49、抗泄漏零知识证明与高效基于属性签名的安全性分析

抗泄漏零知识证明与高效基于属性签名的安全性分析

抗泄漏零知识证明相关内容

在某些计算场景中，涉及到对哈密顿循环问题（HC）的抗泄漏零知识证明构建。存在一个算法 (K)，它在一些特定步骤中有重复操作。当在步骤 4 和步骤 5 成功重复时，有 (p’\geq p)。这里需要注意的是，当 (p = 0) 时，(K) 显然在严格多项式时间内运行，所以后续假设 (p>0)。

算法 (K) 的期望运行时间为 ((1 - p)\cdot poly(n)+p\cdot\frac{1}{p’}\cdot poly(n)=poly(n))。接下来分析 (K) 输出哈密顿循环的概率，当 (p > 2^{-n}) 时，其输出哈密顿循环的概率至少为 (p - 2^{-n})。

设 (Accept_{ch}) 表示 (K) 获得 (ch = ch_1\cdots ch_n) 以及 (P^*) 对 (ch) 的可接受响应这一事件，(Terminate) 表示 (K) 终止重复这一事件。显然 (p=\sum_{ch}Pr[Accept_{ch}])。假设 (p=\frac{m}{2^n}>2^{-n})，则有：
(Pr[(G, H)\in RHC : H\leftarrow K(G)]=\sum_{ch}Pr[Accept_{ch}\land Terminate\land(ch\neq\overline{ch})]=\sum_{ch}Pr[Accept_{ch}]\cdot Pr[Terminate\land(ch\neq\overline{ch})|Accept_{ch}])
其中 (\overline{ch}) 在 (Terminate) 发生时确定。由于 (Pr[Te