Questa non è una risposta effettiva; Sto solo condividendo alcuni risultati (che non rientrano in un commento).
- Goldreich, Micali e Wigderson ( J. ACM, 1991 ) hanno dimostrato che ogni lingua in NP ha una prova a conoscenza zero dell'appartenenza alla lingua (supponendo che esistano OWF). A tal fine, hanno presentato una prova ZK per la colorabilità del grafico 3. Successivamente, Bellare e Goldreich ( CRYPTO '92 ) hanno dimostrato che questa dimostrazione ZK è anche una dimostrazione di conoscenza ZK (PoK). Usando le riduzioni di Levin (vedi nota 12 del precedente documento), Ogni lingua in NP ha un ZK PoK (supponendo che esistano OWF).
- Itoh e Sakurai ( ASIACRYPT '91 ) hanno un articolo sui risultati teorici della complessità riguardanti le relazioni che hanno ZK PoK a ciclo costante.
- Questo è un risultato apparentemente non correlato, anche se non posso fare a meno di notare alcune somiglianze. In qualche modo sento (non qualcosa di formale) che la prova di appartenenza e la prova di conoscenza è simile alla decisione rispetto alla ricerca . Forse in questo senso, si può anche citare il lavoro di Bellare e Goldwasser ( J. Computing, 1994 ), dove dimostrano (condizionatamente) che non tutte le lingue in NP hanno una riduzione dalla ricerca alla decisione.
Alcuni problemi aperti (forse risolti, ma non di cui io sia a conoscenza) riguardo agli aspetti teorici della complessità dei PoK:
Varie misure di efficienza per ZK PoK di una relazione specifica con una certa complessità (ad esempio, una relazione in AM):
- Complessità comunicativa della prova
- Complessità computazionale delle parti
- Conoscenza della conoscenza (ovvero, il rapporto tra il tempo di esecuzione (previsto) del simulatore e il tempo di esecuzione del verificatore nell'interazione reale)
La complessità delle relazioni che ammettono ZK PoK con alcune limitazioni, dicono complessità circolari limitate (Itoh e Sakurai considerano solo ZK PoK a ciclo costante). Un altro esempio è quando il prover è il tempo polinomiale: non può usare la riduzione alla 3-colorabilità, poiché non può risolvere le relazioni NP-complete. Tutti i problemi NP-completi hanno una riduzione Cook dalla ricerca alla decisione. Tuttavia, dal risultato di Bellare-Goldwasser sopra citato, tali riduzioni non esistono necessariamente per tutte le lingue / relazioni NP.
- Altri risultati interessanti riguardanti i PoK che non sono necessariamente ZK, ma la cui complessità di conoscenza è altrimenti limitata. Vedi Goldreich e Petrank ( Comput. Complex., 1999 ).
Prima di concludere, permettetemi di menzionare che in realtà ci sono diverse definizioni per PoK, alcune delle quali sono citate di seguito:
1) Primi tentativi: Feige, Fiat e Shamir ( J. Cryptology, 1988 ), Tompa e Woll ( FOCS 1987 ) e Feige e Shamir ( STOC 1990 ).
2) Standard di fatto: Bellare e Goldreich ( CRYPTO '92 ). Questo documento esamina i primi tentativi di definire PoK, osserva le loro carenze e suggerisce una nuova definizione che può essere considerata come "la" definizione di PoK. Questa definizione ha una natura "black box" (l'estrattore della conoscenza ha accesso "black box" al prover cheat).
3) PoK conservativi: definiti da Halevi e Micali ( ePrint Archive: Report 1998/015 ), questa definizione aumenta la definizione precedente per garantire la fattibilità del prover. Fornisce anche una definizione per la conoscenza di un singolo prover, il che è utile quando si risponde alla domanda "cosa significa dire che P conosce qualcosa?"
4) Argomenti della conoscenza con estrazione senza scatola nera: come menzionato sopra, la definizione standard di PoK è scatola nera, il che rende impossibile avere prove (o argomenti) di conoscenza a zero conoscenza ripristinabili per linguaggi non banali. Barak et al. ( FOCS 2001 ) forniscono una definizione non black-box, che si basa (ma differisce da) dalla definizione di Feige e Shamir (STOC 1990) citata sopra.