Em um artigo intitulado "Sobre a negação na cadeia de referência comum e no modelo aleatório do Oracle", Rafael Pass escreve:
Observamos que, ao provar a segurança de acordo com a definição padrão de conhecimento zero no modelo RO [Oracle aleatório], o simulador tem duas vantagens sobre um simulador de modelo simples, a saber:
- O simulador pode ver em quais valores as partes consultam o oráculo.
- O simulador pode responder a essas perguntas da maneira que escolher, desde que as respostas "pareçam" OK.
A primeira técnica, ou seja, a capacidade de "monitorar" consultas ao RO, é muito comum em todos os trabalhos referentes ao conceito de zero conhecimento no modelo de RO.
Agora, considere a definição de conhecimento zero de caixa preta ( PPT significa máquina de Turing probabilística em tempo polinomial ):
um PPT simulador S , de tal forma que ∀ (possivelmente batota) PPT verificador V * , ∀ comum de entrada x ∈ G , e ∀ aleatoriedade r , o seguinte são indistinguíveis:
- a visão de enquanto interage com o provador P na entrada x e usando a aleatoriedade r ;
- a saída de nas entradas x e r , quando S recebe acesso em caixa preta a V ∗ .
Aqui, quero exibir um verificador de trapaça , cujo trabalho é esgotar qualquer simulador que tente monitorar as consultas de RO:
Seja o simulador garantido pelo quantificador existencial na definição de conhecimento zero da caixa preta e seja q ( | x | ) um polinômio que limita o tempo de execução de S na entrada x . Suponha que S tente monitorar as consultas de V ∗ na RO.
Agora, considere um trapaceiro , que primeiro consulta o RO por q ( | x | ) + 1 vezes (em entradas arbitrárias de sua escolha) e depois age arbitrariamente maliciosamente.
Obviamente, esgota o simulador S . Uma maneira simples de S é rejeitar esse comportamento malicioso, mas, dessa maneira, um distintivo pode facilmente distinguir a interação real da simulação. (Como na interação real, o provador P não pode monitorar as consultas de V ' e, portanto, não rejeitará com base no mero fato de que V ' está consultando demais.)
Qual é a solução alternativa para o problema acima?
Editar:
Uma boa fonte para estudar ZK no modelo RO é:
Martin Gagné, Um Estudo do Modelo Oracle Aleatório, Ph.D. Tese, Universidade da Califórnia, Davis , 2008, 109 páginas. Disponível no ProQuest: http://gradworks.umi.com/33/36/3336254.html
Particularmente, fornece definições de caixa preta ZK no modelo RO na seção 3.3 (página 20), atribuídas a Yung e Zhao: