Costo mínimo de comunicación para cero pruebas de conocimiento de tres colores

11

La prueba de Goldreich et al. De que tres colorabilidad tiene cero pruebas de conocimiento utiliza un poco de compromiso para una coloración completa del gráfico en cada ronda [1]. Si un gráfico tiene vértices y bordes e , un hash seguro tiene b bits, y buscamos la probabilidad de error p , el costo total de comunicación esnebp

O(benlog(1/p))

sobre rondas. Usando un árbol Merkle revelado gradualmente, la comunicación total se puede reducir a O ( b e log n log ( 1 / p ) ) a costa de aumentar el número de rondas a O ( log n ) .O(1)O(belognlog(1/p))O(logn)

¿Es posible hacerlo mejor que esto, ya sea en términos de comunicación total o número de rondas?

  1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Editar : Gracias a Ricky Demer por señalar el factor faltante de .e

Geoffrey Irving
fuente

Respuestas:

3

Así que aquí está el papel correcto para mis propósitos:

Joe Kilian, "Una nota sobre pruebas y argumentos eficientes de conocimiento cero". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Para obtener el resultado más sólido, debemos aceptar argumentos de conocimiento cero en lugar de pruebas (comprobador acotado computacionalmente); Esto es lo que me interesa pero no conocía la terminología.

Suponiendo suposiciones criptográficas suficientes, el documento proporciona cero argumentos de conocimiento con comunicación total para c = O ( 1 ) .O(blogcnlog(1/p))c=O(1)

Este resultado se ajusta a las rondas por Ishai et al., "Sobre PCP eficientes de conocimiento cero", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf .O(1)

Geoffrey Irving
fuente
Creo que es mejor eliminar esta respuesta y actualizar la original para que sea la respuesta correcta.
Kaveh
2

Actualización : Esta respuesta está obsoleta por mi otra respuesta, con límites completamente polilogarítmicos de referencias apropiadas.

Pensándolo bien, no hay necesidad de revelar el árbol Merkle gradualmente, por lo que la versión de comunicación inferior no necesita rondas adicionales. Los pasos de comunicación son

  1. El probador P aleatoriza su coloración, lo convierte en un árbol Merkle (salado) y envía la raíz al verificador V.
  2. e
  3. e

O(belognlog(1/p))O(1)

2ab2a+11b

En la primera ronda, el probador envía solo el valor raíz, que no proporciona información, ya que está en hash con el nonce de la raíz. En la tercera ronda, no se transmite información sobre ningún nodo no expandido en el árbol binario, ya que dicho nodo se ha generado con un nonce en ese nodo. Aquí estoy asumiendo que el probador y el verificador están acotados computacionalmente y no pueden romper el hash.

Editar : Gracias a Ricky Demer por señalar el factor faltante de ee

Geoffrey Irving
fuente
El paso 1 le daría al verificador una forma de alta precisión para probar cualquier conjetura en la coloración del probador, utilizando solo 6 veces el trabajo del prover-1 del probador por cada suposición. Además, no veo ninguna manera de usar un árbol Merkle calculado por el probador sin pasar de una prueba a un argumento .
¿Cómo se puede usar un árbol de Merkle salado para adivinar una coloración?
Geoffrey Irving
1
Publiqué una respuesta diciendo por qué creo que la idea salada de Merkle Tree no funciona. En su lugar, debe convertir los compromisos con las aleatorizaciones de los colores en un árbol Merkle. También noto que parece que le falta un factor número_de_edos en la complejidad de la comunicación.
1
Bueno, uno puede considerar la promesa de que la asignación es válida en 3 colores o [al menosδe los bordes tienen vértices del mismo color]. Eso reduce la complejidad de la comunicación a O(((bn)/δ)log(n)). (continuación ...)
1
(... continuación) Luego, uno puede aplicar maquinaria PCP para reducir la relación estándar de 3 colores con esa relación prometedora.Luego, llevar esa idea al extremo da argumentos universales de conocimiento cero .
1

Hay un aumento reciente en la actividad en argumentos sucintos no interactivos de conocimiento cero. Se sabe cómo, por ejemplo, construir un argumento NIZK para Circuit-SAT donde la longitud del argumento es un número constante muy pequeño de elementos de grupo (ver Groth 2010, Lipmaa 2012, Gennaro, Gentry, etc., Eurocrypt 2013, etc.). Basado en una reducción de NP, puede construir claramente un argumento para la colorabilidad 3 con la misma comunicación.

Por supuesto, este es un modelo diferente en comparación con su pregunta original; por ejemplo, en esos argumentos, la longitud de CRS es lineal en el tamaño del circuito y, en cierto sentido, puede considerarse como parte de la comunicación (aunque puede reutilizarse en muchos argumentos diferentes).

cryptocat
fuente
0

(Esto no cabe en un comentario).

Creo que ahora veo cómo demostrar que la salazón no necesariamente proporciona
un conocimiento honesto de verificador honesto.H0
H0H1H0
H1H0
||H2


xz((3b)+6)y
mm=x||111...[b of them]...111||y||z,
Se tieneH2(m)=x||111...[b of them]...111||H1(m)||z



xrmxrm
H2(m)=x||111...[b of them]...111||H1(m)||x



m
H2(m)=
[b+3 bits whose values don't matter]||H1(m)||[3 bits whose values don't matter].


.



H1H2H1H1
H0H0H2


1/(2(b1))


fuente
No estoy seguro de seguir tu notación, pero parece que estás argumentando que puedes tomar mi boceto y completar los detalles de una manera obviamente tonta, produciendo así un sistema inseguro. Agregaré la versión segura más limpia de los detalles a mi respuesta.
Geoffrey Irving
H2 Todo lo demás era lo que honestamente pensé que querías decir.
Avíseme si los detalles agregados a mi respuesta lo dejan claro. Es muy posible que me falte algo y mi construcción esté realmente rota.
Geoffrey Irving