Costo mínimo de comunicación para cero pruebas de conocimiento de tres colores

La prueba de Goldreich et al. De que tres colorabilidad tiene cero pruebas de conocimiento utiliza un poco de compromiso para una coloración completa del gráfico en cada ronda [1]. Si un gráfico tiene vértices y bordes e , un hash seguro tiene b bits, y buscamos la probabilidad de error p , el costo total de comunicación es$n$$e$$b$$p$

sobre rondas. Usando un árbol Merkle revelado gradualmente, la comunicación total se puede reducir a O ( b e log n log ( 1 / p ) ) a costa de aumentar el número de rondas a O ( log n ) .$O(1)$$O(be \log n \log (1/p))$$O(\log n)$

¿Es posible hacerlo mejor que esto, ya sea en términos de comunicación total o número de rondas?

1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Editar : Gracias a Ricky Demer por señalar el factor faltante de .$e$

Así que aquí está el papel correcto para mis propósitos:

Joe Kilian, "Una nota sobre pruebas y argumentos eficientes de conocimiento cero". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Para obtener el resultado más sólido, debemos aceptar argumentos de conocimiento cero en lugar de pruebas (comprobador acotado computacionalmente); Esto es lo que me interesa pero no conocía la terminología.

Suponiendo suposiciones criptográficas suficientes, el documento proporciona cero argumentos de conocimiento con comunicación total para c = O ( 1 ) .$O(b \log^c n \log (1/p))$$c = O(1)$

Este resultado se ajusta a las rondas por Ishai et al., "Sobre PCP eficientes de conocimiento cero", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf .$O(1)$

Actualización : Esta respuesta está obsoleta por mi otra respuesta, con límites completamente polilogarítmicos de referencias apropiadas.

Pensándolo bien, no hay necesidad de revelar el árbol Merkle gradualmente, por lo que la versión de comunicación inferior no necesita rondas adicionales. Los pasos de comunicación son

1. El probador P aleatoriza su coloración, lo convierte en un árbol Merkle (salado) y envía la raíz al verificador V.
2. $e$
3. $e$

$O(be \log n \log (1/p))$$O(1)$

$2^a$$b$$2^{a+1}-1$$b$

En la primera ronda, el probador envía solo el valor raíz, que no proporciona información, ya que está en hash con el nonce de la raíz. En la tercera ronda, no se transmite información sobre ningún nodo no expandido en el árbol binario, ya que dicho nodo se ha generado con un nonce en ese nodo. Aquí estoy asumiendo que el probador y el verificador están acotados computacionalmente y no pueden romper el hash.

Editar : Gracias a Ricky Demer por señalar el factor faltante de e$e$

Hay un aumento reciente en la actividad en argumentos sucintos no interactivos de conocimiento cero. Se sabe cómo, por ejemplo, construir un argumento NIZK para Circuit-SAT donde la longitud del argumento es un número constante muy pequeño de elementos de grupo (ver Groth 2010, Lipmaa 2012, Gennaro, Gentry, etc., Eurocrypt 2013, etc.). Basado en una reducción de NP, puede construir claramente un argumento para la colorabilidad 3 con la misma comunicación.

Por supuesto, este es un modelo diferente en comparación con su pregunta original; por ejemplo, en esos argumentos, la longitud de CRS es lineal en el tamaño del circuito y, en cierto sentido, puede considerarse como parte de la comunicación (aunque puede reutilizarse en muchos argumentos diferentes).

(Esto no cabe en un comentario).

Creo que ahora veo cómo demostrar que la salazón no necesariamente proporciona
un conocimiento honesto de verificador honesto.$\:$$H_0$$\:$
$H_0$$H_1$$H_0$
$H_1$$H_0$
$||$$\:$$H_2$


$x$$z$$\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$$\;$$y$
$m$$\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$,
Se tiene$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$



$x$$r\hspace{-0.02 in}$$m$$x$$r\hspace{-0.02 in}$$m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$



$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$.


.

$H_1$$H_2$$H_1$$\:$$H_1$
$H_0$$\:$$H_0$$H_2$


$1/(2^{(b-1)})$