с нулевым знанием». http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Чтобы получить самый сильный результат, нам нужно принимать аргументы с нулевым знанием, а не доказательства (ограниченный в вычислительном отношении доказатель); это то, что меня интересует, но я не знаю терминологию.

Предполагая достаточное количество криптографических допущений, в статье приводятся аргументы с нулевым знанием при полной связи для .c = O ( 1 $O(b \log^c n \log (1/p))$$c = O(1)$

Ишай и др., «Об эффективных РСР с нулевым знанием», http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf, подтянули этот результат к раундам .$O(1)$

Обновление : этот ответ устарел из-за моего другого ответа с полилогарифмическими оценками из соответствующих ссылок.

Во-вторых, нет необходимости постепенно раскрывать дерево Меркле, поэтому версия с более низкой связью не требует дополнительных раундов. Коммуникационные шаги

1. Доказатель P рандомизирует свою раскраску, превращает ее в (соленое) дерево Меркля и отправляет корень верификатору V.
2. V выбирает случайное ребро и отправляет его в P.$e$
3. P отправляет пути дерева Merkle от корня к каждой конечной точке от до V.$e$

Это дает связь через раундов.O ( 1 $O(be \log n \log (1/p))$$O(1)$

Обновление: вот детали конструкции дерева Меркле. Для простоты разверните граф так, чтобы он имел ровно вершины, добавив несколько отключенных узлов (они не влияют на три цвета или нулевое знание). Предположим, что безопасная хеш-функция принимает входные данные любого размера и создает битные выходные данные. Для каждого дерева Меркля проверяющий выбирает случайных битных одноразовых номеров, по одному на каждый лист и не лист на двоичном дереве. На листьях мы хэшируем цвет, соединенный с одноразовым номером для получения значения листа. В каждом nonleaf мы хэшируем значение двух дочерних элементов с nonce nonleaf, чтобы получить значение nonleaf. b 2 a + 1 - 1 $2^a$$b$$2^{a+1}-1$$b$

В первом раунде проверяющий отправляет только корневое значение, которое не предоставляет никакой информации, поскольку оно хешируется с одноразовым значением корня. В третьем раунде информация не передается ни о каком нерасширенном узле в двоичном дереве, поскольку такой узел хэшируется с одноразовым номером в этом узле. Здесь я предполагаю, что и средство проверки, и средство проверки ограничены в вычислительном отношении и не могут разбить хеш.

Редактировать : Спасибо Рики Демер за указание недостающего фактора .$e$

В последнее время наблюдается всплеск активности в виде кратких неинтерактивных аргументов с нулевым знанием. Известно, например, как создать аргумент NIZK для Circuit-SAT, где длина аргумента - это очень небольшое постоянное число групповых элементов (см. Groth 2010, Lipmaa 2012, Gennaro, Gentry и т. Д., Eurocrypt 2013 и т. Д.). Основываясь на NP-сокращении, вы можете четко построить аргумент для 3-цветности с той же информацией.

Конечно, это другая модель по сравнению с вашим первоначальным вопросом - например, в этих аргументах длина CRS является линейной по размеру схемы, и в некотором смысле ее можно рассматривать как часть коммуникации (хотя ее можно использовать повторно в много разных аргументов).

(Это не вписывается в комментарий.)

Я думаю, что теперь я вижу, как показать, что ваше соление не обязательно обеспечивает
честную проверку нулевого знания.$\:$Пусть будет безопасным хешем.$H_0$$\:$Если мы знаем,
что уже может обрабатывать входы произвольной длины, то пусть H 1 равен H 0 , иначе пусть H 1 будет результатом применения конструкции Меркля – Дамгарда к H 0 . (Обратите внимание, что | | представляет конкатенацию.)$H_0$$H_1$$H_0$
$H_1$$H_0$
$||$$\:$Пусть таково, что для всех 3-битных строк x и z для всех$H_2$


$x$$z$ -бит$\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$$\;$строки , для строки м такой, что$y$
$m$$\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$,
Один имеет$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$,

и

для всех 3-битных строк , для всех солей $x$$r\hspace{-0.02 in}$для строки , получающейся в результате посола x с $m$$x$$r\hspace{-0.02 in}$, Если является не вид на имя выше , то$m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$,

и

для всех строк которые не относятся ни к одной из этих двух форм, H 2 ( m $m$
[ $H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$,


,

$H_1$$H_2$$H_1$$\:$$H_1$
$H_0$$\:$$H_0$$H_2$


$1/(2^{(b-1)})$