In einem Artikel mit dem Titel "On Deniability in the Common Reference String und Random Oracle Model" schreibt Rafael Pass:
Wir stellen fest, dass der Simulator beim Nachweis der Sicherheit gemäß der standardmäßigen Zero-Knowledge-Definition im RO-Modell (Random Oracle) zwei Vorteile gegenüber einem einfachen Modellsimulator aufweist, nämlich
- Der Simulator kann sehen, auf welchen Werten Parteien das Orakel abfragen.
- Der Simulator kann diese Fragen auf beliebige Weise beantworten, solange die Antworten in Ordnung sind.
Die erste Technik, nämlich die Fähigkeit, Anfragen an den RO zu "überwachen", ist in allen Arbeiten, die sich auf das Konzept des Null-Wissens im RO-Modell beziehen, sehr verbreitet.
Betrachten Sie nun die Definition von Black-Box- Zero-Knowledge ( PPT steht für probabilistic, polynomial-time Turing machine ):
ein PPT-Simulator S , so dass(möglicherweise betrügerischen) PPT-Verifizierer,gemeinsamen EingabenundZufälligkeitenFolgendes nicht zu unterscheiden ist:
- die Ansicht von während der Interaktion mit dem Beweiser bei Eingabe und unter Verwendung der Zufälligkeit ;
- die Ausgabe von an den Eingängen und , wenn Black-Box-Zugriff auf .
Hier möchte ich einen Betrugsprüfer ausstellen , dessen Aufgabe es ist, jeden Simulator zu erschöpfen, der versucht, RO-Abfragen zu überwachen:
Sei der Simulator, der durch den Existenzquantifizierer in der Definition des Black-Box-Nullwissens garantiert wird, und sei ein Polynom, das die Laufzeit von am Eingang . Angenommen, versucht, die Abfragen von an die RO zu überwachen .
Betrachten wir nun ein betrügerisches , das zuerst mal (bei willkürlichen Eingaben seiner Wahl) abfragt und dann willkürlich böswillig handelt.
Offensichtlich erschöpft den Simulator . Ein einfacher Weg für besteht darin, ein solches böswilliges Verhalten abzulehnen. Auf diese Weise kann ein Distinguist die reale Interaktion leicht von der simulierten unterscheiden. (Da in der realen Interaktion der Prüfer die Abfragen von nicht überwachen kann und daher nicht aufgrund der bloßen Tatsache ablehnt, dass zu viel abfragt.) S S P V ' V '
Was ist die Problemumgehung für das obige Problem?
Bearbeiten:
Eine gute Quelle für das Studium von ZK im RO-Modell ist:
Martin Gagné, Eine Studie des Zufalls-Orakel-Modells, Ph.D. Dissertation, University of California, Davis , 2008, 109 Seiten. Verfügbar bei ProQuest: http://gradworks.umi.com/33/36/3336254.html
Insbesondere enthält es Definitionen der Blackbox ZK im RO-Modell in Abschnitt 3.3 (Seite 20), die Yung und Zhao zugeschrieben werden: