В доказательстве Голдрайха и др. О том, что три цвета имеют нулевое доказательство знания, используется битовое обязательство для полной раскраски графа в каждом раунде [1]. Если граф имеет вершин и ребер, безопасный хеш имеет битов, и мы ищем вероятность ошибки , общая стоимость связи равнае б р
за раундов. Используя постепенно открывающееся дерево Меркле, общее количество сообщений может быть уменьшено до за счет увеличения количества раундов до .O ( b e log n log ( 1 / p ) ) O ( log n )
Можно ли добиться большего успеха, чем с точки зрения общего количества общения или количества раундов?
Редактировать : Спасибо Рики Демер за указание недостающего фактора .
источник
Обновление : этот ответ устарел из-за моего другого ответа с полилогарифмическими оценками из соответствующих ссылок.
Во-вторых, нет необходимости постепенно раскрывать дерево Меркле, поэтому версия с более низкой связью не требует дополнительных раундов. Коммуникационные шаги
Это дает связь через раундов.O ( 1 )O ( б е логижурнал n( 1 / р ) ) O ( 1 )
Обновление: вот детали конструкции дерева Меркле. Для простоты разверните граф так, чтобы он имел ровно вершины, добавив несколько отключенных узлов (они не влияют на три цвета или нулевое знание). Предположим, что безопасная хеш-функция принимает входные данные любого размера и создает битные выходные данные. Для каждого дерева Меркля проверяющий выбирает случайных битных одноразовых номеров, по одному на каждый лист и не лист на двоичном дереве. На листьях мы хэшируем цвет, соединенный с одноразовым номером для получения значения листа. В каждом nonleaf мы хэшируем значение двух дочерних элементов с nonce nonleaf, чтобы получить значение nonleaf. b 2 a + 1 - 1 b2a б 2+ 1- 1 б
В первом раунде проверяющий отправляет только корневое значение, которое не предоставляет никакой информации, поскольку оно хешируется с одноразовым значением корня. В третьем раунде информация не передается ни о каком нерасширенном узле в двоичном дереве, поскольку такой узел хэшируется с одноразовым номером в этом узле. Здесь я предполагаю, что и средство проверки, и средство проверки ограничены в вычислительном отношении и не могут разбить хеш.
Редактировать : Спасибо Рики Демер за указание недостающего фактора .е
источник
В последнее время наблюдается всплеск активности в виде кратких неинтерактивных аргументов с нулевым знанием. Известно, например, как создать аргумент NIZK для Circuit-SAT, где длина аргумента - это очень небольшое постоянное число групповых элементов (см. Groth 2010, Lipmaa 2012, Gennaro, Gentry и т. Д., Eurocrypt 2013 и т. Д.). Основываясь на NP-сокращении, вы можете четко построить аргумент для 3-цветности с той же информацией.
Конечно, это другая модель по сравнению с вашим первоначальным вопросом - например, в этих аргументах длина CRS является линейной по размеру схемы, и в некотором смысле ее можно рассматривать как часть коммуникации (хотя ее можно использовать повторно в много разных аргументов).
источник
(Это не вписывается в комментарий.)
Я думаю, что теперь я вижу, как показать, что ваше соление не обязательно обеспечивает Пусть будет безопасным хешем.ЧАС0 Если мы знаем,
ЧАС0 ЧАС1 ЧАС0
ЧАС1 ЧАС0
| | Пусть таково, что
для всех 3-битных строк x и z для всехЧАС2
Икс Z -бит( ( 3⋅б )+6 ) строки ,
для строки м такой, чтоY
м мзнак равноИкс| |111 ... [ б из них ].,0,111| |Y| |Z ,
ЧАС2( м )знак равноИкс| |111 ... [ б из них ] .,0,111| |ЧАС1( м )| |Z ,
Икс р для строки , получающейся в результате посола x с rм Икс р , Если является
не вид на имя выше , том
ЧАС2( м )знак равноИкс| |111 ... [ б из них ] .,0,111| |ЧАС1( м )| |Икс ,
м ЧАС2( м )знак равно
[ б+3 бита, значения которых не имеют значения ]| |ЧАС1( м )| |[ 3 бита, значения которых не имеют значения ] ,
честную проверку нулевого знания.
что уже может обрабатывать входы произвольной длины, то пусть H 1 равен H 0 , иначе пусть H 1 будет результатом применения конструкции Меркля – Дамгарда к H 0 . (Обратите внимание, что | | представляет конкатенацию.)
Один имеет
и
для всех 3-битных строк , для всех солей r
и
для всех строк которые не относятся ни к одной из этих двух форм, H 2 ( m )
[ b
,
источник