ফিগা-ফিয়াট-শামির কেন সাইন বিট ছাড়া জিরো নলেজ নয়?

ইন hạc (10.4.2) 10 অধ্যায়ে , আমরা সুপরিচিত Feige-হুকমি-শামির আইডেন্টিফিকেশন (সম্ভাব্য) আহরণের বর্গমূল একটি যৌগিক যে ফ্যাক্টর কঠিন modulo অসুবিধা ব্যবহার করে একটি শূন্য-জ্ঞান প্রমাণ উপর ভিত্তি করে প্রোটোকল দেখুন। আমি আমার নিজের কথায় স্কিমটি দেব (এবং আশা করি এটি সঠিক হয়ে উঠবে)।

এর একটি সহজ স্কীম দিয়ে শুরু করা যাক: দিন হতে একটি Blum পূর্ণসংখ্যা (তাই এবং প্রতিটি এবং 3 গেলিক ভাষার 4 হয়) যথেষ্ট বৃহৎ আকারের যে ফ্যাক্টরিং intractible হয়। যেহেতু একটি Blum পূর্ণসংখ্যা, উপাদানের অর্ধেক আছে Jacobi প্রতীক +1 এবং বাকী অর্ধেক আছে -1। +1 উপাদানগুলির জন্য, এর অর্ধেকের বর্গমূল রয়েছে এবং বর্গমূলের প্রতিটি উপাদানগুলির মধ্যে চারটি থাকে, ঠিক একটি নিজেই বর্গাকার। $n$ $n=pq$ $p$ $q$ $n$ $Z_n^*$

এখন পেগী নির্বাচন একটি র্যান্ডম উপাদান থেকে এবং সেট । তার পরে ভিক্টরকে পাঠায় পরবর্তী প্রোটোকল হল: ভিক্টর তা যাচাই করতে পেগী একটি বর্গমূল জানে শুভেচ্ছা এবং পেগি সম্পর্কে কিছু ফাঁস ছাড়া তাঁর কাছে এটা প্রমান শুভেচ্ছা আসলে সে ধরনের একটি জানে পরলোক । $s$ $Z_n^*$ $v=s^2$ $v$ $v$ $s$ $s$

পেগী একটি র্যান্ডম বেছে মধ্যে এবং পাঠায় ভিক্টর করতে। $r$ $Z_n^*$ $r^2$
ভিক্টর সজ্জিতভাবে পে পেজে বা প্রেরণ করে । $b=0$ $b=1$
পেগি কে ভিক্টারে প্রেরণ করে । $rs^b$

ভিক্টর যাচাই করতে পারে যে পেগি তার প্রাপ্ত ফলাফলগুলি স্কোয়ার করে এবং সঠিক ফলাফলের সাথে তুলনা করে সঠিক উত্তরটি প্রেরণ করেছেন। অবশ্যই, পেগি কেবল একজন ভাগ্যবান উপার্জনকারী সুযোগটি কমাতে আমরা এই মিথস্ক্রিয়াটি পুনরুক্ত করি। এই প্রোটোকলটি জেডকে হিসাবে দাবি করা হয়েছে; বিভিন্ন জায়গায় একটি প্রমাণ পাওয়া যায় (যেমন, বোয়াজ বারাকের বক্তৃতা নোট )।

$k$ $s_1\cdots s_k$ $t_1 = \pm 1, \cdots t_k = \pm 1$ $v_1=t_1s_1^2, \cdots, v_k = t_ks_k^2$ $v_i$

পেগী একটি র্যান্ডম বেছে R মধ্যে জেড * এন এবং পাঠায় দ 2 $r$ $Z_n^*$ $r^2$
$k$ $b_i$ $\{0,1\}$
$r\Pi_{i=1}^ks_i^{b_i}$

$t_i$

পেগির চিহ্নগুলি বাদ দিলে আমি কোনও আক্রমণ খুঁজে পাচ্ছি না।

cr.crypto-security proofs zero-knowledge

— Fixee
সূত্র

ফিগা-ফিয়াট-শামির (এফএফএস) সনাক্তকরণ প্রোটোকল জ্ঞানের একটি প্রমাণ (পিওকে), যাতে প্রবাদী (পেগি) তার জ্ঞানকে যাচাইকারী (ভিক্টর) এর প্রদত্ত ইনপুটটির বর্গমূলকে প্রমাণ করে।

এফএফএস ভাষার সদস্যতার প্রমাণ থেকে পিওকে বৈষম্য করতে চায় , যেখানে পেগি প্রমাণ করেছেন যে ইনপুটটির কিছু সম্পত্তি রয়েছে (আরও আনুষ্ঠানিকভাবে, ইনপুটটি কোনও নির্দিষ্ট ভাষার অন্তর্গত)।

যদি আমরা নেতিবাচক লক্ষণগুলি ব্যবহার না করি তবে এটি সম্ভব যে ইনপুটগুলির কোনও বর্গমূল না থাকে। উদাহরণস্বরূপ, সংখ্যা 20 এর কোনও বর্গমূল নেই 21. যেহেতু স্কোয়ার এবং অ-স্কোয়ারগুলি আলাদা করা একটি বিখ্যাত সমস্যা , তাই এফএফএস এটিকে কিছু সংখ্যার স্কোয়ারের প্লাস বা বিয়োগ হিসাবে মঞ্জুরি দিয়ে এড়িয়ে চলে। ইন তাদের নিজের ভাষায় (একটু পরিবর্তিত):

$v_i$ $v_i$ $+1 \bmod n$ $s_i$ $v_i$

দ্বারা জ্ঞানের অবাধ ইনপুট শূন্য জ্ঞান প্রমাণাদি , তারা একটি ZK Pok যার সংশ্লিষ্ট ভাষা সদস্যপদ প্রমাণ তুচ্ছ হয় মানে; অর্থাত্ ভি নিজেই সিদ্ধান্ত নিতে পারেন যে ইনপুটটি কোনও বর্গাকারের প্লাস বা বিয়োগ (কেবল জ্যাকোবি প্রতীকটি পরীক্ষা করে)।

— এমএস দৌস্তি
সূত্র

উত্তরের জন্য ধন্যবাদ, তবে আমি এখনও অনুসরণ করি না: চিহ্ন ছাড়াই জ্যাকোবি প্রতীকটি +1 হয়। লক্ষণগুলি সহ, জ্যাকোবি প্রতীকটি +1 হয়। আপনি উপরে বলেছিলেন "যদি আমরা নেতিবাচক লক্ষণগুলি ব্যবহার না করি তবে এটি সম্ভব যে ইনপুটগুলির কোনও বর্গমূল না থাকে।" কীভাবে সম্ভব? যাচাইকারীর জন্য ইনপুটটি স্কোয়ারগুলির একটি তালিকা যা (সৎ প্রবাদটি ধরে নেওয়া) সর্বদা বর্গমূল হয়।

— ফিক্সি

দ্বিতীয় প্রশ্ন: আপনি কি বলছেন যে চিহ্নগুলি কেবল প্রমাণের জন্যই উপস্থিত রয়েছে? বা এগুলি বাদ দিলে কি আসল আক্রমণ রয়েছে?

— ফিক্সি

@ ফিক্সি: এমন প্রতারণামূলক প্রবাদ ধরুন যে প্রোটোকল অনুসারে তার সর্বজনীন কী ( ) পছন্দ করে; এমন একটি এলোমেলো মান বলুন যার জ্যাকোবি প্রতীকটি +1। (দুর্বল) যাচাইকারীটির বলার উপায় নেই যে এর কি না। একমাত্র উপায় হ'ল প্রোটোকল চালানো, এবং প্রবাদটির সাহায্য নেওয়া। এটি হ'ল উভয়ই তাকে এর জ্ঞান প্রমাণ করছে এবং ভাষার সদস্যতার প্রমাণ দিচ্ছে (অর্থাত্ এর চতুর্ভুজীয় QR এর অন্তর্ভুক্ত)) কোনও কারণে, এফএফএস এই ধরণের প্রমাণ পৃথক করতে পছন্দ করে "সীমাহীন ইনপুট" প্রমাণগুলি থেকে। আমি এটিকে নিছক প্রযুক্তি হিসাবে দেখছি।

v_{i}

$v_i$

v_{i}

$v_i$

s_{i}

$s_i$

v_{i}

$v_i$

— এমএস দৌস্তি