지식증명서

암호학에서 지식의 증명은 프로베라가 무언가를 알고 있다는 검증자를 '공조'하는 데 성공하는 쌍방향 증거다.기계가 '무엇을 알고 있다'는 것이 의미하는 것은 계산의 관점에서 정의된다.기계는 '무엇을 알고 있다'고, 만약 이것이 계산될 수 있다면, 기계에 입력으로 주어진다.프로베라의 프로그램이 반드시 지식 그 자체를 뱉어내지는 않기 때문에(영지식 증명서의^[1] 경우처럼) 지식 추출기라 불리는 다른 프로그램을 가진 기계를 도입하여 이러한 생각을 포착한다.우리는 대부분 다항 시간 제한 기계로 증명할 수 있는 것에 관심이 있다.이 경우 지식 요소 집합은 NP에서 일부 언어의 증인 집합으로 제한된다.

$x$ $x$ 을 $x$ (를) NP의 $L$ $언어$ L $L$ 과( $W(x)$ ) W $W(x)$ ( $W(x)$ ) $W(x)$ 에 대한 증인의 $W(x)$ 집합이 증명에 수용되도록 한다. $R=\{(x,w):x\in L,w\in W(x)\}$ 를 통해 우리는 $R=\{(x,w):x\in L,w\in W(x)\}$ 과 $R=\{(x,w):x\in L,w\in W(x)\}$ 같은 관계를 정의할 수 있다 $R=\{(x,w):x\in L,w\in W(x)\}$ R = { $R=\{(x,w):x\in L,w\in W(x)\}$ $R=\{(x,w):x\in L,w\in W(x)\}$ , $R=\{(x,w):x\in L,w\in W(x)\}$ ) $R=\{(x,w):x\in L,w\in W(x)\}$ : $R=\{(x,w):x\in L,w\in W(x)\}$ $R=\{(x,w):x\in L,w\in W(x)\}$ , $\$ W ( x ) } {\ $displaystyle$ R $=\{(x,w)}:x\$ in L $,$ w $R=\{(x,w):x\in L,w\in W(x)\}$ in W $(x)\}.$

지식 오류 $\kappa$ $\kappa$ 을(를) 가진 $R$ $R$ $R$ 에 대한 지식 증명서는 프로베서 $P$ $P$ 과 $P$ 검증자 V $V$ 을(를) 가진 양당 프로토콜로, 다음 $\kappa$ 두 가지 속성이 있다 $V$ .

완전성: ( $(x,w)\in R$ , $(x,w)\in R$ ) $(x,w)\in R$ R {\ $displaystyle (x,$ w $in R}$ 에 있는 경우, $x$ $x$ 에 $w$ 대한 증인 w $w$ 을(를) 알고 $P$ 있는 프로베라 $P$ ${\$ $displaystyty$ P $}$ 이 자신의 $x$ $지식$ 을 $V$ $V$ 하는 데성공한다.좀 더 형식적으로: $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ( $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ( $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ , $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ) $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ V $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ( $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ) $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ → 1 $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ) $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ = $\Pr(P(x,w)\leftrightarrow V(x)\rightarrow 1)=1$ ${\displaystyle \Pr(x,w)\좌우타로우 V(x)\우타로우$ 1 $)=1.$ 즉, 프로베베라 P와 검증자 $V$ 의 상호작용을 고려할 때 검증자가 확신할 확률은 1이다.
유효성: 타당성을 위해서는 악의적인 ${\tilde {P}}$ P ${\tilde {P}}$ ~ ${\$ 에 대한 Oracle 액세스 권한이 주어지는 경우 ${\tilde {P}}$ 증인 추출 시 지식 $E$ $추출기$ E $E$ 의 성공 확률은 최소한 프로베라 ${\tilde {P}}$ ~ ${\$ ieca}i만큼 ${\tilde {P}}$ 높아야 한다.검증자를 설득하는 것.이 재산은 증인을 모르는 어떤 프로베라도 검증자를 설득하는데 성공할 수 없다는 것을 보장한다.

정의에 대한 세부 정보

이것은 유효성에 대한 보다 엄격한 정의다.^[2]

$R$ $R$ 을(를) 증인 관계가 되게 $R$ $W(x)$ , W $W(x)$ ( $W(x)$ x ) $W(x)$ {\ $displaystyle$ W $(x)}$ 공개 값 $x$ $x$ 및 $x$ $\kappa$ ${\displaysty \kappa }$ 지식 오류에 $\kappa$ 대한 모든 증인 집합이 되도록 $W(x)$ 한다.A proof of knowledge is $\kappa$ -valid if there exists a polynomial-time machine $E$ , given oracle access to ${\tilde {P}}$ , such that for every ${\tilde {P}}$ , it is the case that ${\$ $displaystyle E^{{\tilde {P}}(x)}(x)\in W(x)\cup \{\bot \}}$ and ${\displaystyle \Pr(E^{{\tilde {P}}(x)}(x)\in W(x))\geq \Pr({\tilde {P}}(x)\leftrightarrow V(x)\rightarrow 1)-\kappa (x).$ $}$

결과 $\bot$ ${\displaystyle \bot$ }은(는) 튜링 시스템 $E$ {\ $displaystyle E}$ 이(가 $)$ 결론에 도달하지 않았음을 $E$ 의미한다 $\bot$ .

지식 오류 $\kappa (x)$ ( $\kappa (x)$ ) $\kappa (x)$ 은 $검증자$ V $V$ 이(가) 실제로 $w$ $w$ 증인을 알 수 없음에도 $불구하고$ x {\ $displaystystyle x}$ 을(를)할 $V$ 가능성을 나타낸다 $\kappa (x)$ $w$ 지식 추출기 $E$ $E$ 는 튜링 시스템의 지식으로 무엇을 의미하는지 표현하기 위해 사용된다 $E$ . $E$ $E$ 이(가) ${\tilde {P}}$ ~ ${\$ 에서 $w$ w ${\displaystyle w$ $}$ 을(를) 추출할 수 있다면 $E$ ${\tilde {P}}$ ~ ${\$ { $P$ $}$ 이(가) $w$ ${\displaystystystyle$ w}의 ${\tilde {P}}$ 값을 알고 있다고 말할 수 있다 $w$

이러한 유효성 속성의 정의는 유효성 속성과 강력한 유효성 속성의 조합이다.^[2]예를 $2^{-80}$ 2 $2^{-80}$ - $2^{-80}$ {\ $displaystyle 2^{-$ 80 $2^{-80}$ } $1/\mathrm {poly} (|x|)$ $1/\mathrm {poly} (|x|)$ / p $1/\mathrm {poly} (|x|)$ l $1/\mathrm {poly} (|x|)$ ( $1/\mathrm {poly} (|x|)$ ) $1/\mathrm {poly} (|x|)$ {\ $displaystyle$ 1/\ $mathrm$ { $poly}(x$ )과 같은 작은 지식 오류 $\kappa (x)$ $\kappa (x)$ $){\displaystystyle$ $\$ $kappa (x$ 의 경우 일반적인 $1/\mathrm {poly} (|x|)$ 대화형 교정보다 강한 것으로 볼 수 있다.

일반 대화형 교정쇄와의 관계

특정한 지식의 증거를 정의하기 위해서는 언어뿐만 아니라 검증자가 알아야 할 증인들도 정의해야 한다.어떤 경우에 특정한 증인을 계산하는 것은 어려울 수 있는 반면, 언어의 구성원 자격을 증명하는 것은 쉬울 수 있다.이는 예를 사용하여 가장 잘 설명된다.

$\langle g\rangle$ $\langle g\rangle$ $\langle g\rangle$ $\langle g\angle$ 을(를) 별도의 로그 문제 해결이 어렵다고 판단되는 $g$ 생성기 $g$ $g$ 을(를) 가진 순환 그룹이 되도록 $\langle g\rangle$ 한다.Deciding membership of the language $L=\{x\mid g^{w}=x\}$ is trivial, as every $x$ is in $\langle g\rangle$ . However, finding the witness $w$ such that $g^{w}=x$ holds corresponds to solving t별개의 로그 문제야

프로토콜

슈노르 프로토콜

가장 단순하고 자주 사용되는 지식의 증명 중 하나인 이산 로그의 지식의 증명은 슈노르 덕분이다.^[3]프로토콜은 발전기 $g$ $g$ 이 $q$ (가) 있는 순서 $q$ $q$ 의 $G_{q}$ 주기 그룹 $G_{q}$ $G_{q}$ ${\$ 에 대해 정의된다 $g$

$x=\log _{g}y$ = $x=\log _{g}y$ $x=\log _{g}y$ $x=\log _{g}y$ $x=\log _{g}y$ $x=\log _{g}y$ 에 대한 지식을 증명하기 위해 프로베러는 다음과 같이 검증기와 상호 작용한다 $x=\log _{g}y$

첫 번째 라운드에서 프로베러는 자신을 $무작위성$ r{\ $displaystyle$ r}에 맡긴다 $r$ 따라서 첫 번째 메시지 $t=g^{r}$ = $t=g^{r}$ $t=g^{r}$ ${\$ 는 약속이라고도 한다 $t=g^{r}$ .
검증자는 임의로 선택한 $c$ $챌린지$ c $c$ 로 응답한다.
$c$ $c$ 을 $c$ 를) 수신한 후 프로베러는 세 번째 및 마지막 메시지(응답) $s=r+cx$ = r $s=r+cx$ + $s=r+cx$ $s=r+cx$ $s=r+cx$ 을 $s=r+cx$ (를) 전송하여 그룹의 순서를 변경한다.

$g^{s}=ty^{c}$ 는 $g^{s}=ty^{c}$ = $g^{s}=ty^{c}$ y c {\ $displaystyle g^{s}=$ ty^{ $c}}$ 을(를) 수락한다 $g^{s}=ty^{c}$

다음과 같이 작동하는 추출기가 있기 때문에 이것이 유효한 지식의 증거임을 알 수 있다.

proverl을 시뮬레이션하여 $t=g^{r}$ t = $t=g^{r}$ $t=g^{r}$ {\ $displaystyle$ t= $g^{r$ 프로베러는 현재 상태 $Q$ $Q$ 에 있다 $Q$
임의 값 $c_{1}$ ${\$ 1}를 생성하여 $c_{1}$ 프로베라로 입력한다. $s_{1}=r+c_{1}x$ $s_{1}=r+c_{1}x$ = $s_{1}=r+c_{1}x$ + $s_{1}=r+c_{1}x$ $s_{1}=r+c_{1}x$ x {\ $displaystyle s_{1}=r+c_{$ 1} $x}$ .
프로베라를 $상태$ Q ${\displaystyle$ Q $}(으$ )로 되감으십시오 $Q$ 이제 다른 랜덤 값 c $c_{2}$ ${\$ }}개를 생성하고 $c_{2}$ 프로베레버에 입력하여 s $s_{2}=r+c_{2}x$ = $s_{2}=r+c_{2}x$ + c $s_{2}=r+c_{2}x$ $s_{2}=r+c_{2}x$ ${\displaystyle s_{2}=r+c_{2}x$ .
출력 $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ - $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ ) $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ ( $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ 1 $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ - $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ ) $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ - $(s_{1}-s_{2})(c_{1}-c_{2})^{-1}$ ${\$

Since $(s_{1}-s_{2})=(r+c_{1}x)-(r+c_{2}x)=x(c_{1}-c_{2})$ , the output of the extractor is precisely $x$ .

이 프로토콜은 지식의 증명에 필요한 것은 아니지만 영지식이다.

시그마 프로토콜

위의 3-이동 구조(커밋, 챌린지, 응답)를 가지는 프로토콜을 시그마 프로토콜이라고^{[citation needed]} 한다.그리스 문자 $\Sigma$ 는 프로토콜의 흐름을 시각화한다 $\Sigma$ .시그마 프로토콜은 이산 로그와 관련된 것과 같은 다양한 문장을 증명하기 위해 존재한다.이러한 증거를 이용하여 프로베러는 이산 로그의 지식을 증명할 수 있을 뿐만 아니라 이산 로그가 특정한 형태라는 것도 증명할 수 있다.예를 들어 $g_{1}$ $g_{1}$ 1 ${\$ 및 $g_{2}$ $g_{2}$ ${\$ }에 $g_{1}$ 대해 $y_{2}$ y $y_{1}$ ${\$ displaystyle $y_{2$ }}의 $y_{1}$ 두 로그가 같거나 $g_{2}$ 일부 다른 선형 관계를 충족한다는 것을 증명할 수 있다.For a and b elements of $Z_{q}$ , we say that the prover proves knowledge of $x_{1}$ and $x_{2}$ such that $y_{1}=g_{1}^{x_{1}}\land y_{2}=g_{2}^{x_{2}}$ and $x_{2}=ax_{1}+b$ $x_{2}=ax_{1}+b$ $x_{2}=ax_{1}+b$ $x_{2}=ax_{1}+b$ .Equality corresponds to the special case where a = 1 and b = 0. As $x_{2}$ can be trivially computed from $x_{1}$ this is equivalent to proving knowledge of an x such that $y_{1}=g_{1}^{x}\land y_{2$ $={(g_{2}^{a}})}^{x}g_{2}^{b$ .

이것이 바로 지식의 증거에 의해 정확히 증명된 것을 표현하기 위해 흔히 사용되는 다음의 표기법 뒤의 직관이다.^[4]

PK\{(x):y_{1}=g_{1}^{x}\land y_{2}={2}^{a}}^{x}g_{2}^{b}}}}}}}

프로베러는 위의 관계를 충족시키는 x를 알고 있다고 진술한다.

적용들

지식의 증명서는 식별 프로토콜의 구축과 그 비 상호 작용 변종인 서명 체계에서 유용한 도구다.그러한 계획은 다음과 같다.

슈노르 서명

그룹 서명 및 익명의 디지털 자격 증명 시스템 구축에도 사용된다.

참고 항목

참조

^ 샤피 골드워서, 실비오 미칼리, 찰스 라코프.대화형 교정 시스템의 지식 복잡성.로드아일랜드의 프로비던스 계산 이론에 관한 제17회 심포지엄의 진행. 1985.드래프트. 확장된 추상
^ ^a ^b Mihir Bellare, Oedded Goldreich: 지식의 증거 정의에 관하여.크립토 1992: 390–420
^ C P Schnorr, 스마트 카드에 대한 효율적인 식별 및 서명, G Brassard, ed.암호학의 진보 – Crypto '89, 239–252, Springer-Verlag, 1990.컴퓨터 과학 강의 노트, nr 435
^ 대규모 그룹을 위한 효율적인 그룹 서명 방식

[1] 샤피 골드워서, 실비오 미칼리, 찰스 라코프.대화형 교정 시스템의 지식 복잡성.로드아일랜드의 프로비던스 계산 이론에 관한 제17회 심포지엄의 진행. 1985.드래프트. 확장된 추상

[odpk-2] Mihir Bellare, Oedded Goldreich: 지식의 증거 정의에 관하여.크립토 1992: 390–420

[3] C P Schnorr, 스마트 카드에 대한 효율적인 식별 및 서명, G Brassard, ed.암호학의 진보 – Crypto '89, 239–252, Springer-Verlag, 1990.컴퓨터 과학 강의 노트, nr 435

[4] 대규모 그룹을 위한 효율적인 그룹 서명 방식

[1]

[2]

[3]

[4]

Search