Costo minimo di comunicazione per zero prove di conoscenza di tre colorabilità

11

La dimostrazione di Goldreich et al. Che tre colorabilità ha zero prove di conoscenza usa l'impegno bit per un'intera colorazione del grafico in ogni round [1]. Se un grafico ha vertici ed bordi, un hash sicuro ha bit e cerchiamo la probabilità di errore , il costo totale della comunicazione è $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

su round. Utilizzando un albero Merkle gradualmente rivelato, la comunicazione totale può essere ridotta a al costo di aumentare il numero di round a . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

È possibile fare meglio di così, in termini di comunicazione totale o numero di round?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Modifica : grazie a Ricky Demer per aver sottolineato il fattore mancante di . $e$

communication-complexity zero-knowledge

— Geoffrey Irving
fonte

3

Quindi ecco il documento giusto per i miei scopi:

Joe Kilian, "Una nota su prove e argomenti efficaci a conoscenza zero". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Per ottenere il risultato più forte, dobbiamo accettare argomenti di conoscenza zero anziché prove (prover computazionalmente limitato); questi sono ciò che mi interessa ma non conoscevo la terminologia.

Supponendo sufficienti ipotesi crittografiche, il documento fornisce zero argomenti di conoscenza con la comunicazione totale per . $O(b \log^c n \log (1/p))$ $c = O(1)$

Questo risultato è stretto a round da Ishai et al., "On Efficient Zero-Knowledge PCPs", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf . $O(1)$

— Geoffrey Irving
fonte

Penso che sia meglio eliminare questa risposta e aggiornare quella originale per essere la risposta corretta.

— Kaveh,

2

Aggiornamento : questa risposta è obsoleta dall'altra mia risposta, con limiti completamente pollogaritmici da riferimenti appropriati.

Ripensandoci, non è necessario rivelare gradualmente l'albero di Merkle, quindi la versione di comunicazione inferiore non richiede round extra. I passaggi della comunicazione sono

Il prover P randomizza la sua colorazione, la trasforma in un albero Merkle (salato) e invia la radice al verificatore V.
V prende un bordo casuale e lo invia a P. $e$
P invia i percorsi dell'albero Merkle dalla radice a ciascun endpoint di a V. $e$

Questo dà la comunicazione su round . $O(be \log n \log (1/p))$ $O(1)$

Aggiornamento: ecco i dettagli della costruzione dell'albero Merkle. Per semplicità, espandi il grafico per avere esattamente vertici aggiungendo alcuni nodi disconnessi (questi non influiscono su tre colorabilità o conoscenza zero). Assumere una funzione di hash sicuro di prendere qualsiasi ingresso dimensioni e la produzione di uscite -bit. Per ogni albero di Merkle, il prover sceglie casuali , una per ogni foglia e non-foglia dell'albero binario. Alle foglie, abbiamo il colore concatenato con il nonce per produrre il valore della foglia. Ad ogni non foglia, abbiamo il valore di due figli con il nonce del non foglia per produrre il valore del non foglia. $2^a$ $b$ $2^{a+1}-1$ $b$

Nel primo round, il prover invia solo il valore di root, che non fornisce informazioni poiché è hash con il nonce di root. Nel terzo round, nessuna informazione viene trasmessa su alcun nodo non espanso nella struttura binaria, poiché tale nodo è stato hash con un nonce su quel nodo. Qui presumo che il prover e il verificatore siano entrambi limitati dal punto di vista computazionale e non possano rompere l'hash.

Modifica : grazie a Ricky Demer per aver sottolineato il fattore mancante di . $e$

— Geoffrey Irving
fonte

Il passaggio 1 fornirebbe al verificatore un modo altamente accurato per testare qualsiasi ipotesi sulla colorazione del prover, utilizzando solo 6 volte il lavoro del pro-step del prover per ogni ipotesi. Inoltre, non vedo alcun modo di usare un albero Merkle calcolato dal prover senza passare da una prova a un argomento .

$\:$

$\;\;\;\;$

Come può un albero Merkle salato essere usato per indovinare una colorazione?

— Geoffrey Irving,

1

Ho pubblicato una risposta dicendo perché penso che l'idea di Merkle Tree salata non funzioni.

$\:$ Dovresti invece trasformare gli impegni nelle randomizzazioni dei colori in un albero Merkle.

$\:$ Ho anche notato che sembra che manchi un fattore number_of_edges nella complessità della comunicazione.

$\hspace{.48 in}$

1

Bene, si può considerare la promessa che il compito è o un 3 colori valido o [almeno

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ i bordi hanno vertici dello stesso colore].

$\;\;\;$ Ciò riduce la complessità della comunicazione a

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (continua ...)

1

(... continua)

$\;\;\;$ Successivamente, si può applicare un macchinario PCP per ridurre la relazione standard a 3 colorazioni a quella relazione promessa.

$\;\;\;$ Quindi, portando quell'idea al suo estremo dà argomenti universali a conoscenza zero .

$\;\;\;\;\;\;\;\;$

1

C'è un recente aumento di attività in argomenti concisi di conoscenza zero non interattivi. È noto come ad esempio costruire un argomento NIZK per Circuit-SAT in cui la lunghezza dell'argomento è un numero costante molto piccolo di elementi di gruppo (vedi Groth 2010, Lipmaa 2012, Gennaro, Gentry, ecc., Eurocrypt 2013, ecc.). Sulla base di una riduzione NP è quindi possibile costruire chiaramente un argomento per la 3-colorabilità con la stessa comunicazione.

Naturalmente questo è un modello diverso rispetto alla tua domanda originale - ad esempio, in quegli argomenti, la lunghezza del CRS è lineare nella dimensione del circuito, e in un certo senso può essere pensata come parte della comunicazione (anche se può essere riutilizzata in molti argomenti diversi).

— cryptocat
fonte

0

(Questo non rientra in un commento.)

Penso che ora vedo come dimostrare che la tua salatura non fornisce necessariamente una
conoscenza zero del verificatore onesto. $\:$ $H_0$ $\:$
$H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ $H_2$

$x$ $z$ $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
uno ha $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$

$x$ $r\hspace{-0.02 in}$ $m$ $x$ $r\hspace{-0.02 in}$ $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$

$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

$H_1$ $H_2$ $H_1$ $\:$ $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Non sono sicuro di seguire la tua notazione, ma sembra che tu stia sostenendo che puoi prendere il mio schizzo e riempire i dettagli in un modo ovviamente sciocco, producendo così un sistema insicuro. Aggiungerò la versione più pulita e sicura dei dettagli alla mia risposta.

— Geoffrey Irving,

H_{2}

$H_2$

$\:$ Tutto il resto era

$\hspace{1.71 in}$ quello che onestamente pensavo intendessi.

$\;\;\;\;$

Per favore fatemi sapere se i dettagli aggiunti alla mia risposta lo rendono chiaro. È abbastanza probabile che mi manchi qualcosa e la mia costruzione è davvero rotta.

— Geoffrey Irving,