Perché Feige-Fiat-Shamir non è Zero Conoscenza senza bit di segno?

Nel capitolo 10 di HAC (10.4.2) , vediamo il noto protocollo di identificazione Feige-Fiat-Shamir basato su una prova a conoscenza zero che utilizza la (presunta) difficoltà di estrarre radici quadrate da un modulo che è difficile da considerare. Darò lo schema con le mie stesse parole (e spero di farlo bene).

Cominciamo con uno schema più semplice: sia $n$ un numero intero di Blum (quindi $n=pq$ e ognuno di $p$ e $q$ è 3 mod 4) di dimensioni sufficientemente grandi da rendere intrattabile il factoring. Poiché $n$ è un numero intero di Blum, metà degli elementi di $Z_n^*$ ha il simbolo Jacobi +1 e l'altra metà ha -1. Per gli elementi +1, la metà di questi ha radici quadrate e ogni elemento che ha una radice quadrata ne ha quattro, esattamente uno dei quali è un quadrato.

Ora Peggy seleziona un elemento casuale $s$ da $Z_n^*$ e imposta $v=s^2$ . Quindi invia $v$ a Victor. Il prossimo è il protocollo: Victor desidera verificare che Peggy conosca una radice quadrata di $v$ e Peggy desidera dimostrarglielo senza divulgare nulla su $s$ al di là del fatto che conosce tali $s$ .

Peggy sceglie una casuale $r$ in $Z_n^*$ e invia $r^2$ a Victor.
Victor invia in modo equiparabile $b=0$ oppure $b=1$ a Peggy.
Peggy manda $rs^b$ a Victor.

Victor può verificare che Peggy abbia inviato la risposta corretta quadrando ciò che riceve e confrontandolo con il risultato corretto. Naturalmente, ripetiamo questa interazione per ridurre la possibilità che Peggy sia solo un indovino fortunato. Questo protocollo è considerato ZK; una prova può essere trovata in vari luoghi (ad esempio, gli appunti di Boaz Barak ).

$k$ $s_1\cdots s_k$ $t_1 = \pm 1, \cdots t_k = \pm 1$ $v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$ $v_i$

Peggy sceglie una r casuale in Z ∗ n e invia r 2 $r$ $Z_n^*$ $r^2$
$k$ $b_i$ $\{0,1\}$
$r\Pi_{i=1}^ks_i^{b_i}$

$t_i$

Non riesco a trovare un attacco che estrae qualcosa da Peggy se omette i segni.

cr.crypto-security proofs zero-knowledge

— Fixee
fonte

Il protocollo di identificazione Feige-Fiat-Shamir (FFS) è una prova della conoscenza (PoK), in cui il prover (Peggy) dimostra la sua conoscenza le radici quadrate dell'input dato al verificatore (Victor).

FFS vuole discriminare PoK dalle prove dell'appartenenza al linguaggio , in cui Peggy dimostra che l'input ha delle proprietà (più formalmente, l'input appartiene a una certa lingua).

Se non utilizziamo i segni negativi, è possibile che gli input non possiedano alcuna radice quadrata. Ad esempio, il numero 20 non ha alcuna radice quadrata mod 21. Dal momento che distinguere i quadrati e i non quadrati è un famoso problema difficile , FFS lo evita permettendo che l'input sia il valore più o meno di un numero quadrato. Con le loro stesse parole (un po 'cambiato):

$v_i$ $v_i$ $+1 \bmod n$ $s_i$ $v_i$

Per input illimitati prove a conoscenza zero della conoscenza , significano un PoK ZK la cui prova corrispondente dell'appartenenza al linguaggio è banale; cioè V può decidere da solo che l'ingresso è il più o il meno di un quadrato (controllando semplicemente il simbolo Jacobi).

— MS Dousti
fonte

Grazie per la risposta, ma non seguo ancora: senza segni il simbolo Jacobi è +1. Con i segni, il simbolo Jacobi è +1. Dici sopra "se non usiamo i segni negativi, è possibile che gli input non possiedano alcuna radice quadrata". Come è possibile? L'input per il verificatore è un elenco di quadrati che (assumendo un onesto prover) hanno sempre radici quadrate.

— Fixee,

Seconda domanda: stai dicendo che i segni sono presenti solo per la prova? O c'è un vero attacco se vengono omessi?

— Fixee,

@Fixee: supponi che un professionista del truffatore scelga le sue chiavi pubbliche ( ) non in base al protocollo; dire un valore casuale il cui simbolo Jaccobi è +1. Il verificatore (scarso) non ha modo di dire se i abbiano radici quadrate o meno. L'unico modo è eseguire il protocollo e ottenere l'aiuto del prover. Cioè, il prover sta sia dimostrando la sua conoscenza degli , sia fornendo una prova dell'appartenenza al linguaggio (cioè 's appartiene al QR code dei residui quadratici). Per qualche ragione, a FFS piaceva separare questo tipo di prova dalle prove di "input senza restrizioni". Vedo questo come un semplice tecnicismo.

v_{i}

$v_i$

v_{i}

$v_i$

s_{i}

$s_i$

v_{i}

$v_i$

— MS Dousti,