Coût de communication minimum pour zéro preuve de connaissance de trois colorabilité

11

La preuve de Goldreich et al. Que la trois colorabilité n'a aucune preuve de connaissance utilise l'engagement de bits pour une coloration entière du graphique à chaque tour [1]. Si un graphe a sommets et arêtes, un hachage sécurisé a bits et que nous recherchons la probabilité d'erreur , le coût total de la communication est $n$ $e$ $b$ $p$

O (b e n \log (1 / p))

$O(ben \log(1/p))$

sur tours. En utilisant un arbre Merkle progressivement révélé, la communication totale peut être réduite à au prix d'augmenter le nombre de tours à . $O(1)$ $O(be \log n \log (1/p))$ $O(\log n)$

Est-il possible de faire mieux que cela, que ce soit en termes de communication totale ou de nombre de tours?

http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Edit : Merci à Ricky Demer pour avoir souligné le facteur manquant de . $e$

communication-complexity zero-knowledge

— Geoffrey Irving
source

3

Voici donc le bon document pour mes besoins:

Joe Kilian, "Une note sur les preuves et arguments efficaces à connaissance zéro". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Pour obtenir le résultat le plus fort, nous devons accepter zéro argument de connaissance plutôt que des preuves (prouveur borné par calcul); c'est ce qui m'intéresse mais je ne connaissais pas la terminologie.

En supposant des hypothèses cryptographiques suffisantes, l'article ne donne aucun argument de connaissance avec une communication totale pour $O(b \log^c n \log (1/p))$ . $c = O(1)$

Ce résultat est limité aux séries par Ishai et al., "On Efficient Zero-Knowledge PCP", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf . $O(1)$

— Geoffrey Irving
source

Je pense qu'il vaut mieux supprimer cette réponse et mettre à jour votre réponse d'origine pour être la bonne réponse.

— Kaveh

2

Mise à jour : Cette réponse est obsolète par mon autre réponse, avec des limites entièrement polylogarithmiques à partir de références appropriées.

À la réflexion, il n'est pas nécessaire de révéler l'arbre Merkle progressivement, donc la version de communication inférieure n'a pas besoin de tours supplémentaires. Les étapes de communication sont

Le prouveur P randomise sa coloration, le transforme en arbre Merkle (salé) et envoie la racine au vérificateur V.
V choisit un bord aléatoire $e$ et l'envoie à P.
P envoie les chemins de l'arbre Merkle de la racine à chaque point d'extrémité de à V. $e$

Cela donne communication sur tours. $O(be \log n \log (1/p))$ $O(1)$

Mise à jour: Voici les détails de la construction de l'arbre Merkle. Pour plus de simplicité, développez le graphique pour avoir exactement $2^a$ sommets en ajoutant quelques noeuds déconnectés (ceux - ci n'affectent pas trois ou zéro colorabilité connaissances). Supposons une fonction de hachage sécurisée prenant n'importe quelle entrée de taille et produisant des sorties bit. Pour chaque arbre Merkle, le prouveur choisit au hasard nonces de -bit, un pour chaque feuille et non - feuille de l'arbre binaire. Aux feuilles, nous hachons la couleur concaténée avec le nonce pour produire la valeur de la feuille. À chaque non-feuille, nous hachons les deux valeurs enfant avec le nonce du non-feuille pour produire la valeur du non-feuille. $b$ $2^{a+1}-1$ $b$

Au premier tour, le prouveur envoie uniquement la valeur racine, qui ne fournit aucune information car elle est hachée avec le nonce de la racine. Au troisième tour, aucune information n'est transmise sur un nœud non développé dans l'arbre binaire, car un tel nœud a été haché avec un nonce sur ce nœud. Ici, je suppose que le prouveur et le vérificateur sont tous deux limités par le calcul et ne peuvent pas casser le hachage.

Edit : Merci à Ricky Demer pour avoir souligné le facteur manquant de . $e$

— Geoffrey Irving
source

L'étape 1 donnerait au vérificateur un moyen de haute précision de tester toute supposition sur la coloration du prouveur, en utilisant seulement 6 fois le travail de l'étape 1 du prouveur par supposition.

$\:$ De plus, je ne vois aucun moyen d'utiliser un arbre Merkle calculé par le prouveur sans passer d'une preuve à un argument .

$\;\;\;\;$

Comment un arbre Merkle salé peut-il être utilisé pour deviner une coloration?

— Geoffrey Irving

1

J'ai posté une réponse disant pourquoi je pense que l'idée du Merkle salé ne fonctionne pas.

$\:$ Vous devriez plutôt transformer les engagements de randomisation des couleurs en un arbre Merkle.

$\:$ Je remarque également que vous semblez manquer un facteur number_of_edges dans la complexité de la communication.

$\hspace{.48 in}$

1

Eh bien, on peut considérer la promesse que l'affectation est soit une 3-coloration valide ou [au moins

δ \cdot e

$\: \delta \cdot \hspace{-0.02 in}e\:$ les bords ont des sommets de même couleur].

$\;\;\;$ Cela réduit la complexité de la communication à

O (((b \cdot n) / δ) \cdot \log (n))

$\: O\hspace{.02 in}(((b\hspace{-0.04 in}\cdot \hspace{-0.04 in}n)/\delta) \cdot \log(n))\;$ .

$\;\;\;$ (suite ...)

1

(... a continué)

$\;\;\;$ Ensuite, on peut appliquer la machinerie PCP pour réduire la relation standard de 3 couleurs à cette relation de promesse.

$\;\;\;$ Ensuite, pousser cette idée à son extrême donne des arguments universels sans connaissance .

$\;\;\;\;\;\;\;\;$

1

Il y a eu une poussée récente d'activité dans les arguments succincts non interactifs de connaissance zéro. On sait par exemple construire un argument NIZK pour Circuit-SAT où la longueur d'argument est un très petit nombre constant d'éléments de groupe (voir Groth 2010, Lipmaa 2012, Gennaro, Gentry, etc., Eurocrypt 2013, etc.). Sur la base d'une réduction NP, vous pouvez alors clairement construire un argument pour la colorabilité 3 avec la même communication.

Bien sûr, c'est un modèle différent de votre question d'origine - par exemple, dans ces arguments, la longueur du CRS est linéaire en taille de circuit, et dans un certain sens, elle peut être considérée comme faisant partie de la communication (bien qu'elle puisse être réutilisée dans de nombreux arguments différents).

— cryptocat
source

0

(Cela ne rentre pas dans un commentaire.)

Je pense que je vois maintenant comment montrer que votre salage ne fournit pas nécessairement une
connaissance zéro du vérificateur honnête. $\:$ Soit le hachage sécurisé. $H_0$ $\:$ Si nous savons
que peut déjà gérer des entrées de longueur arbitraire, alors soit égal à , soit soit le résultat de l'application de la construction de Merkle-Damgard à . (Notez que représente la concaténation.) $H_0$ $H_1$ $H_0$
$H_1$ $H_0$
$||$ $\:$ Soit tel que pour toutes les chaînes de 3 bits et , pour toutes $H_2$

$x$ $z$ -bit $\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$ $\;$ chaînes , pour la chaîne telle que $y$
$m$ $\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$ ,
on a $\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$ .

et

pour toutes les chaînes de 3 bits , pour tous les sels $x$ $r\hspace{-0.02 in}$ , pour la chaîne qui résulte du salage de avec $m$ $x$ $r\hspace{-0.02 in}$ , si n'est pas de la forme indiquée ci-dessus, $m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$ .

et

pour toutes les chaînes qui ne sont d'aucune de ces deux formes, $m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$ .

.

Puisque est impliqué au même endroit dans chaque cas, toute collision dans est également une collision dans . $H_1$ $H_2$ $H_1$ $\:$ Par la sécurité de Merkle-Damgard, toute collision dans peut être efficacement transformée en collision dans . $H_1$
$H_0$ $\:$ $H_0$ $H_2$

$1/(2^{(b-1)})$

Je ne suis pas sûr de suivre votre notation, mais il semble que vous souteniez que vous pouvez prendre mon croquis et remplir les détails d'une manière évidemment idiote, produisant ainsi un système peu sûr. J'ajouterai la version sécurisée plus propre des détails à ma réponse.

— Geoffrey Irving

H_{2}

$H_2$

$\:$ Tout le reste était

$\hspace{1.71 in}$ ce que je pensais honnêtement que tu voulais dire.

$\;\;\;\;$

Veuillez me faire savoir si les détails ajoutés à ma réponse le montrent clairement. Il est fort possible que je manque quelque chose et ma construction est en effet cassée.

— Geoffrey Irving