J-PAKE：關於臨時私鑰的 Schnorr NIZK 證明

在沒有 PKI 文件的情況下讀取 J-PAKE Authenticated Key Exchange： J-PAKE

第 1 輪：Alice 發出 g^x1 和 x1 的知識證明，例如：證明 X = g^x1 的指數知識

我的問題是：那麼 g^x1 + NIZK of x1 的接收者（驗證者）是否能夠獲得x1 值？

不。進行零知識證明（在這種情況下，是非互動式零知識證明）的全部意義在於，除了要證明的陳述之外，驗證者不會學習任何其他資訊。

Schnorr 協議允許在不透露指數的情況下證明離散對數的知識。最重要的是，可以將Fiat-Shamir 啟發式應用於協議以生成非互動式版本的證明，但仍然不會透露指數。

引用自：https://crypto.stackexchange.com/questions/26795