20、受限洗牌证明：原理、协议与应用

受限洗牌证明：原理、协议与应用

命题 1 的证明

命题 1 的证明主要围绕协议的完整性、零知识属性以及知识证明展开。协议的完整性和零知识属性源于 sigma 协议的相应属性以及承诺方案的隐藏属性。为证明该协议是一个知识证明，需要创建一个提取器。

• 三消息协议 ：将原本的四轮证明者转换为标准 sigma 协议的三轮证明者。对于给定的证明者 (P^ )，定义 (P^+) 为随机选择 (e \in Z_N^q) 并模拟 (P^ ) 的交互机器，(V^+) 则是接受 (e) 作为 sigma 证明第一条消息一部分的验证者。
• 基本提取器 ：在公共输入中添加一组线性无关向量 (e_1, \ldots, e_l \in Z_N^q)（(l < N)），定义 (P_{\perp}) 与 (P^+) 相同，(V_{\perp}) 与 (V^+) 相同，但仅在 (e) 与这些向量线性无关时接受。若 (P^*) 以概率 (\delta) 说服 (V)，则 (P_{\perp}) 以至少 (\delta - \frac{1}{|S|}) 的概率说服 (V_{\perp})。sigma 证明存在一个提取器 (E_{\perp})，它将 (P_{\perp}) 作为黑盒运行，在给定线性无关向量 (e_1, \ldots, e_l \in Z_N^q) 时，提取出与这些向量线性无关的 (e) 以及相应的见证 ((e’, t, k))，其期望运行时间为 (T/(\delta - \frac{1}{|S|} - \epsilon))，其中 (T(n)) 是安全参数 (n) 的多项式，(\epsi