超级会员免费看
零知识证明:原理、变体与高级应用
1. 零知识证明的基本分析
零知识证明需满足完整性、可靠性和零知识性。在一个关于哈密顿图的协议中,完整性得以保证,因为证明者 P 知道相关信息,能正确完成任务。可靠性也成立,当图 G 无循环时,证明者 P ⋆ 成功的概率可忽略不计。零知识性则源于存在一个模拟器,它能尝试猜测验证者 V ⋆ 下一次抛硬币的结果。若模拟器失败,可回退并重试,直至通过测试。
不过,当验证者 V ⋆ 根据当前视图抛硬币,且每次回退时情况可能改变,就可能出现无界的重复次数,甚至 V ⋆ 可能决定中止协议执行。
2. 轮复杂度
研究人员对零知识证明系统的轮复杂度进行了深入研究。哈密顿图的协议通信轮数取决于公共输入的大小。对 Blum 协议进行简单修改,并行运行 log |x| 个测试,虽会增加模拟时的回退次数,但模拟器仍可在期望多项式时间内运行。这种方式得到的轮复杂度为 ω(1),且对于使用黑盒模拟的公共硬币零知识论证系统而言是最优的。而使用非黑盒模拟,则可实现常数轮的公共硬币零知识论证系统。
在不同假设下,可得到不同轮数的零知识证明系统:
| 假设条件 | 轮数 | 相关情况 |
| — | — | — |
| 统计隐藏承诺(存在抗碰撞哈希函数族) | 5 轮 | 所有测试并行进行,验证者使用的硬币在协议开始时被固定 |
| 单向函数 | 4 轮 | 对于黑盒模拟是最优的 |
| | 3 轮 | 非黑盒模拟构建 3 轮零知识论证系统的可能性仍未确定 |
订阅专栏 解锁全文
扫一扫
890
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
