Schnorr 的數字簽名是非互動式零知識證明嗎？

如果是，是否有任何文件可以證明這一點？Ueli Maurer 的統一零知識知識證明認為 Schnorr 的互動協議是零知識。如果這是真的，使用 Fiat-Shamir 變換，我們可以將 Schnorr 的協議轉換為 NIZK 證明嗎？

是的，事實上，Schnorr 的簽名方案最初被描述為一種非互動協議。我認為對互動性的混淆來自於同一篇論文首先描述了一種互動辨識方案，它可以被視為空消息簽名方案的一種特殊化。

在這兩種方案中，都可以互動方式或使用雜湊生成挑戰。非互動式變體可以看作是 Fiat-Shamir 變換的應用，儘管 Schnorr 沒有這樣描述它。

請注意，雖然 Fiat-Shamir 變換的更一般公式涉及隨機預言假設，但 Schnorr 簽名方案尤其具有較弱的要求——參見Navel 等人。和陳等人。

證明最好以其他方式進行——從 NIZK 到 Schnorr 數字簽名。

它是這樣的。Fiat-Shamir NIZK 啟發式要求證明者使用成績單/時間戳/最後消息的散列作為算法的輸入。Schnorr 領先了一步，允許證明者包含任何資訊作為輸入。這不僅可以作為簽名方案，還可以證明該方知道一些見證人w。

PS：不確定這是否曾經寫在論文中，但這裡有一些你可能會發現有用的東西：參見第 3.2 節

$$ 0 $$ $$ 0 $$ https://crypto.stanford.edu/cs355/19sp/lec5.pdf

引用自：https://crypto.stackexchange.com/questions/83744