Pruebas simultáneas de conocimiento cero con complejidad redonda logarítmica
Los números de página son del propio documento, y no del pdf.
De la página 3,
"Un sistema de prueba interactiva se dice que es negro-box (computacional) cero
conocimiento si hay una máquina del tiempo oráculo polinomio probabilístico tal que para cualquier tiempo polinómico probabilístico verificador por todas , la distribución de la salida producida por en la entrada es computacionalmente indistinguible de la vista del verificador al final de la interacción ".
Supongo que significan al final, de lo contrario, esto
solo define el Verificador Honesto Computational Zero Knowledge.
De la página 7,
"Si el simulador no aborta hasta que todas las sesiones hayan terminado (o el
verificador finalice), generará la vista del verificador en ese punto".
Del tercer párrafo en la página 8,
"Si el contador de profundidad indica que estamos solo un nivel por encima de las hojas, entonces el
simulador tiene que esperar los siguientes dos mensajes de preámbulo, es decir, tiene que moverse a través de
las dos hojas y luego regresar. Para esto, el simulador sigue modificando la vista actual
dejando que se ejecuten el verificador (modificado) y el verificador, hasta que lleguen dos mensajes de preámbulo
Me parece que esto no puede funcionar, ya que el mensaje del probador
en esa etapa es solo un compromiso estadísticamente vinculante.
Sea ser un polinomio que limita el número de consultas de oráculo que hace cuando solo solicita una prueba. Suponga que el esquema de compromiso estadísticamente vinculante que se utiliza
es tal que es fácil calcular un predicado cuyos compromisos tienen una probabilidad de de satisfacer (por ejemplo, los compromisos de Naor o compromiso de un generador pseudoaleatorio inyectivo ). Haga que el verificador de trampa solicite solo una prueba y luego se comporte como el verificador honesto, excepto que, en un nivel por encima de las hojas, terminará
si el compromiso del probador no satisface el predicado. La probabilidad de la éxito es, obviamente, aproximadamente , mientras que por la unión atado, sino por el
Unión atado y la independencia de los del simulador, la probabilidad de que da salida a una
vista éxito no es no insignificantemente más de . Esto significa que para suficientemente
grande , la probabilidad de tener éxito será mayor que mayor que
la probabilidad que tiene de generar una vista posterior. Eso significa que la distribución
de es computacionalmente distinguible de la distribución de .
¿Es esto un error en el documento? Si no, ¿qué me estoy perdiendo?
fuente