Custo mínimo de comunicação para zero provas de conhecimento de três cores

11

A prova de Goldreich et al. De que três cores têm zero provas de conhecimento usa pouco comprometimento para uma coloração inteira do gráfico em cada rodada [1]. Se um gráfico possui vértices e arestas, um hash seguro possui bits e buscamos a probabilidade de erro , o custo total da comunicação é $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

mais de rodadas. Usando uma árvore Merkle gradualmente revelada, a comunicação total pode ser reduzida para com o custo de aumentar o número de rodadas para . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

É possível fazer melhor do que isso, em termos de comunicação total ou número de rodadas?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Edit : Obrigado a Ricky Demer por apontar o fator ausente de . $e$

communication-complexity zero-knowledge

— Geoffrey Irving
fonte

3

Então, aqui está o artigo certo para meus propósitos:

Joe Kilian, "Uma observação sobre provas e argumentos eficientes de conhecimento zero." http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Para obter o resultado mais forte, precisamos aceitar zero argumentos de conhecimento em vez de provas (comprovador limitado computacionalmente); é nisso que estou interessado, mas não conhecia a terminologia.

Assumindo suposições criptográficas suficientes, o artigo fornece zero argumentos de conhecimento com comunicação total para . $O(b \log^c n \log (1/p))$ $c = O(1)$

Este resultado é apertado para rodadas por Ishai et al., "Em PCPs eficientes de conhecimento zero", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf . $O(1)$

— Geoffrey Irving
fonte

Eu acho que é melhor excluir esta resposta e atualizar a original para ser a resposta correta.

— Kaveh

2

Atualização : Esta resposta é obsoleta pela minha outra resposta, com limites totalmente polilogarítmicos a partir das referências apropriadas.

Pensando bem, não há necessidade de revelar a árvore Merkle gradualmente, portanto a versão de comunicação inferior não precisa de rodadas extras. As etapas de comunicação são

O provador P randomiza sua coloração, transforma-a em uma árvore Merkle (salgada) e envia a raiz ao verificador V.
V pega uma vantagem aleatória e envia para P. $e$
P envia os caminhos da árvore Merkle da raiz para cada ponto final de a V. $e$

Isso fornece comunicação durante as rodadas . $O(be \log n \log (1/p))$ $O(1)$

Atualização: Aqui estão os detalhes da construção da árvore Merkle. Para simplificar, expanda o gráfico para ter exatamente vértices adicionando alguns nós desconectados (eles não afetam três cores ou zero conhecimento). Assuma uma função hash segura, recebendo entradas de qualquer tamanho e produzindo saídas de bits . Para cada árvore Merkle, o provador escolhe nonces aleatórios de bits , um para cada folha e não folha da árvore binária. Nas folhas, misturamos a cor concatenada com o nonce para produzir o valor da folha. Em cada nonleaf, usamos o valor dos dois filhos com o nonce do nonleaf para produzir o valor do nonleaf. $2^a$ $b$ $2^{a+1}-1$ $b$

Na primeira rodada, o provador envia apenas o valor raiz, que não fornece informações, pois é hash com o nonce da raiz. Na terceira rodada, nenhuma informação é transmitida sobre qualquer nó não expandido na árvore binária, pois esse nó foi hash com um nonce nesse nó. Aqui, estou assumindo que o provador e o verificador são limitados computacionalmente e não podem quebrar o hash.

Edit : Obrigado a Ricky Demer por apontar o fator ausente de . $e$

— Geoffrey Irving
fonte

A etapa 1 daria ao verificador uma maneira de alta precisão para testar qualquer palpite na coloração do fornecedor, usando apenas 6 vezes o trabalho da etapa 1 do paletó por palpite.

$\:$ Além disso, não vejo nenhuma maneira de usar uma árvore Merkle calculada pelo provador sem passar de uma prova para um argumento .

$\;\;\;\;$

Como uma árvore Merkle salgada pode ser usada para adivinhar uma coloração?

— Geoffrey Irving

1

Postei uma resposta dizendo por que acho que a idéia salgada da árvore Merkle não funciona.

$\:$ Em vez disso, você deve transformar os compromissos com as randomizações das cores em uma árvore Merkle.

$\:$ Percebo também que você parece estar perdendo um fator number_of_edges na complexidade da comunicação.

$\hspace{.48 in}$

1

Bem, pode-se considerar a promessa de que a tarefa é de 3 cores válidas ou [pelo menos

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ arestas têm vértices da mesma cor].

$\;\;\;$ Isso diminui a complexidade da comunicação para

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (continuação ...)

1

(... contínuo)

$\;\;\;$ Em seguida, pode-se aplicar máquinas PCP para reduzir a relação padrão de 3 cores para essa relação de promessa.

$\;\;\;$ Então, levar essa idéia ao extremo dá argumentos universais de conhecimento zero .

$\;\;\;\;\;\;\;\;$

1

Há uma recente onda de atividade em argumentos sucintos e não interativos de conhecimento zero. Sabe-se como, por exemplo, construir um argumento NIZK para Circuit-SAT, em que o tamanho do argumento é um número constante muito pequeno de elementos de grupo (ver Groth 2010, Lipmaa 2012, Gennaro, Gentry, etc, Eurocrypt 2013, etc). Com base em uma redução de NP, é possível construir claramente um argumento para a 3 cores com a mesma comunicação.

É claro que este é um modelo diferente comparado à sua pergunta original - por exemplo, nesses argumentos, o comprimento do CRS é linear no tamanho do circuito e, em certo sentido, pode ser pensado como parte da comunicação (embora possa ser reutilizado em muitos argumentos diferentes).

— cryptocat
fonte

0

(Isso não cabe em um comentário.)

Acho que agora vejo como mostrar que a sua salga não fornece necessariamente
zero conhecimento do verificador honesto. $\:$ $H_0$ $\:$
$H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ $H_2$

$x$ $z$ $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
Um tem $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$

$x$ $r\hspace{-0.02 in}$ $m$ $x$ $r\hspace{-0.02 in}$ $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$

$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

$H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Não sei se sigo sua anotação, mas parece que você está argumentando que pode pegar meu esboço e preencher os detalhes de uma maneira obviamente boba, produzindo assim um sistema inseguro. Vou adicionar a versão mais limpa e segura dos detalhes à minha resposta.

— Geoffrey Irving

H_{2}

$H_2$

$\:$ Tudo o resto estava

$\hspace{1.71 in}$ o que eu sinceramente pensei que você quis dizer.

$\;\;\;\;$

Informe-me se os detalhes adicionados à minha resposta deixam claro. É bem possível que eu esteja perdendo alguma coisa e minha construção esteja realmente quebrada.

— Geoffrey Irving