pregunta sobre el documento ZK concurrente por Prabhakaran & Sahai

8

Pruebas simultáneas de conocimiento cero con complejidad redonda logarítmica

Los números de página son del propio documento, y no del pdf.


De la página 3,

"Un sistema de prueba interactiva se dice que es negro-box (computacional) cero
conocimiento si hay una máquina del tiempo oráculo polinomio probabilístico tal que para cualquier tiempo polinómico probabilístico verificador por todas , la distribución de la salida producida por en la entrada es computacionalmente indistinguible de la vista del verificador al final de la interacción ".S
VxL
SVx
(P,V)(x)


Supongo que significan al final, de lo contrario, esto solo define el Verificador Honesto Computational Zero Knowledge.(P,V)(x)


De la página 7,

"Si el simulador no aborta hasta que todas las sesiones hayan terminado (o el
verificador finalice), generará la vista del verificador en ese punto".


Del tercer párrafo en la página 8,

"Si el contador de profundidad indica que estamos solo un nivel por encima de las hojas, entonces el
simulador tiene que esperar los siguientes dos mensajes de preámbulo, es decir, tiene que moverse a través de
las dos hojas y luego regresar. Para esto, el simulador sigue modificando la vista actual
dejando que se ejecuten el verificador (modificado) y el verificador, hasta que lleguen dos mensajes de preámbulo


Me parece que esto no puede funcionar, ya que el mensaje del probador
en esa etapa es solo un compromiso estadísticamente vinculante.

Sea ser un polinomio que limita el número de consultas de oráculo que hace cuando solo solicita una prueba. Suponga que el esquema de compromiso estadísticamente vinculante que se utiliza es tal que es fácil calcular un predicado cuyos compromisos tienen una probabilidad de de satisfacer (por ejemplo, los compromisos de Naor o compromiso de un generador pseudoaleatorio inyectivo ). Haga que el verificador de trampa solicite solo una prueba y luego se comporte como el verificador honesto, excepto que, en un nivel por encima de las hojas, terminará p:ωωSV
12p(k)V1
si el compromiso del probador no satisface el predicado. La probabilidad de la éxito es, obviamente, aproximadamente , mientras que por la unión atado, sino por el Unión atado y la independencia de los del simulador, la probabilidad de que da salida a una vista éxito no es no insignificantemente más de . Esto significa que para suficientemente grande , la probabilidad de tener éxito será mayor que mayor que (P,V1)(x)12p(k)
SV1
14p(k)
k(P,V1)(x)15p(k)
la probabilidad que tiene de generar una vista posterior. Eso significa que la distribución de es computacionalmente distinguible de la distribución de .SV1
SV1(P,V1)(x)


¿Es esto un error en el documento? Si no, ¿qué me estoy perdiendo?

Lev Reyzin
fuente

Respuestas:

10

Soy uno de los autores Alguien me señaló esta pregunta. Basado en una lectura rápida, aquí hay un intento de responder a su preocupación.

Lo que puede no estar muy claro en esta versión de la descripción del simulador (esta fue la primera vez que describía un simulador, y es cierto que se lee demasiado como el lenguaje de máquina) es que, después de todo, el simulador muestra la salida. El empuje y el estallido de la pila corresponde solo al recorrido a través de los bordes etiquetados con L1 y R1. Entonces, incluso si el verificador aborta en otro lugar, simplemente se libera y el simulador continúa.

Recomendaría la versión de procedimientos FOCS (o una versión ligeramente ampliada que está disponible desde mi página de inicio) sobre esta versión de impresión electrónica. En términos de la descripción en la versión del procedimiento, la salida del simulador corresponde al "hilo principal" de la simulación, y no incluye ningún aborto que pueda ocurrir en los bloques de anticipación. (Solo mirando el papel: vea la Figura 3 para ver una ilustración).

Espero que ayude.

-Manoj

Manoj Prabhakaran
fuente