Coût de communication minimum pour zéro preuve de connaissance de trois colorabilité

La preuve de Goldreich et al. Que la trois colorabilité n'a aucune preuve de connaissance utilise l'engagement de bits pour une coloration entière du graphique à chaque tour [1]. Si un graphe a sommets et e arêtes, un hachage sécurisé a b bits et que nous recherchons la probabilité d'erreur p , le coût total de la communication est$n$$e$$b$$p$

sur tours. En utilisant un arbre Merkle progressivement révélé, la communication totale peut être réduite à O ( b e log n log ( 1 / p ) ) au prix d'augmenter le nombre de tours à O ( log n ) .$O(1)$$O(be \log n \log (1/p))$$O(\log n)$

Est-il possible de faire mieux que cela, que ce soit en termes de communication totale ou de nombre de tours?

1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Edit : Merci à Ricky Demer pour avoir souligné le facteur manquant de .$e$

Voici donc le bon document pour mes besoins:

Joe Kilian, "Une note sur les preuves et arguments efficaces à connaissance zéro". http://people.csail.mit.edu/vinodv/6892-Fall2013/efficientargs.pdf

Pour obtenir le résultat le plus fort, nous devons accepter zéro argument de connaissance plutôt que des preuves (prouveur borné par calcul); c'est ce qui m'intéresse mais je ne connaissais pas la terminologie.

En supposant des hypothèses cryptographiques suffisantes, l'article ne donne aucun argument de connaissance avec une communication totale pour c = $O(b \log^c n \log (1/p))$ .$c = O(1)$

Ce résultat est limité aux séries par Ishai et al., "On Efficient Zero-Knowledge PCP", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf .$O(1)$

Mise à jour : Cette réponse est obsolète par mon autre réponse, avec des limites entièrement polylogarithmiques à partir de références appropriées.

À la réflexion, il n'est pas nécessaire de révéler l'arbre Merkle progressivement, donc la version de communication inférieure n'a pas besoin de tours supplémentaires. Les étapes de communication sont

1. Le prouveur P randomise sa coloration, le transforme en arbre Merkle (salé) et envoie la racine au vérificateur V.
2. V choisit un bord aléatoire $e$ et l'envoie à P.
3. P envoie les chemins de l'arbre Merkle de la racine à chaque point d'extrémité de à V.$e$

Cela donne communication sur O ( 1 ) tours.$O(be \log n \log (1/p))$$O(1)$

Mise à jour: Voici les détails de la construction de l'arbre Merkle. Pour plus de simplicité, développez le graphique pour avoir exactement $2^a$ sommets en ajoutant quelques noeuds déconnectés (ceux - ci n'affectent pas trois ou zéro colorabilité connaissances). Supposons une fonction de hachage sécurisée prenant n'importe quelle entrée de taille et produisant des sorties bit. Pour chaque arbre Merkle, le prouveur choisit 2 a + 1 - 1 au hasard b nonces de -bit, un pour chaque feuille et non - feuille de l'arbre binaire. Aux feuilles, nous hachons la couleur concaténée avec le nonce pour produire la valeur de la feuille. À chaque non-feuille, nous hachons les deux valeurs enfant avec le nonce du non-feuille pour produire la valeur du non-feuille.$b$$2^{a+1}-1$$b$

Au premier tour, le prouveur envoie uniquement la valeur racine, qui ne fournit aucune information car elle est hachée avec le nonce de la racine. Au troisième tour, aucune information n'est transmise sur un nœud non développé dans l'arbre binaire, car un tel nœud a été haché avec un nonce sur ce nœud. Ici, je suppose que le prouveur et le vérificateur sont tous deux limités par le calcul et ne peuvent pas casser le hachage.

Edit : Merci à Ricky Demer pour avoir souligné le facteur manquant de .$e$

Il y a eu une poussée récente d'activité dans les arguments succincts non interactifs de connaissance zéro. On sait par exemple construire un argument NIZK pour Circuit-SAT où la longueur d'argument est un très petit nombre constant d'éléments de groupe (voir Groth 2010, Lipmaa 2012, Gennaro, Gentry, etc., Eurocrypt 2013, etc.). Sur la base d'une réduction NP, vous pouvez alors clairement construire un argument pour la colorabilité 3 avec la même communication.

Bien sûr, c'est un modèle différent de votre question d'origine - par exemple, dans ces arguments, la longueur du CRS est linéaire en taille de circuit, et dans un certain sens, elle peut être considérée comme faisant partie de la communication (bien qu'elle puisse être réutilisée dans de nombreux arguments différents).

(Cela ne rentre pas dans un commentaire.)

Je pense que je vois maintenant comment montrer que votre salage ne fournit pas nécessairement une
connaissance zéro du vérificateur honnête.$\:$Soit le hachage sécurisé.$H_0$$\:$Si nous savons
que peut déjà gérer des entrées de longueur arbitraire, alors soit H 1 égal à H 0 , soit H 1 soit le résultat de l'application de la construction de Merkle-Damgard à H 0 . (Notez que | | représente la concaténation.)$H_0$$H_1$$H_0$
$H_1$$H_0$
$||$$\:$Soit tel que pour toutes les chaînes de 3 bits x et z , pour toutes$H_2$


$x$$z$ -bit$\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$$\;$chaînes , pour la chaîne m telle que$y$
$m$$\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$,
on a$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$.

et

pour toutes les chaînes de 3 bits , pour tous les sels $x$$r\hspace{-0.02 in}$, pour la chaîne qui résulte du salage de x avec $m$$x$$r\hspace{-0.02 in}$, si n'est pas de la forme indiquée ci-dessus,$m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$.

et

pour toutes les chaînes qui ne sont d'aucune de ces deux formes, H 2 ( m $m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$.


.

Puisque est impliqué au même endroit dans chaque cas, toute collision dans H 2 est également une collision dans H 1 .$H_1$$H_2$$H_1$$\:$Par la sécurité de Merkle-Damgard, toute collision dans peut être efficacement transformée en collision dans H 0 .$H_1$
$H_0$$\:$$H_0$$H_2$


$1/(2^{(b-1)})$