Доказательство с нулевым разглашением
В криптографии доказательство с нулевым разглашением или протокол с нулевым разглашением — это метод, с помощью которого одна сторона (доказывающая) может доказать другой стороне (проверяющему), что некоторое данное утверждение верно, избегая при этом передачи проверяющему какую-либо информацию, выходящую за рамки просто факт истинности этого утверждения. [1] Интуиция, лежащая в основе доказательств с нулевым разглашением, заключается в том, что доказать владение соответствующей информацией тривиально, просто раскрыв ее; самое сложное — доказать это владение, не раскрывая эту информацию (или какой-либо ее аспект). [2]
Ввиду того, что человек должен быть в состоянии создать доказательство какого-либо утверждения только тогда, когда обладает определенной секретной информацией, связанной с этим утверждением, проверяющий, даже убедившись в истинности утверждения, тем не менее, должен оставаться неспособным доказать истинность утверждения. заявление третьим лицам.
В простой модели нетривиальные доказательства с нулевым разглашением (т. е. для языков, не входящих в BPP ) требуют взаимодействия между доказывающим и проверяющим. [3] Это взаимодействие обычно влечет за собой выбор проверяющим одного или нескольких случайных вызовов; случайное происхождение этих проблем, а также успешные ответы на них проверяющего, несмотря на это, все вместе убеждают проверяющего в том, что проверяющий действительно обладает заявленными знаниями. (Если бы взаимодействие отсутствовало, то проверяющий, получив расшифровку выполнения протокола — то есть единственное сообщение проверяющего — мог бы воспроизвести эту расшифровку третьей стороне, тем самым убедив третью сторону в том, что проверяющая сторона тоже обладает секретной информацией. )
В случайных строк и случайных оракулов обычных моделях существуют неинтерактивные доказательства с нулевым разглашением в свете эвристики Фиата – Шамира . [4] [5] [6] Эти доказательства на практике основаны на вычислительных предположениях (обычно на устойчивости к коллизиям криптографической хеш-функции ).
Абстрактные примеры
[ редактировать ]Пещера Али-Бабы
[ редактировать ]Существует хорошо известная история, представляющая фундаментальные идеи доказательств с нулевым разглашением, впервые опубликованная в 1990 году Жан-Жаком Кискатером и другими в их статье «Как объяснить вашим детям протоколы с нулевым разглашением». [7] Две стороны в истории доказательства с нулевым разглашением — это Пегги как доказывающий утверждение и Виктор утверждение как проверяющий .
В этой истории Пегги раскрыла секретное слово, с помощью которого можно открыть волшебную дверь в пещере. Пещера имеет форму кольца: вход с одной стороны и волшебная дверь, закрывающая противоположную сторону. Виктор хочет знать, знает ли Пегги секретное слово; но Пегги, будучи очень закрытым человеком, не хочет раскрывать свои знания (секретное слово) Виктору или раскрывать факт своего знания миру в целом.
Они помечают левый и правый пути от входа A и B. Сначала Виктор ждет снаружи пещеры, пока Пегги входит. Пегги выбирает либо путь A, либо B; Виктору не разрешено видеть, по какому пути она идет. Затем Виктор входит в пещеру и выкрикивает название пути, по которому она должна вернуться: A или B, выбранного наугад. Если она действительно знает волшебное слово, это легко: она открывает дверь, если нужно, и возвращается по нужному пути.
Однако предположим, что она не знала этого слова. Тогда она сможет вернуться по указанному пути только в том случае, если Виктор назовет тот же путь, по которому она вошла. Поскольку Виктор выберет А или Б наугад, у нее будет 50% шанс угадать правильно. Если бы они повторили этот трюк много раз, скажем, 20 раз подряд, ее шансы успешно предугадать все просьбы Виктора сократились бы до 1 из 2. 20 , или 9,56 × 10 −7 .
Таким образом, если Пегги неоднократно появится у выхода, названного Виктором, он может заключить, что весьма вероятно, что Пегги действительно знает секретное слово.
Одно замечание относительно сторонних наблюдателей: даже если Виктор носит скрытую камеру, которая записывает всю транзакцию, единственное, что камера запишет, это в одном случае, когда Виктор кричит «А!» и Пегги, появляющаяся в точке А, или, в другом случае, Виктор, кричащий «Б!» и Пегги появляется в B. Запись этого типа будет легко подделать любым двум людям (требуется только, чтобы Пегги и Виктор заранее договорились о последовательности букв A и B, которые Виктор будет кричать). Такая запись, конечно, никогда не будет убедительной ни для кого, кроме первоначальных участников. Фактически, даже человека, присутствовавшего в качестве наблюдателя при первоначальном эксперименте, это не убедило бы, поскольку Виктор и Пегги могли организовать весь «эксперимент» от начала до конца.
Кроме того, если Виктор выбирает свои А и Б, подбрасывая монету перед камерой, этот протокол теряет свойство нулевого разглашения; подбрасывание монеты на камеру, вероятно, будет убедительным для любого человека, который позже посмотрит запись. Таким образом, хотя это не раскрывает Виктору секретное слово, оно позволяет Виктору убедить мир в целом, что Пегги обладает этим знанием, что противоречит заявленным желаниям Пегги. Однако цифровая криптография обычно «подбрасывает монеты», полагаясь на генератор псевдослучайных чисел , который похож на монету с фиксированным рисунком орла и решки, известным только владельцу монеты. Если бы монета Виктора вела себя таким образом, то Виктор и Пегги снова могли бы подделать эксперимент, поэтому использование генератора псевдослучайных чисел не раскрыло бы знания Пегги миру так же, как это сделало бы использование подброшенной монеты.
Обратите внимание, что Пегги могла доказать Виктору, что она знает волшебное слово, не раскрывая его ему, за одно испытание. Если Виктор и Пегги вместе пойдут ко входу в пещеру, Виктор сможет увидеть, как Пегги входит через А и выходит через Б. Это с уверенностью докажет, что Пегги знает волшебное слово, не раскрывая волшебное слово Виктору. Однако такое доказательство может быть замечено третьей стороной или записано Виктором, и такое доказательство будет убедительным для любого. Другими словами, Пегги не могла опровергнуть такое доказательство, заявив, что она вступила в сговор с Виктором, и поэтому она больше не контролирует, кто знает о ее знаниях.
Два мяча и друг-дальтоник
[ редактировать ]Представьте, что ваш друг «Виктор» не различает красно-зеленый цвет (а вы — нет), и у вас есть два мяча: красный и зеленый, но в остальном идентичные. Виктору мячи кажутся совершенно одинаковыми. Виктор скептически относится к тому, что шары действительно различимы. Вы хотите доказать Виктору, что шарики на самом деле разного цвета , но не более того. В частности, вы не хотите раскрывать, какой шар красный, а какой зеленый.
Вот система доказательств. Вы даете два мяча Виктору, и он кладет их себе за спину. Далее он берет один из шаров, достает его из-за спины и показывает. Затем он снова кладет его за спину, а затем решает показать только один из двух шаров, выбирая один из двух наугад с равной вероятностью. Он спросит вас: «Я подменил мяч?» Вся эта процедура затем повторяется столько раз, сколько необходимо.
Глядя на цвета шаров, вы, конечно, можете с уверенностью сказать, поменял он их или нет. С другой стороны, если бы шары были одного цвета и, следовательно, неотличимы, вы не смогли бы угадать правильно с вероятностью выше 50%.
Поскольку вероятность того, что вам удалось случайным образом идентифицировать каждое переключение/непереключение, составляет 50%, вероятность случайного успеха во всех переключателях/непереключателях приближается к нулю («надежность»). Если вы и ваш друг повторите это «доказательство» несколько раз (например, 20 раз), ваш друг должен убедиться («полнота»), что шары действительно разного цвета.
Приведенное выше доказательство является доказательством с нулевым разглашением , поскольку ваш друг никогда не узнает, какой шар зеленый, а какой красный; действительно, он не получает никаких знаний о том, как различать шары. [8]
Где Уолдо
[ редактировать ]Одним из хорошо известных примеров доказательства с нулевым разглашением является пример «Где Уолдо». В этом примере проверяющий хочет доказать проверяющему, что он знает, где находится Уолдо на странице в разделе « Где Уолдо?» книгу, не раскрывая проверяющему свое местонахождение. [9]
Испытатель начинает с того, что берет большую черную доску с маленькой дырочкой размером с Уолдо. Доска в два раза больше книги в обоих направлениях, поэтому проверяющий не может видеть, где на странице ее размещает проверяющий. Затем проверяющий кладет доску на страницу так, чтобы Уолдо оказался в яме. [9]
Теперь проверяющий может заглянуть в дыру и увидеть Уолдо, но не сможет увидеть какую-либо другую часть страницы. Таким образом, проверяющий доказал проверяющему, что знает, где находится Уолдо, не раскрывая никакой другой информации о его местонахождении. [9]
Этот пример не является идеальным доказательством с нулевым разглашением, поскольку доказывающее устройство раскрывает некоторую информацию о местонахождении Уолдо, например положение его тела. Тем не менее, это достойная иллюстрация базовой концепции доказательства с нулевым разглашением.
Определение
[ редактировать ]Этот раздел нуждается в дополнительных цитатах для проверки . ( июль 2022 г. ) |
Доказательство некоторого утверждения с нулевым разглашением должно удовлетворять трем свойствам:
- Полнота : если утверждение верно, честный проверяющий (то есть тот, кто правильно следует протоколу) будет убежден в этом факте честным проверяющим.
- Обоснованность : если утверждение ложно, ни один проверяющий не сможет убедить честного проверяющего, что оно истинно, за исключением некоторой небольшой вероятности.
- Нулевое знание : если утверждение истинно, ни один проверяющий не узнает ничего, кроме того факта, что утверждение истинно. Другими словами, простого знания утверждения (а не секрета) достаточно, чтобы представить сценарий, показывающий, что доказывающий знает секрет. Это формализуется, показывая, что у каждого проверяющего есть некий симулятор , который, имея только доказываемое утверждение (и не имея доступа к доказывающему), может создать расшифровку, которая «выглядит как» взаимодействие между честным доказывающим и рассматриваемым проверяющим.
Первые два из них являются свойствами более общих систем интерактивных доказательств . Третье — это то, что делает доказательство с нулевым разглашением. [10]
Доказательства с нулевым разглашением не являются доказательствами в математическом смысле этого термина, поскольку существует небольшая вероятность, ошибка обоснованности , того, что мошеннический доказывающий сможет убедить проверяющего в ложном утверждении. Другими словами, доказательства с нулевым разглашением — это вероятностные «доказательства», а не детерминированные доказательства. Однако существуют методы, позволяющие уменьшить ошибку достоверности до пренебрежимо малых значений (например, правильное угадывание ста или тысячи двоичных решений имеет или ошибка достоверности соответственно. По мере увеличения количества бит ошибка достоверности уменьшается до нуля).
Формальное определение нулевого знания должно использовать некоторую вычислительную модель, наиболее распространенной из которых является модель машины Тьюринга . Позволять , , и быть машинами Тьюринга. Интерактивная система доказательств с для языка является нулевым разглашением, если для любого верификатора вероятностного полиномиального времени (PPT) существует симулятор PPT такой, что:
где представляет собой запись взаимодействия между и . Доказывающий моделируется как имеющий неограниченную вычислительную мощность (на практике обычно представляет собой вероятностную машину Тьюринга ). Интуитивно, определение гласит, что интерактивная система доказательств является нулевым разглашением, если для любого верификатора существует эффективный симулятор (в зависимости от ), который может воспроизвести разговор между и на любом заданном входе. Вспомогательная строка в определении играет роль «предварительного знания» (включая случайные монеты ). Определение подразумевает, что не может использовать какую-либо предварительную строку знаний извлекать информацию из его разговора с , потому что если также получает эти предварительные знания, тогда он может воспроизвести разговор между и так же, как и раньше. [ нужна ссылка ]
Данное определение представляет собой определение идеального нулевого знания. Вычислительное нулевое разглашение достигается путем требования, чтобы представления верификатора и симулятор неотличимы только в вычислительном отношении , учитывая вспомогательную строку. [ нужна ссылка ]
Практические примеры
[ редактировать ]Дискретный журнал заданного значения
[ редактировать ]Мы можем применить эти идеи к более реалистичному приложению криптографии. Пегги хочет доказать Виктору, что она знает дискретный лог заданного значения в данной группе . [11]
Например, учитывая значение , большое простое число и генератор , она хочет доказать, что знает цену такой, что , не раскрывая . Действительно, знание может использоваться в качестве доказательства личности, поскольку Пегги могла обладать такими знаниями, потому что она выбрала случайное значение что она никому не раскрыла, вычислила и распределили стоимость всем потенциальным проверяющим, чтобы позднее доказать знание эквивалентно подтверждению личности Пегги.
Протокол работает следующим образом: в каждом раунде Пегги генерирует случайное число. , вычисляет и сообщает об этом Виктору. После получения , Виктор случайным образом выдает один из следующих двух запросов: он либо просит Пегги раскрыть стоимость , или значение .
Виктор может проверить любой ответ; если бы он попросил , он может затем вычислить и убедитесь, что оно соответствует . Если бы он попросил , он может это проверить согласуется с этим, вычисляя и проверяем, что оно соответствует . Если Пегги действительно знает цену , она может ответить на любой из возможных вызовов Виктора.
Если бы Пегги знала или могла догадаться, какой вызов собирается бросить Виктор, тогда она могла бы легко обмануть и убедить Виктора, что она знает. когда она этого не делает: если она знает, что Виктор собирается попросить , то она поступает нормально: выбирает , вычисляет и раскрывает Виктору; она сможет ответить на вызов Виктора. С другой стороны, если она знает, что Виктор попросит , затем она выбирает случайное значение , вычисляет и раскрывает Виктору как ценность что он ожидает. Когда Виктор предлагает ей раскрыть , она раскрывает , для чего Виктор проверит согласованность, поскольку он, в свою очередь, вычислит , что соответствует , поскольку Пегги, умноженная на модульную мультипликативную обратную величину .
Однако если в любом из приведенных выше сценариев Виктор поставит задачу, отличную от той, которую он ожидал и для которой он произвел результат, то он не сможет ответить на вызов в предположении невозможности решения дискретного логарифма для эта группа. Если бы она выбрала и раскрыто , то она не сможет предоставить действительный это пройдет проверку Виктора, учитывая, что она не знает . И если она выбрала значение это выдает себя за , то ей пришлось бы ответить дискретным логарифмом значения, которое она раскрыла – но Пегги не знает этого дискретного логарифма, поскольку раскрытое ею значение C было получено посредством арифметики с известными значениями, а не путем вычисления степени с известными значениями. показатель.
Таким образом, вероятность успешного мошенничества за один раунд составляет 0,5. Выполнив достаточно большое количество раундов, вероятность успеха доказывающего мошенничества можно сделать сколь угодно низкой.
Чтобы показать, что приведенное выше интерактивное доказательство не дает никаких знаний, кроме того факта, что Пегги знает ценности, можно использовать те же аргументы, которые использовались в приведенном выше доказательстве полноты и обоснованности. Конкретно симулятор, скажем Саймон, который не знает значение, можно смоделировать обмен между Пегги и Виктором с помощью следующей процедуры. Во-первых, Саймон случайным образом подбрасывает честную монету. Если результат «голова», он выбирает случайное значение. , вычисляет и раскрывает как будто это послание от Пегги Виктору. Затем Саймон также выводит сообщение «запросить значение ", как будто оно отправляется от Виктора к Пегги и немедленно выводит значение как будто оно отправлено от Пегги Виктору. Один раунд завершен. С другой стороны, если результатом подбрасывания монеты является «решка», Саймон выбирает случайное число. , вычисляет и раскрывает как будто это послание от Пегги Виктору. Затем Саймон выводит «запросить значение ", как будто это сообщение от Виктора Пегги. Наконец, Саймон выводит значение как будто это ответ Пегги Виктору. Один раунд завершен. По предыдущим доводам при доказательстве полноты и обоснованности интерактивное общение, смоделированное Саймоном, неотличимо от истинной переписки между Пегги и Виктором. Таким образом, свойство нулевого разглашения гарантируется.
Краткое содержание
[ редактировать ]Пегги доказывает, что знает значение x (например, свой пароль).
- Пегги и Виктор соглашаются на простое число. и генератор мультипликативной группы поля .
- Пегги вычисляет стоимость и передает значение Виктору.
- Следующие два шага повторяются (большое) количество раз.
- Пегги неоднократно выбирает случайное значение и вычисляет . Она передает значение Виктору.
- Виктор просит Пегги вычислить и передать либо значение или значение . В первом случае Виктор проверяет . Во втором случае он проверяет .
Значение можно рассматривать как зашифрованное значение . Если действительно случайна, равномерно распределена между нулем и , это не приводит к утечке информации о (см. одноразовый блокнот ).
Гамильтонов цикл для большого графа
[ редактировать ]Следующая схема принадлежит Мануэлю Блюму . [12]
В этом сценарии Пегги знает гамильтонов цикл большого графа G. для Виктор знает G, но не цикл (например, Пегги сгенерировала G и открыла его ему). Считается, что найти гамильтонов цикл по большому графу вычислительно невозможно, поскольку известно, что соответствующая версия решения является NP-полной . Пегги докажет, что она знает цикл, не раскрывая его просто (возможно, Виктор заинтересован в его покупке, но хочет сначала проверить, или, может быть, Пегги - единственная, кто знает эту информацию и доказывает свою личность Виктору).
Чтобы показать, что Пегги знает этот гамильтонов цикл, они с Виктором играют несколько раундов игры:
- В начале каждого раунда Пегги создает H — граф, который ( т изоморфен G . е. H аналогичен G, за исключением того, что все вершины имеют разные имена). Поскольку перевести гамильтонов цикл между изоморфными графами с известным изоморфизмом тривиально, если Пегги знает гамильтонов цикл для G, она также должна знать такой же цикл для H .
- Пегги обязуется H . Она могла бы сделать это, используя схему криптографических обязательств . В качестве альтернативы она могла бы пронумеровать вершины H . Затем для каждого ребра H на небольшом листе бумаги она записывает две вершины, которые ребро соединяет. Затем она кладет все эти листы бумаги на стол лицевой стороной вниз. Целью этого обязательства является то, что Пегги не сможет изменить H , в то время как Виктор не имеет информации о H .
- Затем Виктор случайным образом выбирает один из двух вопросов, чтобы задать Пегги. Он может либо попросить ее показать изоморфизм между H и G (см. изоморфизма графов ), либо попросить ее показать гамильтонов цикл в H. проблему
- Если Пегги попросят показать, что два графа изоморфны, она сначала обнаружит все H перевернув все листы бумаги, которые она положила на стол), а затем предоставит переводы вершин, которые отображают G в H. (например , Виктор может проверить, что они действительно изоморфны.
- Если Пегги попросят доказать, что она знает гамильтонов цикл в H , она переведет свой гамильтонов цикл в G на H и обнаружит только ребра гамильтонова цикла. То есть Пегги только переворачивается ровно листов бумаги, соответствующих краям гамильтонова цикла, оставляя остальные лицевой стороной вниз. Виктору этого достаточно, чтобы проверить, что H действительно содержит гамильтонов цикл.
Важно, чтобы привязка к графу была такой, чтобы во втором случае Виктор мог проверить, что цикл действительно состоит из ребер из H . Это можно сделать, например, зафиксировав каждое ребро (или его отсутствие) отдельно.
Полнота
[ редактировать ]Если Пегги знает гамильтонов цикл в G , она может легко удовлетворить требование Виктора либо об изоморфизме графа, производящего H из G (который она взяла на себя на первом этапе), либо о гамильтоновом цикле в H (который она может построить, применив изоморфизм циклу в G ).
Нулевое знание
[ редактировать ]Ответы Пегги не раскрывают исходный гамильтонов цикл G. в В каждом раунде Виктор будет изучать только G изоморфизм H и или цикл в H. гамильтонов Ему понадобятся оба ответа для одного H, чтобы обнаружить цикл в G , поэтому информация остается неизвестной, пока Пегги может генерировать отдельный H в каждом раунде. Если Пегги не знает о гамильтоновом цикле в G , но каким-то образом заранее знала, что Виктор будет просить увидеть в каждом раунде, то она могла бы смошенничать. Например, если бы Пегги заранее знала, что Виктор попросит показать гамильтонов цикл в H, то она могла бы сгенерировать гамильтонов цикл для несвязанного графа. Аналогично, если бы Пегги заранее знала, что Виктор попросит показать изоморфизм, она могла бы просто сгенерировать изоморфный граф H (в котором она также не знает гамильтонова цикла). Виктор мог бы смоделировать протокол самостоятельно (без Пегги), поскольку он знает, что он попросит показать. Следовательно, Виктор не получает никакой информации о гамильтоновом цикле в G из информации, полученной в каждом раунде.
разумность
[ редактировать ]Если Пегги не знает информации, она может угадать, какой вопрос задаст Виктор, и сгенерировать либо граф, изоморфный G , либо гамильтонов цикл для несвязанного графа, но, поскольку она не знает гамильтонов цикл для G, она не может сделать и то, и другое. Благодаря этим догадкам ее шанс обмануть Виктора равен 2. − п , где n — количество раундов. Для всех реалистичных целей таким способом невероятно сложно победить доказательство с нулевым разглашением за разумное количество раундов.
Варианты нулевого разглашения
[ редактировать ]Различные варианты нулевого разглашения можно определить, формализовав интуитивно понятную концепцию того, что подразумевается под выходными данными симулятора, «выглядящими как» выполнение реального протокола доказательства, следующими способами:
- Мы говорим об идеальном нулевом разглашении, если распределения, создаваемые симулятором и протоколом доказательства, распределяются совершенно одинаково. Так обстоит дело, например, в первом примере выше.
- Статистическое нулевое разглашение [13] означает, что распределения не обязательно абсолютно одинаковы, но они статистически близки , а это означает, что их статистическая разница является незначительной функцией .
- Мы говорим о вычислительном нулевом разглашении , если ни один эффективный алгоритм не может различить два распределения.
Типы с нулевым знанием
[ редактировать ]- Доказательство знаний : знания скрыты в показателе степени, как в примере, показанном выше.
- Криптография на основе пар : учитывая f( x ) и f( y ) , не зная x и y , можно вычислить f( x × y ) .
- Неотличимые доказательства свидетеля : проверяющие не могут знать, какой свидетель используется для предоставления доказательств.
- Многосторонние вычисления : хотя каждая сторона может хранить свою тайну, они вместе дают результат.
- Кольцевая подпись : посторонние понятия не имеют, какой ключ используется для подписи.
Приложения
[ редактировать ]Системы аутентификации
[ редактировать ]Исследования доказательств с нулевым разглашением были мотивированы системами аутентификации , в которых одна сторона хочет подтвердить свою личность второй стороне с помощью некоторой секретной информации (например, пароля), но не хочет, чтобы вторая сторона что-либо узнала об этом секрете. Это называется « доказательством знания с нулевым разглашением ». Однако пароль обычно слишком мал или недостаточно случайен, чтобы его можно было использовать во многих схемах доказательства знаний с нулевым разглашением. Доказательство пароля с нулевым разглашением — это особый вид доказательства с нулевым разглашением, который учитывает ограниченный размер паролей. [ нужна ссылка ]
протокол «один из многих доказательств» ( протокол Sigma ). В апреле 2015 года был введен [14] В августе 2021 года Cloudflare , американская компания, занимающаяся веб-инфраструктурой и безопасностью, решила использовать механизм «один из многих доказательств» для частной веб-проверки с использованием оборудования поставщика. [15]
Этическое поведение
[ редактировать ]Одним из применений доказательств с нулевым разглашением в криптографических протоколах является обеспечение честного поведения при сохранении конфиденциальности. Грубо говоря, идея состоит в том, чтобы заставить пользователя доказать, используя доказательство с нулевым разглашением, что его поведение соответствует протоколу. [16] [17] Из-за обоснованности мы знаем, что пользователь должен действовать честно, чтобы иметь возможность предоставить действительные доказательства. Благодаря нулевому разглашению мы знаем, что пользователь не ставит под угрозу конфиденциальность своих секретов в процессе предоставления доказательств. [ нужна ссылка ]
Ядерное разоружение
[ редактировать ]В 2016 году Принстонская лаборатория физики плазмы и Принстонский университет продемонстрировали метод, который может быть применим к будущим по ядерному разоружению переговорам . Это позволило бы инспекторам подтвердить, действительно ли объект является ядерным оружием, без регистрации, разглашения или раскрытия внутренней работы, которая может быть секретной. [18]
Блокчейны
[ редактировать ]Доказательства с нулевым разглашением были применены в протоколах Zerocoin и Zerocash, кульминацией которых стало рождение Zcoin. [19] (позже переименован в Фиро в 2020 году) [20] и криптовалюты Zcash в 2016 году. Zerocoin имеет встроенную модель микширования, которая не доверяет никаким пирам или поставщикам централизованного микширования для обеспечения анонимности. [19] Пользователи могут совершать транзакции в базовой валюте и могут конвертировать валюту в Zerocoins и обратно. [21] Протокол Zerocash использует аналогичную модель (вариант, известный как неинтерактивное доказательство с нулевым разглашением ). [22] за исключением того, что он может скрыть сумму транзакции, а Zerocoin не может. Учитывая значительные ограничения данных транзакций в сети Zerocash, Zerocash менее подвержен атакам на конфиденциальность по сравнению с Zerocoin. Однако этот дополнительный уровень конфиденциальности может вызвать потенциально незамеченную гиперинфляцию предложения Zerocash, поскольку мошеннические монеты невозможно отследить. [19] [23]
В 2018 году были представлены Bulletproofs. Bulletproofs — это улучшение неинтерактивного доказательства с нулевым разглашением, когда надежная настройка не требуется. [24] Позже он был реализован в протоколе Mimblewimble (на котором основаны криптовалюты Grin и Beam) и криптовалюте Monero . [25] В 2019 году Фиро внедрила протокол Sigma, который является усовершенствованием протокола Zerocoin без доверенной настройки. [26] [14] В том же году Фиро представила протокол Lelantus — усовершенствованную версию протокола Sigma, в которой первый скрывает происхождение и сумму транзакции. [27]
Децентрализованные идентификаторы
[ редактировать ]Доказательства с нулевым разглашением по своей природе могут повысить конфиденциальность в системах обмена идентификационными данными, которые уязвимы для утечки данных и кражи личных данных. При интеграции с децентрализованной системой идентификации ZKP добавляют дополнительный уровень шифрования в документы DID. [28]
История
[ редактировать ]Доказательства с нулевым разглашением были впервые предложены в 1985 году Шафи Голдвассером , Сильвио Микали и Чарльзом Ракоффом в их статье «Сложность знаний интерактивных систем доказательства». [16] В этой статье была представлена иерархия IP интерактивных систем доказательств ( см. интерактивную систему доказательств ) и задумана концепция сложности знаний , измерения объема знаний о доказательстве, передаваемых от доказывающего к проверяющему. Они также дали первое доказательство с нулевым разглашением для конкретной задачи — решения квадратичных невычетов по модулю m . Вместе с работой Ласло Бабая и Шломо Морана в этой знаковой статье были изобретены интерактивные системы доказательства, за которые все пять авторов получили первую премию Гёделя в 1993 году.
По их собственным словам, Гольдвассер, Микали и Ракофф говорят:
Особый интерес представляет случай, когда это дополнительное знание по существу равно 0, и мы показываем, что [можно] в интерактивном режиме доказать, что число является квадратичным без вычета по модулю m, высвобождая 0 дополнительных знаний. эффективный алгоритм определения квадратичной невязки по модулю m, Это удивительно, поскольку не известен . если не задана факторизация m Более того, все известные NP- доказательства этой задачи демонстрируют простую факторизацию m . Это указывает на то, что добавление взаимодействия к процессу доказательства может уменьшить объем знаний, которые необходимо передать для доказательства теоремы.
Квадратичная задача без вычета имеет как NP , так и алгоритм co-NP , и поэтому находится на пересечении NP и co-NP . Это также относится к нескольким другим задачам, для которых впоследствии были открыты доказательства с нулевым разглашением, например, к неопубликованной системе доказательств Одеда Гольдрейха, проверяющей, что модуль с двумя простыми числами не является целым числом Блюма . [29]
Одед Гольдрейх , Сильвио Микали и Ави Вигдерсон пошли еще дальше, показав, что, предполагая существование невзламываемого шифрования, можно создать систему доказательства с нулевым разглашением для NP-полной задачи раскраски графа тремя цветами. Поскольку любую проблему в NP можно эффективно свести к этой задаче, это означает, что при этом предположении все проблемы в NP имеют доказательства с нулевым разглашением. [30] Причиной предположения является то, что, как и в приведенном выше примере, их протоколы требуют шифрования. Обычно упоминаемым достаточным условием существования невзламываемого шифрования является существование односторонних функций , но вполне возможно, что этого можно достичь и с помощью некоторых физических средств.
Помимо этого, они также показали, что проблема неизоморфизма графов , дополнение к проблеме изоморфизма графов , имеет доказательство с нулевым разглашением. Эта проблема находится в co-NP , но в настоящее время неизвестно, существует ли она ни в NP , ни в каком-либо практическом классе. В более общем плане Рассел Импальяццо и Моти Юнг, а также Бен-Ор и др. продолжил бы показывать, что, также предполагая односторонние функции или невзламываемое шифрование, существуют доказательства с нулевым разглашением для всех проблем в IP = PSPACE , или, другими словами, все, что может быть доказано с помощью интерактивной системы доказательств, может быть доказано с нулевым знанием. [31] [32]
Не желая делать ненужные предположения, многие теоретики искали способ устранить необходимость односторонних функций . Одним из способов, которым это было сделано, были интерактивные системы доказательств с несколькими доказывающими (см. Интерактивная система доказательств ), в которых есть несколько независимых доказывающих, а не только один, что позволяет проверяющему «перекрестно допрашивать» доказывающих изолированно, чтобы избежать введения в заблуждение. Можно показать, что без каких-либо предположений о неразрешимости все языки в NP имеют доказательства с нулевым разглашением в такой системе. [33]
Оказывается, в условиях Интернета, где несколько протоколов могут выполняться одновременно, построение доказательств с нулевым разглашением является более сложной задачей. Направление исследований по изучению параллельных доказательств с нулевым разглашением было инициировано работами Дворка , Наора и Сахаи . [34] Одним из конкретных достижений в этом направлении стала разработка протоколов доказательств, неотличимых от свидетелей . Свойство неотличимости свидетеля связано со свойством нулевого разглашения, однако протоколы, неотличимые от свидетеля, не страдают от тех же проблем одновременного выполнения. [35]
Другим вариантом доказательств с нулевым разглашением являются неинтерактивные доказательства с нулевым разглашением . Блюм, Фельдман и Микали показали, что общей случайной строки, разделяемой между доказывающим и проверяющим, достаточно для достижения вычислительного нулевого знания без необходимости взаимодействия. [5] [6]
Протоколы доказательства с нулевым разглашением
[ редактировать ]Наиболее популярные интерактивные и неинтерактивные протоколы доказательства с нулевым разглашением (например, zk-SNARK) можно разделить на следующие четыре категории: краткие неинтерактивные аргументы знаний (SNARK), масштабируемые прозрачные аргументы знаний (STARK), Проверяемое полиномиальное делегирование (VPD) и краткие неинтерактивные аргументы (SNARG). Список протоколов и библиотек доказательства с нулевым разглашением представлен ниже вместе со сравнением, основанным на прозрачности , универсальности , правдоподобной постквантовой безопасности и парадигме программирования . [36] Прозрачный протокол — это протокол, который не требует какой-либо доверенной настройки и использует публичную случайность. Универсальный протокол — это протокол, который не требует отдельной доверенной настройки для каждого канала. Наконец, правдоподобным постквантовым протоколом является тот, который не подвержен известным атакам с использованием квантовых алгоритмов.
Система ЗКП | Год публикации | Протокол | Прозрачный | Универсальный | Правдоподобная постквантовая безопасность | Парадигма программирования |
---|---|---|---|---|---|---|
Буратино [37] | 2013 | зк-СНАРК | Нет | Нет | Нет | процедурный |
Джеппетто [38] | 2015 | зк-СНАРК | Нет | Нет | Нет | процедурный |
TinyRAM [39] | 2013 | зк-СНАРК | Нет | Нет | Нет | процедурный |
Буфет [40] | 2015 | зк-СНАРК | Нет | Нет | Нет | процедурный |
ЗоКратес [41] | 2018 | зк-СНАРК | Нет | Нет | Нет | процедурный |
xJsnark [42] | 2018 | зк-СНАРК | Нет | Нет | Нет | процедурный |
виртуальная оперативная память [43] | 2018 | zk-СНАРГ | Нет | Да | Нет | Сборка |
vnTinyRAM [44] | 2014 | зк-СНАРК | Нет | Да | Нет | процедурный |
МИРАЖ [45] | 2020 | зк-СНАРК | Нет | Да | Нет | Арифметические схемы |
Соник [46] | 2019 | зк-СНАРК | Нет | Да | Нет | Арифметические схемы |
Марлин [47] | 2020 | зк-СНАРК | Нет | Да | Нет | Арифметические схемы |
ПЛОНК [48] | 2019 | зк-СНАРК | Нет | Да | Нет | Арифметические схемы |
СуперСоник [49] | 2020 | зк-СНАРК | Да | Да | Нет | Арифметические схемы |
Пуленепробиваемость [24] | 2018 | Пуленепробиваемость | Да | Да | Нет | Арифметические схемы |
Хайракс [50] | 2018 | зк-СНАРК | Да | Да | Нет | Арифметические схемы |
Гало [51] | 2019 | зк-СНАРК | Да | Да | Нет | Арифметические схемы |
Дева [52] | 2020 | зк-СНАРК | Да | Да | Да | Арифметические схемы |
Свет [53] | 2017 | зк-СНАРК | Да | Да | Да | Арифметические схемы |
Аврора [54] | 2019 | зк-СНАРК | Да | Да | Да | Арифметические схемы |
zk-СТАРК [55] | 2019 | zk-СТАРК | Да | Да | Да | Сборка |
Зилч [36] | 2021 | zk-СТАРК | Да | Да | Да | Объектно-ориентированный |
См. также
[ редактировать ]Внешние ссылки
[ редактировать ]- Ученый-компьютерщик Амит Сахай объясняет доказательство с нулевым разглашением в 5 уровнях сложности на YouTube
Ссылки
[ редактировать ]- ^ Аад, Имад (2023), Малдер, Валентин; Мермуд, Ален; Кредиторы, Винсент; Телленбах, Бернхард (ред.), «Доказательство с нулевым разглашением», Тенденции в области защиты данных и технологий шифрования , Cham: Springer Nature Switzerland, стр. 25–30, doi : 10.1007/978-3-031-33386-6_6 , ISBN 978-3-031-33386-6
- ^ Гольдрейх, Одед (2001). Основы криптографии, том I. Издательство Кембриджского университета. п. 184. дои : 10.1017/CBO9780511546891 . ISBN 9780511546891 .
- ^ Гольдрейх, Одед (2001). Основы криптографии, том I. Издательство Кембриджского университета. п. 247. дои : 10.1017/CBO9780511546891 . ISBN 9780511546891 .
- ^ Гольдрейх, Одед (2001). Основы криптографии, том I. Издательство Кембриджского университета. п. 299. дои : 10.1017/CBO9780511546891 . ISBN 9780511546891 .
- ^ Перейти обратно: а б Блюм, Мануэль; Фельдман, Пол; Микали, Сильвио (1988). «Неинтерактивное нулевое знание и его приложения». Материалы двадцатого ежегодного симпозиума ACM по теории вычислений - STOC '88 (PDF) . стр. 103–112. дои : 10.1145/62212.62222 . ISBN 978-0897912648 . S2CID 7282320 . Архивировано (PDF) из оригинала 14 декабря 2018 г. Проверено 2 июня 2022 г.
- ^ Перейти обратно: а б У, Хуэйсинь; Ван, Фэн (2014). «Обзор неинтерактивной системы доказательства с нулевым разглашением и ее приложений» . Научный мировой журнал . 2014 : 560484. doi : 10.1155/2014/560484 . ПМК 4032740 . ПМИД 24883407 .
- ^ Кискатер, Жан-Жак; Гийу, Луи К.; Берсон, Томас А. (1990). «Как объяснить своим детям протоколы с нулевым разглашением». Достижения в криптологии — CRYPTO' 89 Proceedings (PDF) . Конспекты лекций по информатике. Том. 435. стр. 628–631. дои : 10.1007/0-387-34805-0_60 . ISBN 978-0-387-97317-3 .
- ^ Халкия, Константин. «Продемонстрируйте, как работают доказательства с нулевым разглашением, без использования математики» . КордаКон 2017 . Проверено 13 сентября 2017 г.
- ^ Перейти обратно: а б с Мурта, Джек (1 июля 2023 г.). «Где Уолдо? Как математически доказать, что вы нашли его, не раскрывая, где он находится» . Научный американец . Проверено 2 октября 2023 г.
- ^ Файги, Уриэль; Фиат, Амос; Шамир, Ади (1 июня 1988 г.). «Доказательства личности с нулевым разглашением» . Журнал криптологии . 1 (2): 77–94. дои : 10.1007/BF02351717 . ISSN 1432-1378 . S2CID 2950602 .
- ^ Чаум, Дэвид; Эвертсе, Ян-Хендрик; ван де Грааф, Йерун (1988). «Улучшенный протокол демонстрации владения дискретными логарифмами и некоторыми обобщениями». Достижения в криптологии — EUROCRYPT '87 . Конспекты лекций по информатике. Полный. 304. стр. 127–141. дои : 10.1007/3-540-39118-5_13 . ISBN 978-3-540-19102-5 .
- ^ Блюм, Мануэль (1986). «Как доказать теорему, чтобы никто другой не смог ее заявить» (PDF) . Слушания ICM : 1444–1451. CiteSeerX 10.1.1.469.9048 . Архивировано (PDF) из оригинала 3 января 2023 г.
- ^ Сахай, Амит; Вадхан, Салил (1 марта 2003 г.). «Полная проблема статистического нулевого разглашения» (PDF ) Журнал АКМ . 50 (2): 196–249. CiteSeerX 10.1.1.4.3957 . дои : 10.1145/636865.636868 . S2CID 218593855 . Архивировано (PDF) из оригинала 2 июня 2015 г.
- ^ Перейти обратно: а б Грот, Дж; Кольвайс, М. (14 апреля 2015 г.). «Одно из многих доказательств: или Как выдать секрет и потратить монету» . Достижения в криптологии — EUROCRYPT 2015 . Конспекты лекций по информатике. Том. 9057. Берлин, Гейдельберг: EUROCRYPT 2015. стр. 253–280. дои : 10.1007/978-3-662-46803-6_9 . hdl : 20.500.11820/f6ec5d8f-cfda-4f56-9bd0-d9222b8d9a43 . ISBN 978-3-662-46802-9 . S2CID 16708805 .
- ^ «Внедрение доказательств с нулевым разглашением для частной веб-аттестации с использованием оборудования разных производителей» . Блог Cloudflare . 12 августа 2021 г. Проверено 18 августа 2021 г.
- ^ Перейти обратно: а б Гольдвассер, С.; Микали, С.; Ракофф, К. (1989), «Сложность знаний интерактивных систем доказательства» (PDF) , SIAM Journal on Computing , 18 (1): 186–208, doi : 10.1137/0218012 , ISSN 1095-7111
- ^ Абаскаль, Джексон; Фагихи Серешги, Мохаммед Хосейн; Хазай, Кармит; Ишаи, Юваль; Венкитасубраманиам, Мутурамакришнан (30 октября 2020 г.). «Практична ли классическая парадигма GMW? Случай неинтерактивной двухкомпьютерной системы с активной защитой» . Материалы конференции ACM SIGSAC 2020 года по компьютерной и коммуникационной безопасности . ККС '20. Виртуальное мероприятие, США: Ассоциация вычислительной техники. стр. 1591–1605. дои : 10.1145/3372297.3423366 . ISBN 978-1-4503-7089-9 . S2CID 226228208 .
- ^ «PPPL и Принстон демонстрируют новую технику, которая может быть применима к будущим переговорам по ядерному разоружению - Принстонская лаборатория физики плазмы» . www.pppl.gov . Архивировано из оригинала 3 июля 2017 г.
- ^ Перейти обратно: а б с Хеллвиг, Дэниел; Карлич, Горан; Хухцермайер, Арнд (3 мая 2020 г.). «Конфиденциальность и анонимность» . Создайте свой собственный блокчейн . Менеджмент для профессионалов. СпрингерЛинк. п. 112. дои : 10.1007/978-3-030-40142-9_5 . ISBN 9783030401429 . S2CID 219058406 . Проверено 3 декабря 2020 г.
- ^ Херст, Саманта (28 октября 2020 г.). «Zcoin объявляет о ребрендинге: новое имя и тикер «Firo» » . Краудфанд Инсайдер. Архивировано из оригинала 1 ноября 2020 года . Проверено 4 ноября 2020 г. .
- ^ Бонно, Дж; Миллер, А; Кларк, Дж; Нарайанан, А (2015). «SoK: перспективы и проблемы исследования биткойнов и криптовалют» . Симпозиум IEEE 2015 по безопасности и конфиденциальности . Сан-Хосе, Калифорния. стр. 104–121. дои : 10.1109/СП.2015.14 . ISBN 978-1-4673-6949-7 . S2CID 549362 .
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) - ^ Бен-Сассон, Эли; Кьеза, Алессандро; Гарман, Кристина; Грин, Мэтью; Майерс, Ян; Тромер, Эран; Вирза, Мадарс (18 мая 2014 г.). «Zerocash: децентрализованные анонимные платежи из биткойнов» (PDF) . ИИЭЭ . Проверено 26 января 2016 г. .
- ^ Оркатт, Майк. «Умопомрачительный криптографический трюк обещает сделать блокчейны мейнстримом» . Обзор технологий Массачусетского технологического института . Проверено 18 декабря 2017 г.
- ^ Перейти обратно: а б Бюнц, Б; Бутл, Д; Бонех, А (2018). «Пуленепробиваемые доказательства: краткие доказательства конфиденциальных транзакций и многое другое». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2018 года . Сан-Франциско, Калифорния. стр. 315–334. дои : 10.1109/SP.2018.00020 . ISBN 978-1-5386-4353-2 . S2CID 3337741 .
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) - ^ Одендал, Хэнси; Шаррок, Кейл; Херден, Юв. «Пуленепробиваемость и Мимблвимбл» . Университет Тари Лабс. Архивировано из оригинала 29 сентября 2020 года . Проверено 3 декабря 2020 г.
- ^ Эндрю, Манро (30 июля 2019 г.). «Криптовалюта Zcoin представляет доказательства с нулевым разглашением информации без доверенной настройки» . Искатель Австралии. Архивировано из оригинала 30 июля 2019 года . Проверено 30 июля 2019 г.
- ^ Арам, Дживанян (7 апреля 2019 г.). «Лелантус: к конфиденциальности и анонимности транзакций блокчейна на основе стандартных предположений» . Архив криптологии ePrint (отчет 373) . Проверено 14 апреля 2019 г. .
- ^ Чжоу, Лу; Диро, Абебе; Шайни, Аканкша; Кайсар, Шахриар; Хиеп, Фам Конг (1 февраля 2024 г.). «Использование доказательств с нулевым разглашением для обмена идентификационными данными на основе блокчейна: обзор достижений, проблем и возможностей» . Журнал информационной безопасности и приложений . 80 : 103678. дои : 10.1016/j.jisa.2023.103678 . ISSN 2214-2126 .
- ^ Гольдрейх, Одед (1985). «Доказательство с нулевым разглашением того, что двухпростые модули не являются целыми числами Блюма». Неопубликованная рукопись .
- ^ Гольдрейх, Одед; Микали, Сильвио; Вигдерсон, Ави (1991). «Доказательства, которые не дают ничего, кроме своей достоверности». Журнал АКМ . 38 (3): 690–728. CiteSeerX 10.1.1.420.1478 . дои : 10.1145/116825.116852 . S2CID 2389804 .
- ^ Рассел Импальяццо, Моти Юнг: Прямые вычисления с минимальными знаниями. КРИПТО 1987: 40-51.
- ^ Бен-Ор, Майкл; Гольдрейх, Одед; Гольдвассер, Шафи; Хастад, Йохан; Килиан, Джо; Микали, Сильвио; Рогауэй, Филипп (1990). «Все доказуемое доказуемо с нулевым разглашением». В Гольдвассер, С. (ред.). Достижения в криптологии – КРИПТО '88 . Конспекты лекций по информатике. Том. 403. Шпрингер-Верлаг. стр. 37–56.
- ^ Бен-ор, М.; Гольдвассер, Шафи; Килиан, Дж.; Вигдерсон, А. (1988). «Интерактивные доказательства с несколькими доказательствами: как устранить неразрешимые предположения» (PDF) . Материалы 20-го симпозиума ACM по теории вычислений : 113–121.
- ^ Дворк, Синтия; Наор, Деньги; Сахай, Амит (2004). «Параллельное нулевое знание». Журнал АКМ . 51 (6): 851–898. CiteSeerX 10.1.1.43.716 . дои : 10.1145/1039488.1039489 . S2CID 52827731 .
- ^ Файги, Уриэль; Шамир, Ади (1990). «Протоколы неотличимости свидетелей и сокрытия свидетелей». Материалы двадцать второго ежегодного симпозиума ACM по теории вычислений - STOC '90 . стр. 416–426. CiteSeerX 10.1.1.73.3911 . дои : 10.1145/100216.100272 . ISBN 978-0897913614 . S2CID 11146395 .
- ^ Перейти обратно: а б Моурис, Димитрис; Цуцос, Нектариос Георгиос (2021). «Зилч: основа для развертывания прозрачных доказательств с нулевым разглашением» . Транзакции IEEE по информационной криминалистике и безопасности . 16 : 3269–3284. дои : 10.1109/TIFS.2021.3074869 . ISSN 1556-6021 . S2CID 222069813 .
- ^ Парно, Б.; Хауэлл, Дж.; Джентри, К.; Райкова, М. (май 2013 г.). «Пиноккио: почти практические проверяемые вычисления». Симпозиум IEEE 2013 по безопасности и конфиденциальности . стр. 238–252. дои : 10.1109/СП.2013.47 . ISBN 978-0-7695-4977-4 . S2CID 1155080 .
- ^ Костелло, Крейг; Фурне, Седрик; Хауэлл, Джон; Кольвайс, Маркульф; Кройтер, Бенджамин; Наэриг, Майкл; Парно, Брайан; Захур, Сами (май 2015 г.). «Джеппетто: универсальные проверяемые вычисления» . Симпозиум IEEE 2015 по безопасности и конфиденциальности . стр. 253–270. дои : 10.1109/СП.2015.23 . hdl : 20.500.11820/37920e55-65aa-4a42-b678-ef5902a5dd45 . ISBN 978-1-4673-6949-7 . S2CID 3343426 .
- ^ Бен-Сассон, Эли; Кьеза, Алессандро; Генкин, Даниил; Тромер, Эран; Вирза, Мадарс (2013). «SNARK для C: краткая проверка выполнения программы с нулевым разглашением». Достижения криптологии – CRYPTO 2013 . Конспекты лекций по информатике. Том. 8043. стр. 90–108. дои : 10.1007/978-3-642-40084-1_6 . hdl : 1721.1/87953 . ISBN 978-3-642-40083-4 .
- ^ Вахби, Риад С.; Сетти, Шринат; Рен, Цзочэн; Блумберг, Эндрю Дж.; Уолфиш, Майкл (2015). «Эффективная оперативная память и поток управления в проверяемых аутсорсинговых вычислениях». Материалы Симпозиума по безопасности сетей и распределенных систем 2015 г. дои : 10.14722/ndss.2015.23097 . ISBN 978-1-891562-38-9 .
- ^ Эберхардт, Джейкоб; Тай, Стефан (июль 2018 г.). «ZoKrates — масштабируемые вычисления вне сети с сохранением конфиденциальности». Международная конференция IEEE 2018 года по Интернету вещей (IThings), IEEE Green Computing and Communications (GreenCom), IEEE Cyber, Physical and Social Computing (CPSCom) и IEEE Smart Data (SmartData) . стр. 1084–1091. doi : 10.1109/Cybermatics_2018.2018.00199 . ISBN 978-1-5386-7975-3 . S2CID 49473237 .
- ^ Косба, Ахмед; Папаманту, Харалампос; Ши, Элейн (май 2018 г.). «XJsnark: основа для эффективных проверяемых вычислений». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2018 года . стр. 944–961. дои : 10.1109/SP.2018.00018 . ISBN 978-1-5386-4353-2 .
- ^ Чжан, Юпэн; Генкин, Даниил; Кац, Джонатан; Пападопулос, Димитриос; Папаманту, Харалампос (май 2018 г.). «VRAM: более быстрая проверяемая ОЗУ с программно-независимой предварительной обработкой». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2018 года . стр. 908–925. дои : 10.1109/SP.2018.00013 . ISBN 978-1-5386-4353-2 .
- ^ Бен-Сассон, Эли; Кьеза, Алессандро; Тромер, Эран; Вирза, Мадарс (20 августа 2014 г.). «Краткое неинтерактивное нулевое знание для архитектуры фон Неймана» . Материалы 23-й конференции USENIX по симпозиуму по безопасности . Ассоциация USENIX: 781–796. ISBN 9781931971157 .
- ^ Косба, Ахмед; Пападопулос, Димитриос; Папаманту, Харалампос; Песня, Рассвет (2020). «МИРАЖ: Краткие аргументы в пользу рандомизированных алгоритмов с приложениями к универсальным zk-SNARK» . Архив электронной печати по криптологии .
- ^ Маллер, Мэри; Боу, Шон; Кольвайс, Маркульф; Мейкледжон, Сара (6 ноября 2019 г.). «Sonic: SNARK с нулевым разглашением из универсальных и обновляемых структурированных ссылочных строк линейного размера» . Материалы конференции ACM SIGSAC 2019 года по компьютерной и коммуникационной безопасности . Ассоциация вычислительной техники. стр. 2111–2128. дои : 10.1145/3319535.3339817 . hdl : 20.500.11820/739b94f1-54f0-4ec3-9644-3c95eea1e8f5 . ISBN 9781450367479 . S2CID 242772913 .
- ^ Кьеза, Алессандро; Ху, Юньконг; Маллер, Мэри; Мишра, Пратюш; Веселый, Ной; Уорд, Николас (2020). «Марлин: предварительная обработка zkSNARK с помощью универсального и обновляемого SRS» . Достижения в криптологии – EUROCRYPT 2020 . Конспекты лекций по информатике. Том. 12105. Международное издательство Springer. стр. 738–768. дои : 10.1007/978-3-030-45721-1_26 . ISBN 978-3-030-45720-4 . S2CID 204772154 .
- ^ Габизон, Ариэль; Уильямсон, Закари Дж.; Чиоботару, Оана (2019). «ПЛОНК: Перестановки над базисами Лагранжа для вселенских неинтерактивных аргументов познания» . Архив электронной печати по криптологии .
- ^ Бюнц, Бенедикт; Фиш, Бен; Шепенец, Алан (2020). «Прозрачные SNARK от компиляторов DARK» . Достижения в криптологии – EUROCRYPT 2020 . Конспекты лекций по информатике. Том. 12105. Международное издательство Springer. стр. 677–706. дои : 10.1007/978-3-030-45721-1_24 . ISBN 978-3-030-45720-4 . S2CID 204892714 .
- ^ Вахби, Риад С.; Циалла, Иоанна; Шелат, Абхи; Талер, Джастин; Уолфиш, Майкл (май 2018 г.). «Двойная эффективность zkSNARK без доверенной настройки». Симпозиум IEEE по безопасности и конфиденциальности (SP) 2018 г. стр. 926–943. дои : 10.1109/SP.2018.00060 . ISBN 978-1-5386-4353-2 .
- ^ Боу, Шон; Григг, Джек; Хопвуд, Дайра (2019). «Рекурсивная композиция доказательства без доверенной установки» . Архив электронной печати по криптологии .
- ^ Чжан, Цзяхэн; Се, Тяньчэн; Чжан, Юпэн; Песня, Рассвет (май 2020 г.). «Прозрачное полиномиальное делегирование и его применение для доказательства с нулевым разглашением». Симпозиум IEEE 2020 по безопасности и конфиденциальности (SP) . стр. 859–876. дои : 10.1109/SP40000.2020.00052 . ISBN 978-1-7281-3497-0 .
- ^ Эймс, Скотт; Хазай, Кармит; Ишаи, Юваль; Венкитасубраманиам, Мутурамакришнан (30 октября 2017 г.). «Лигеро» . Материалы конференции ACM SIGSAC 2017 года по компьютерной и коммуникационной безопасности . Ассоциация вычислительной техники. стр. 2087–2104. дои : 10.1145/3133956.3134104 . ISBN 9781450349468 . S2CID 5348527 .
- ^ Бен-Сассон, Эли; Кьеза, Алессандро; Рябзев, Михаил; Спунер, Николас; Вирза, Мадарс; Уорд, Николас П. (2019). «Аврора: прозрачные и краткие аргументы в пользу R1CS» . Достижения в криптологии – EUROCRYPT 2019 . Конспекты лекций по информатике. Том. 11476. Международное издательство Springer. стр. 103–128. дои : 10.1007/978-3-030-17653-2_4 . ISBN 978-3-030-17652-5 . S2CID 52832327 .
- ^ Бен-Сассон, Эли; Бентов, Иддо; Хореш, Инон; Рябзев, Михаил (2019). «Масштабируемость с нулевым знанием без доверенной настройки» . Достижения криптологии – CRYPTO 2019 . Конспекты лекций по информатике. Том. 11694. Международное издательство Springer. стр. 701–732. дои : 10.1007/978-3-030-26954-8_23 . ISBN 978-3-030-26953-1 . S2CID 199501907 .