“聲音”是什麼意思?
我在很多地方都讀過這篇文章,但我仍然沒有正確理解“聲音”的含義。作為我要求的一個例子:
Fiat-Shamir 轉換在隨機 Oracle 模型 (ROM) 中是合理的,其中假設雜湊函式表現為隨機 Oracle。
我知道在 ROM 中意味著散列函式被認為是真正的隨機函式,而 Fiat-Shamir 是一種轉換互動的技術 $ \Sigma $ - 非互動式協議。那麼這意味著什麼?
互動式或非互動式協議被稱為對一種語言來說是合理的 $ \mathcal{L} $ 如果對(惡意)證明者來說“困難” $ \textsf{P} $ 說服驗證者 $ \textsf{V} $ 聲明的 $ I\not\in\mathcal{L} $ . 取決於它實際上有多“難” $ \textsf{P} $ 為了作弊,我們要麼得到一個(互動式或非互動式)證明系統(當 $ \textsf{P} $ 是計算無界的)或參數係統(當 $ \textsf{P} $ 是計算有界的)。
Fiat-Shamir 轉換**將互動式協議編譯為非互動式協議,粗略地說,替換驗證者 $ \textsf{V} $ 帶有雜湊函式 $ H $ . 更準確地說,證明者自己計算—— $ i $ -th 驗證者消息 $ \beta_i $ 通過散列到目前為止的成績單(由語句組成 $ I $ , 證明者消息 $ \alpha_i $ 來自前幾輪的 s 和之前的值 $ \beta_i $ s):見下圖(取自此處)。在隨機預言模型(ROM)中,雜湊函式 $ H $ 被建模為隨機預言機,即所有各方都可以通過預言機訪問的隨機函式。
如果 Fiat-Shamir 變換“保持”所應用的互動協議的健全性,則稱它是“健全的”。也就是非互動協議 $ (\textsf{P}{FS},\textsf{V}{FS}) $ 這是通過將 Fiat-Shamir 變換應用於互動式協議的結果 $ (\textsf{P},\textsf{V}) $ 也是健全的。如果上述情況成立,我們說 Fiat-Shamir 變換在 ROM 中是合理的 $ H $ 被建模為隨機預言機。
Fiat-Shamir 變換何時響起?當應用於恆定輪互動證明系統時,它在 ROM 中是可靠的
$$ PS00 $$. 特別是,我們最終得到了一個非互動式論證系統。最常見的例子之一是Schnorr 簽名方案,它是通過將 Fiat-Shamir 變換應用於 Schnorr 辨識方案而獲得的。 另一方面,我們知道某些反例,即使在 ROM 中,變換也是“不健全的”。最後,我要補充的是,最近有很多令人興奮的作品旨在證明標準模型中 Fiat-Shamir 變換的可靠性(即,沒有隨機預言):見
$$ C+19,PS19 $$以及與它們相關的參考。 $$ C+19 $$: 卡內蒂等人。來自更簡單假設的 Fiat-Shamir , STOC'19 $$ PS00 $$: Pointcheval 和 Stern,數字簽名和盲簽名的安全論據,JoC,2000。 $$ PS19 $$:Peikert 和 Sheihan*來自(普通)LWE 的 NP 非互動式零知識。*, 加密'19
