78、高效证明者下零知识证明的组合性与Σ协议效率限制

高效证明者下零知识证明的组合性与Σ协议效率限制

1. Σ协议效率限制

在研究群同态的Σ协议时，会遇到一些效率限制。利用向量的线性独立性，可以证明某些集合关系。设向量组({(b_{11}, \ldots, b_{1l}), \ldots, (b_{n1}, \ldots, b_{nl})})线性独立，能得出(W \neq E_i)对所有(i)成立。

定义整数(K := K(C, a_{ji}, b_{ki}, g_{ji}, e_{ji}, f_j, d_k))，它大于所研究的通用Σ协议定义中出现的所有系数的绝对值。基于(E_i \neq W)和引理8，并且注意到对(E_i)和(F_j)分别进行(v)次预言机查询后，所有系数都小于(2^v \cdot K)，可以得到：
[Pr[(a)] \leq \frac{1}{A + (v + \log_2 K + A)\alpha(\pi)}]
对于所有(A \in Z)成立。

对于情况(b)，使用同样的(K)，并且观察到最多有(v)个不同的(E_i)和(F_j)，通过类似的论证可得情况(b)的概率有界：
[Pr[(b)] \leq v^2 \cdot \frac{1}{A + (v + \log_2 K + A)\alpha(\pi)}]
对于所有(A \in Z)成立。

这里假设(\varphi(\cdot))是满射，(\rho(\cdot))是真正的随机函数。前者只是为了便于表述的技术问题，后者由于(\rho(\cdot))按定义是伪随机的，只会产生可忽略的误差。综合来看，算法赢得上述游戏的总概率受限：
[Pr[(a)] + Pr[(b)] \leq (v^2 + 1