Null-Wissen-Beweis

Im Kryptographie, a Null-Wissen-Beweis oder Null-Wissen-Protokoll ist eine Methode, mit der eine Partei (der Prover) einer anderen Partei (dem Verifizierer) beweisen kann, dass eine bestimmte Aussage wahr ist, während der Prover nicht zusätzliche Informationen vermittelt, abgesehen von der Tatsache, dass die Aussage tatsächlich wahr ist. Die Essenz von Null-Wissen-Beweisen ist, dass es trivial ist zu beweisen, dass man Kenntnisse über bestimmte Informationen besitzt, indem man sie einfach enthüllt; Die Herausforderung besteht darin, einen solchen Besitz zu beweisen, ohne die Informationen selbst oder zusätzliche Informationen zu enthüllen.[1]

Wenn ein Nachweis einer Erklärung verlangt, dass der Prover einige geheime Informationen besitzt, kann der Überprüfer die Erklärung niemand anderem nachweisen, ohne die geheimen Informationen zu besitzen. Die nachgewiesene Aussage muss die Behauptung enthalten, dass der Prover über ein solches Wissen verfügt, ohne das Wissen selbst in der Behauptung einzubeziehen oder zu übertragen. Andernfalls würde die Aussage in Zero-Knowledge nicht nachgewiesen, da sie dem Überprüfer zusätzliche Informationen über die Aussage bis zum Ende des Protokolls liefert. EIN Null-Wissen-Nachweis des Wissens ist ein Sonderfall, wenn die Erklärung besteht nur von der Tatsache, dass der Prover die geheimen Informationen besitzt.

Interaktive Null-Wissen-Beweise erfordern eine Interaktion zwischen dem individuellen (oder Computersystem), das ihr Wissen beweist und dem individuellen Validieren des Nachweises.[1]

Ein Protokoll, das keine Wissensnachweise des Wissens implementiert, muss notwendigerweise interaktive Eingaben aus dem Überprüfer erfordern. Diese interaktive Eingabe erfolgt normalerweise in Form einer oder mehrerer Herausforderungen, sodass die Antworten des Provers den Überprüfer nur dann überzeugen, wenn die Aussage wahr ist, d. H. Wenn der Prover tut besitzen das beanspruchte Wissen. Wenn dies nicht der Fall wäre, könnte der Überprüfer die Ausführung des Protokolls aufzeichnen und es wiederholen, um jemanden davon zu überzeugen, dass er die geheimen Informationen besitzt. Die Akzeptanz der neuen Partei ist entweder seit der Wiederholung gerechtfertigt tut Besitzen Sie die Informationen (was impliziert, dass das Protokoll die Informationen durchgesickert hat und daher nicht in Null-Wissen nachgewiesen wird), oder die Akzeptanz ist falsch, d. H. Von jemandem, der die Informationen nicht besitzt.

Einige Formen von Nicht interaktive Null-Wissen-Beweise existieren,[2][3] Die Gültigkeit des Beweises beruht jedoch auf rechnerischen Annahmen (typischerweise die Annahmen eines Ideals Kryptografische Hash -Funktion).

Zusammenfassung Beispiele

Die Ali Baba Höhle

Peggy nimmt zufällig entweder Pfad A oder B, während Victor draußen wartet
Victor wählt einen Ausstiegspfad
Peggy erscheint zuverlässig am Ausgangssieger -Namen

Es gibt eine bekannte Geschichte, die die grundlegenden Ideen von Zero-Knowledge-Proofs präsentiert, die erstmals 1990 von veröffentlicht wurden Jean-Jacques Quisquater und andere in ihrer Arbeit "wie Sie Ihren Kindern keine Wissensprotokolle erklären".[4] Es ist üblich, die beiden Parteien in einem Null-Wissen-Beweis als Peggy (die zu kennzeichnen Prover der Aussage) und Victor (die Überprüfung der Aussage).

In dieser Geschichte hat Peggy das geheime Wort aufgedeckt, mit dem eine magische Tür in einer Höhle geöffnet wurde. Die Höhle ist wie ein Ring geformt, wobei der Eingang auf einer Seite und die magische Tür die gegenüberliegende Seite blockiert. Victor möchte wissen, ob Peggy das geheime Wort kennt; Aber Peggy, die eine sehr private Person ist, möchte ihr Wissen (das geheime Wort) als Victor nicht offenbaren oder die Tatsache ihres Wissens der Welt im Allgemeinen offenbaren.

Sie kennzeichnen die linken und rechten Wege vom Eingang A und B. Erstens wartet Victor außerhalb der Höhle, während Peggy hineingeht. Peggy nimmt entweder Pfad A oder B; Victor darf nicht sehen, welchen Weg sie eingeht. Dann betritt Victor die Höhle und ruft den Namen des Pfades, den sie zum zufällig ausgewählten A- oder B zurückkehren soll. Vorausgesetzt, sie kennt das magische Wort wirklich, das ist einfach: Sie öffnet bei Bedarf die Tür und kehrt auf dem gewünschten Weg zurück.

Angenommen, sie kannte das Wort nicht. Dann würde sie nur am benannten Pfad zurückkehren können, wenn Victor den Namen desselben Pfades geben würde, auf dem sie eingegeben wurde. Da Victor zufällig A oder B wählen würde, hätte sie eine 50% ige Chance, richtig zu erraten. Wenn sie diesen Trick viele Male wiederholen würden, z. B. 20 Mal in Folge, würde ihre Chance, alle Anfragen von Victor erfolgreich zu erwarten, verschwindend klein (1 zu 220oder sehr ungefähr 1 von einer Million).

Wenn Peggy also wiederholt an den Namen der Sieg -Victor -Namen erscheint, kann er zu dem Schluss kommen, dass es äußerst wahrscheinlich ist, dass Peggy tatsächlich das geheime Wort kennt.

Eine Randnotiz in Bezug auf Beobachter von Drittanbietern: Selbst wenn Victor eine versteckte Kamera trägt, die die gesamte Transaktion aufzeichnet, ist das einzige, was die Kamera aufzeichnet, in einem Fall, in dem Victor "A!" und Peggy erschien bei a oder im anderen Fall Victor und rief "B!" und Peggy, der bei B. eine Aufnahme dieser Art auftritt, wäre für zwei Personen trivial, um sie zu fälschen (nur dass Peggy und Victor vorher über die Sequenz von A und B zustimmen, die Victor rufe). Eine solche Aufnahme wird für niemanden außer den ursprünglichen Teilnehmern niemals überzeugen. Tatsächlich sogar eine Person, die als Beobachter anwesend war beim ursprünglichen Experiment Wäre nicht überzeugt, da Victor und Peggy das gesamte "Experiment" von Anfang bis Ende orchestriert haben könnten.

Beachten Sie weiter, dass dieses Protokoll sein Protokoll verliert, wenn Victor seine A-und Bs, indem er eine Münze in der Kamera umdreht, seine Null-Wissen-Eigenschaft verliert. Der Münzflip vor der Kamera würde wahrscheinlich jede Person überzeugen, die die Aufnahme später beobachtet. Obwohl dies Victor das geheime Wort nicht offenbart, ermöglicht es Victor, die Welt im Allgemeinen davon zu überzeugen, dass Peggy dieses Wissen hat - um Peggys erklärte Wünsche. Die digitale Kryptographie "dreht" jedoch im Allgemeinen Münzen, indem sie sich auf a verlassen Pseudo-Random-Zahlengenerator, was einer Münze mit einem festen Muster von Köpfen und Schwänzen ähnelt, das nur dem Besitzer der Münze bekannt ist. Wenn sich die Münze von Victor so auf diese Weise verhält, wäre es auch für Victor und Peggy möglich, das "Experiment" vorgenommen zu haben. Die Verwendung eines Pseudo-Random-Zahlengenerator möchten.

Beachten Sie, dass Peggy Victor beweisen könnte, dass sie das magische Wort kennt, ohne es ihm in einem einzigen Versuch zu enthüllen. Wenn sowohl Victor als auch Peggy zusammen in den Mund der Höhle gehen, kann Victor Peggy durch A eingehen und durch B durchgehen. Dies würde mit Sicherheit beweisen, dass Peggy das magische Wort kennt, ohne Victor das magische Wort zu enthüllen. Ein solcher Beweis könnte jedoch von einem Dritten beobachtet oder von Victor aufgezeichnet werden, und ein solcher Beweis wäre für irgendjemanden überzeugt. Mit anderen Worten, Peggy konnte einen solchen Beweis nicht widerlegen, indem sie behauptete, sie habe mit Victor zusammengearbeitet, und sie hat daher nicht mehr die Kontrolle darüber, wer ihr Wissen bewusst ist.

Zwei Bälle und der farbblinde Freund

Stellen Sie sich vor, Ihr Freund ist rotgrün farbenblind (Während Sie es nicht sind) und Sie haben zwei Bälle: ein Rot und ein Grün, aber ansonsten identisch. Für deinen Freund scheinen sie völlig identisch zu sein und er ist skeptisch, dass sie tatsächlich unterscheidbar sind. Du möchtest Beweisen Sie ihm, dass sie tatsächlich unterschiedlich gefärbt sind, aber nichts anderes; Insbesondere möchten Sie nicht zeigen, welches der Rot und welches der grüne Ball ist.

Hier ist das Proof -System. Du gibst den beiden Bällen deinem Freund und er legt sie hinter seinen Rücken. Als nächstes nimmt er einen der Bälle und bringt ihn hinter seinem Rücken heraus und zeigt ihn an. Dann legt er es wieder hinter seinen Rücken und enthält dann nur einen der beiden Bälle, wobei er einen der beiden zufällig mit gleicher Wahrscheinlichkeit auswählt. Er wird dich fragen: "Habe ich den Ball gewechselt?" Diese gesamte Prozedur wird dann so oft wie nötig wiederholt.

Wenn Sie sich ihre Farben ansehen, können Sie natürlich mit Sicherheit sagen, ob er sie umgeschaltet hat oder nicht. Andererseits gibt es auf keinen Fall die gleiche Farbe und daher nicht zu unterscheiden, dass Sie mit einer Wahrscheinlichkeit von mehr als 50%korrekt erraten können.

Da die Wahrscheinlichkeit, dass es Ihnen zufällig gelungen wäre, jeden Switch/Nicht-Schalter zu identifizieren alle Switch/Nicht-Schalter nähert sich Null ("Soundness"). Wenn Sie und Ihr Freund diesen "Beweis" mehrmals (z. B. 20 Mal) wiederholen, sollte Ihr Freund überzeugt werden ("Vollständigkeit"), dass die Bälle tatsächlich unterschiedlich gefärbt sind.

Der obige Beweis ist Null-Wissen Weil dein Freund nie lernt, welcher Ball grün ist und welcher rot; In der Tat erlangt er keine Kenntnisse darüber, wie er die Bälle unterscheidet.[5]

Definition

Ein Null-Wissen-Nachweis einer Aussage muss drei Eigenschaften erfüllen:

  1. Vollständigkeit: Wenn die Aussage wahr ist, wird ein ehrlicher Überprüfer (dh eine, die dem Protokoll ordnungsgemäß folgt) von dieser Tatsache von einem ehrlichen Prover überzeugt.
  2. Solidität: Wenn die Aussage falsch ist, kann kein betrügerischer Prover einen ehrlichen Prüfer davon überzeugen, dass sie wahr ist, außer mit einer geringen Wahrscheinlichkeit.
  3. Null-Wissen: Wenn die Aussage wahr ist, lernt kein Verifier etwas anderes als die Tatsache, dass die Aussage wahr ist. Mit anderen Worten, nur die Aussage (nicht das Geheimnis) zu kennen, reicht es aus, um sich ein Szenario vorzustellen, das zeigt, dass der Prover das Geheimnis kennt. Dies wird formalisiert, indem gezeigt wird, dass jeder Verifizierer etwas hat Simulator Dies kann angesichts der nachgewiesenen Aussage (und ohne Zugriff auf den Prover) ein Transkript erzeugen, das wie eine Interaktion zwischen einem ehrlichen Prover und dem fraglichen Überprüfer aussieht.

Die ersten beiden davon sind Eigenschaften allgemeiner Interaktive Proof -Systeme. Das dritte ist das, was den Proof Null-Knowledge macht.[6]

Null-Wissen-Beweise sind keine Beweise im mathematischen Sinne des Begriffs, da es eine geringe Wahrscheinlichkeit gibt, die Soundness -Fehler, dass ein betrügerischer Prover in der Lage sein wird, den Überprüfer einer falschen Aussage zu überzeugen. Mit anderen Worten, Null-Knowledge-Beweise sind eher probabilistische "Beweise" als deterministische Beweise. Es gibt jedoch Techniken zur Verringerung des Schallfehlers auf vernachlässigbar kleine Werte.

Eine formale Definition von Zero-Knowledge muss ein Rechenmodell verwenden, das am häufigsten von a ist Turing Maschine. Lassen , , und Turing -Maschinen sein. Ein Interaktives Proof -System mit für eine Sprache ist null bekannt, wenn für irgendwelche Probabilistische Polynomzeit (PPT) Verifizierer Es gibt einen PPT -Simulator so dass

wo ist eine Aufzeichnung der Wechselwirkungen zwischen und . Der Prover wird als unbegrenzte Berechnungsleistung modelliert (in der Praxis, Normalerweise ist a Probabilistische Turing -Maschine). Intuitiv besagt die Definition, dass ein interaktives Proof -System ist null bekannt, wenn für einen Verifierer Es gibt einen effizienten Simulator (es hängt davon ab ) das kann das Gespräch zwischen reproduzieren und auf einer bestimmten Eingabe. Die Hilfszeichenfolge in der Definition spielt die Rolle des "Vorwissens" (einschließlich der zufälligen Münzen von ). Die Definition impliziert das keine Vorkenntniszeichenfolge verwenden kann Informationen aus dem Gespräch mit dem Gespräch mit abzubauen , weil wenn wird auch dieses Vorkenntnis gegeben, dann kann es das Gespräch zwischen reproduzieren und Wie zuvor.

Die angegebene Definition ist die des perfekten Zero-Knowledge. Computernull-Knowledge wird erhalten, indem die Ansichten des Verifizierers verlangt werden und der Simulator ist nur rechnerisch nicht zu unterscheiden, Angesichts der Hilfszeichenfolge.

Praktische Beispiele

Diskretes Protokoll eines bestimmten Wertes

Wir können diese Ideen auf eine realistischere Kryptographieanwendung anwenden. Peggy will Victor beweisen, dass sie das kennt Diskretes Protokoll eines gegebenen Wertes in einem gegebenen Gruppe.[7]

Zum Beispiel bei einem Wert , ein großer Prime und ein Generator Sie möchte beweisen, dass sie einen Wert kennt so dass , ohne aufzudecken . In der Tat Kenntnis von könnte als Beweis für die Identität verwendet werden, in dem Peggy ein solches Wissen haben könnte, weil sie einen zufälligen Wert entschied Dass sie niemandem enthüllte, berechnet und verteilt den Wert von an alle potenziellen Überprüfungen, so dass zu einem späteren Zeitpunkt das Wissen über das Wissen über beweist entspricht dem Nachweis der Identität als Peggy.

Das Protokoll erfolgt wie folgt: In jeder Runde erzeugt Peggy eine Zufallszahl , berechnet und gibt dies Victor an. Nach Erhalt , Victor stellt zufällig eine der folgenden zwei Anfragen aus: Er bittet entweder, dass Peggy den Wert von offenbart oder der Wert von . Mit beiden Antwort gibt Peggy nur einen Zufallswert offen, sodass keine Informationen durch eine korrekte Ausführung einer Runde des Protokolls offengelegt werden.

Victor kann beide Antwort überprüfen; Wenn er verlangte Er kann dann berechnen und überprüfen Sie, ob es übereinstimmt . Wenn er verlangte Er kann das überprüfen stimmt damit überein, durch Berechnen und zu überprüfen, ob es übereinstimmt . Wenn Peggy tatsächlich den Wert von kennt Sie kann auf eine der möglichen Herausforderungen von Victor reagieren.

Wenn Peggy wusste oder erraten könnte, welche Herausforderung Victor ausstellen wird, könnte sie Victor leicht betrügen und überzeugen, dass sie weiß Wenn sie es nicht tut: Wenn sie weiß, dass Victor anfordern wird Dann geht sie normal vor: Sie wählt aus , berechnet und offenbart zu Victor; Sie wird in der Lage sein, auf Victors Herausforderung zu reagieren. Andererseits, wenn sie weiß, dass Victor anfordern wird Dann wählt sie einen zufälligen Wert aus , berechnet und offenbart zu Victor als Wert von dass er erwartet. Als Victor sie herausfordert, sich zu enthüllen , enthüllt sie für welches Victor wird die Konsistenz überprüfen, da er wiederum berechnen wird , was passt Seit Peggy multipliziert mit dem Modulare multiplikative Inverse von .

Wenn jedoch in einem der oben genannten Szenarien Victor -Probleme eine andere Herausforderung als diejenige, die sie erwartet hatte und für das sie das Ergebnis hergestellt hat, kann sie nicht in der Lage sein, auf die Herausforderung zu reagieren diese Gruppe. Wenn sie ausgewählt hat und offengelegt dann kann sie keine gültige produzieren Das würde die Überprüfung von Victor bestehen, da sie es nicht weiß . Und wenn sie einen Wert ausgewählt hat das posiert als Dann müsste sie mit dem diskreten Protokoll des Wertes antworten, den sie offenbarte Exponent.

Somit hat ein betrügerischer Prover eine Wahrscheinlichkeit von 0,5, in einer Runde erfolgreich zu betrügen. Durch die Ausführung einer ausreichend großen Anzahl von Runden kann die Wahrscheinlichkeit, dass ein betrügerischer Prover erfolgreich ist, willkürlich niedrig gemacht werden.

Kurze Zusammenfassung

Peggy kennt den Wert von x (zum Beispiel ihr Passwort).

  1. Peggy und Victor sind sich einig auf eine Blütezeit und ein Generator der multiplikativen Gruppe des Feldes .
  2. Peggy berechnet den Wert und überträgt den Wert auf Victor.
  3. Die folgenden zwei Schritte werden eine (große) Anzahl der Male wiederholt.
    1. Peggy wählt wiederholt einen zufälligen Wert aus und berechnet . Sie überträgt den Wert zu Victor.
    2. Victor bittet Peggy, entweder den Wert zu berechnen und zu übertragen oder der Wert . Im ersten Fall überprüft Victor . Im zweiten Fall überprüft er .

Der Wert kann als der verschlüsselte Wert von gesehen werden . Wenn ist wirklich zufällig, gleichermaßen zwischen Null und verteilt und Dies läuft keine Informationen darüber aus (sehen einmalige Pad).

Hamiltonsche Zyklus für eine große Grafik

Das folgende Schema ist auf Manuel Blum.[8]

In diesem Szenario weiß Peggy a Hamilton -Zyklus für eine große Graph G. Victor weiß G aber nicht der Zyklus (z. B. Peggy hat erzeugt G und hat es ihm offenbart.) Es wird angenommen NP-Complete. Peggy wird beweisen, dass sie den Zyklus kennt, ohne ihn nur zu enthüllen (vielleicht ist Victor daran interessiert, ihn zu kaufen, möchte aber zuerst eine Überprüfung haben, oder vielleicht ist Peggy der einzige, der diese Informationen kennt und ihre Identität gegenüber Victor beweist).

Um zu zeigen, dass Peggy diesen Hamiltonschen Zyklus kennt, spielen sie und Victor mehrere Runden eines Spiels.

  • Zu Beginn jeder Runde schafft Peggy H, eine Grafik, die ist isomorph zu G (d.h. H ist genau wie G außer dass alle Scheitelpunkte unterschiedliche Namen haben). Da es trivial ist, einen Hamiltonschen Zyklus zwischen isomorphen Graphen mit bekanntem Isomorphismus zu übersetzen, wenn Peggy einen Hamiltonschen Zyklus für kennt G Sie muss auch eine wissen für H.
  • Peggy verpflichtet sich H. Sie konnte dies tun, indem sie eine Kryptografie benutze Verpflichtungsschema. Alternativ konnte sie die Eckpunkte von zählen H. Als nächstes für jede Kante von HAuf einem kleinen Stück Papier schreibt sie die beiden Eckpunkte auf, die die Kante verbindet. Dann legt sie all diese Papierstücke mit dem Gesicht nach unten auf einen Tisch. Der Zweck dieser Verpflichtung ist, dass Peggy sich nicht ändern kann H Gleichzeitig hat Victor keine Informationen darüber H.
  • Victor wählt dann zufällig eine von zwei Fragen, um Peggy zu stellen. Er kann sie entweder bitten, den Isomorphismus dazwischen zu zeigen H und G (sehen Graph Isomorphismus Problem), oder er kann sie bitten, einen Hamiltonschen Zyklus zu zeigen H.
  • Wenn Peggy gebeten wird zu zeigen, dass die beiden Grafiken isomorph sind, deckt sie zuerst alle auf H (z. B. indem sie alle Papierstücke umdreht, die sie auf den Tisch legte) und dann die Scheitelpunktübersetzungen bereitgestellt G zu H. Victor kann überprüfen, ob sie tatsächlich isomorph sind.
  • Wenn Peggy gebeten wird zu beweisen, dass sie einen Hamiltonschen Zyklus in kennt HSie übersetzt ihren Hamiltonschen Zyklus in G auf zu H und deckt nur die Kanten am Hamiltonschen Zyklus auf. Dies reicht für Victor aus, um das zu überprüfen H Enthält in der Tat einen Hamiltonschen Zyklus.

Es ist wichtig, dass das Engagement für die Grafik so ist, dass Victor im zweiten Fall überprüfen kann, dass der Zyklus wirklich aus Kanten von Kanten besteht H. Dies kann beispielsweise von jeder Kante (oder dem Fehlen davon) separat erfolgen.

Vollständigkeit

Wenn Peggy einen Hamiltonschen Zyklus kennen GSie kann die Nachfrage von Victor nach dem Diagramm Isomorphismus produzieren leicht befriedigen H aus G (was sie sich im ersten Schritt verpflichtet hatte) oder einen Hamiltonschen Zyklus in H (was sie konstruieren kann, indem sie den Isomorphismus auf den Zyklus in anwenden kann G).

Null-Wissen

Peggys Antworten enthüllen nicht den ursprünglichen Hamiltonschen Zyklus in G. In jeder Runde wird Victor nur lernen HIsomorphismus zu G oder ein Hamilton -Zyklus in H. Er würde beide Antworten für eine einzelne brauchen H den Zyklus in entdecken in GDaher bleibt die Informationen unbekannt, solange Peggy eine unterschiedliche Erzeugung erzeugen kann H jede Runde. Wenn Peggy keinen Hamiltonschen Zyklus in kennt G, aber irgendwie wusste es im Voraus, was Victor nach jeder Runde verlangte, dann konnte sie betrügen. Zum Beispiel, wenn Peggy im Voraus wusste, dass Victor den Hamiltonschen Zyklus sehen würde H Dann konnte sie einen Hamiltonschen Zyklus für ein nicht verwandtes Diagramm erzeugen. In ähnlicher Weise, wenn Peggy im Voraus wusste, dass Victor nach dem Isomorphismus bitten würde H (in dem sie auch keinen Hamiltonschen Zyklus kennt). Victor könnte das Protokoll alleine (ohne Peggy) simulieren, weil er weiß, was er wünschen wird. Daher erhält Victor keine Informationen über den Hamiltonschen Zyklus in G Aus den in jeder Runde enthüllten Informationen.

Solidität

Wenn Peggy die Informationen nicht kennt, kann sie erraten, welche Frage Victor entweder ein Diagramm isomorph stellt und zu generieren wird G oder einen Hamiltonschen Zyklus für eine nicht verwandte Grafik, aber da sie keinen Hamiltonschen Zyklus für kennt G Sie kann beides nicht. Mit dieser Vermutung ist ihre Chance, Victor zu täuschen 2n, wo n ist die Anzahl der Runden. Für alle realistischen Zwecke ist es unanständig, einen Null-Wissen-Beweis mit einer angemessenen Anzahl von Runden auf diese Weise zu besiegen.

Varianten von Zero-Knowledge

Verschiedene Varianten von Zero-Knowledge können definiert werden, indem das intuitive Konzept dessen formalisiert wird, was unter der Ausgabe des Simulators gemeint ist, wie die Ausführung des realen Proof-Protokolls auf folgende Weise aussieht:

  • Wir sprechen von Perfektes Zero-Wissen Wenn die vom Simulator und das Proof -Protokoll produzierten Verteilungen genau gleich verteilt sind. Dies ist zum Beispiel der Fall im ersten Beispiel oben.
  • Statistisches Zero-Wissen[9] bedeutet, dass die Verteilungen nicht unbedingt genau gleich sind, aber sie sind es statistisch nahe, was bedeutet, dass ihr statistischer Unterschied a ist vernachlässigbare Funktion.
  • Wir sprechen von Computernulles Null-Wissen Wenn kein effizienter Algorithmus die beiden Verteilungen unterscheiden kann.

Null Wissenstypen

Anwendungen

Authentifizierungssysteme

Die Forschung in Null-Wissen-Beweisen wurde von motiviert von Authentifizierung Systeme, bei denen eine Partei eine Identität einer zweiten Partei über einige geheime Informationen (z. B. ein Passwort) beweisen möchte, möchte aber nicht, dass die zweite Partei etwas über dieses Geheimnis lernt. Dies wird als "Zero-Knowledge" bezeichnet Wissensnachweis". Ein Passwort ist jedoch in der Regel zu klein oder unzureichend zufällig, um in vielen Schemata für Null-Wissen-Beweise des Wissens verwendet zu werden. Null-Knowledge-Passwort-Beweis ist eine besondere Art von Null-Wissen-Nachweis für Wissen, die die begrenzte Größe der Passwörter behandelt.

Im April 2015 wurde das Sigma-Protokoll (One-Out-of-vielen-Proofs) eingeführt.[10] Im August 2021, WolkenflareEin amerikanisches Webinfrastruktur- und Sicherheitsunternehmen hat beschlossen, den One-Out-Out-Out-of-Proof-Mechanismus für die private Webüberprüfung mithilfe von Anbieterhardware zu verwenden.[11]

Ethisches Verhalten

Eine der Verwendungen von Null-Wissen-Beweisen innerhalb kryptografischer Protokolle besteht darin, ehrliches Verhalten durchzusetzen und gleichzeitig die Privatsphäre aufrechtzuerhalten. Ungefähr die Idee ist es, einen Benutzer zu zwingen, unter Verwendung eines Null-Wissens-Beweises zu beweisen, dass sein Verhalten gemäß dem Protokoll korrekt ist.[12][13] Aufgrund von Solidness wissen wir, dass der Benutzer wirklich ehrlich handeln muss, um einen gültigen Beweis vorzulegen. Aufgrund von Null -Wissen wissen wir, dass der Benutzer die Privatsphäre seiner Geheimnisse bei der Bereitstellung des Beweises nicht beeinträchtigt.

Nukleare Abrüstung

2016 die Labor von Princeton Plasma Physik und Princeton Universität zeigte eine Technik, die möglicherweise zukünftige Anwendbarkeit hat nukleare Abrüstung Gespräche. Es würde die Inspektoren ermöglichen, zu bestätigen, ob ein Objekt tatsächlich eine Atomwaffe ist oder nicht, ohne die internen Arbeiten zu erfassen, zu teilen oder zu enthüllen, die geheim sein könnten.[14]

Blockchains

Null-Wissen-Beweise wurden in angewendet Zerocoin und Zerocash -Protokolle, die in der Geburt von gipfelte Zcoin[15] (später umbenannt wie Firo im Jahr 2020)[16] und Zcash Kryptowährungen im Jahr 2016. Zerocoin verfügt über ein integriertes Mischmodell, das keine Kollegen oder zentralisierten Mischanbieter vertraut, um eine Anonymität zu gewährleisten.[15] Benutzer können in einer Basiswährung abwickeln und die Währung in und aus Zerocoins radeln.[17] Zerocash -Protokoll verwenden ein ähnliches Modell (eine Variante bekannt als Nicht-interaktiver Null-Wissen-Beweis)[18] außer dass es die Transaktionsmenge verdecken kann, während Zerocoin nicht kann. Angesichts erheblicher Beschränkungen der Transaktionsdaten im Zerocash -Netzwerk ist NeroCash im Vergleich zu Zerocoin weniger anfällig für Datenschutzzeit -Timing -Angriffe. Diese zusätzliche Datenschutzschicht kann jedoch möglicherweise eine potenziell unentdeckte Hyperinflation der Zerocash -Versorgung verursachen, da betrügerische Münzen nicht nachverfolgt werden können.[15][19]

Im Jahr 2018 wurden Bulletproofs eingeführt. Bulletproofs sind eine Verbesserung gegenüber nicht-interaktivem Null-Wissen-Beweis, bei dem nicht vertrauenswürdige Setup erforderlich ist.[20] Es wurde später in das Mimblewimble -Protokoll umgesetzt (wo grinsen und strahlende Kryptowährungen basieren) und) und Monero Kryptowährung.[21] Im Jahr 2019 implementierte FIRO das Sigma -Protokoll, das eine Verbesserung des Zerocoin -Protokolls ohne vertrauenswürdige Setup darstellt.[22][10] Im selben Jahr führte Firo das Lelantus -Protokoll ein, eine Verbesserung des Sigma -Protokolls, in dem der erstere den Ursprung und die Menge einer Transaktion verbirgt.[23]

Geschichte

Null-Wissen-Beweise wurden erstmals 1985 von konzipiert SHAFI GOLDSER, Silvio Micali, und Charles Rackoff in ihrem Artikel "die Wissenskomplexität interaktiver Proof-Systeme".[12] Dieses Papier führte die vor IP Hierarchie interaktiver Beweissysteme (sehen Interaktives Proof -System) und konzipierte das Konzept von Wissenskomplexität, eine Messung des Wissens über den vom Prover auf den Verifizierer übertragenen Beweis. Sie gaben auch den ersten Null-Wissen-Beweis für ein konkretes Problem, das der Entscheidung quadratische Nicht -Residen Mod m. Zusammen mit einer Zeitung von László Babai und Shlomo Moran, dieses wegweisende Papier erfand interaktive Proof -Systeme, für die alle fünf Autoren das erste gewonnen haben Gödel -Preis 1993.

In ihren eigenen Worten sagen Goldwasser, Micali und Rackoff:

Von besonderem Interesse ist der Fall, in dem dieses zusätzliche Wissen im Wesentlichen 0 beträgt und wir zeigen, dass [es] interaktiv beweisen kann, dass eine Zahl quadratischer Nicht -Rest -Mod ist m Veröffentlichung von 0 zusätzlichem Wissen. Dies ist überraschend, da kein effizienter Algorithmus für die Entscheidung der quadratischen Rückstandsmod m ist bekannt, wann mDie Faktorisierung wird nicht angegeben. Darüber hinaus alle bekannt Np Beweise für dieses Problem zeigen die Primfaktorisierung von m. Dies weist darauf hin, dass die Hinzufügung der Interaktion zum Nachweisprozess die Menge an Wissen verringern kann, die kommuniziert werden muss, um einen Satz zu beweisen.

Das quadratische Nicht -Residene -Problem hat beide ein Np und ein Co-NP Algorithmus und so liegt an der Kreuzung von Np und Co-NP. Dies galt auch für mehrere andere Probleme, für die später keine Wissensbeweise entdeckt wurden, z. Blum Ganzzahl.[24]

Od Goldreich, Silvio Micali, und Avi Wigderson ging dies noch einen Schritt weiter und zeigt, dass man unter der Annahme der Existenz einer unzerbrechlichen Verschlüsselung ein null-kenner-Beweissystem für die NP-Complete erstellen kann Graph Färbungsproblem mit drei Farben. Da jedes Problem in Np kann auf dieses Problem effizient reduziert werden, was bedeutet, dass unter dieser Annahme alle Probleme in Np Null-Wissen-Beweise haben.[25] Der Grund für die Annahme ist, dass ihre Protokolle wie im obigen Beispiel Verschlüsselung erfordern. Eine häufig ausreichende Bedingung für die Existenz einer unzerbrechlichen Verschlüsselung ist die Existenz von Einwegfunktionen, aber es ist denkbar, dass einige physische Mittel es auch erreichen könnten.

Darüber hinaus zeigten sie auch, dass die Graph Nichtisomorphismus -Problem, das ergänzen des Graph Isomorphismus Problem, hat einen null-kenner-Beweis. Dieses Problem ist in Co-NPist aber derzeit nicht bekannt dafür Np oder eine praktische Klasse. Allgemeiner, Russell Impagliazzo und Moti Yung sowie Ben-or et al. würde weiter zeigen, dass auch Einwegfunktionen oder unzerbrechliche Verschlüsselung angenommen werden, dass es keine Beweise für Wissenswissen gibt alle Probleme in IP=PSPACEoder mit anderen Worten, alles, was durch ein interaktives Proof -System nachgewiesen werden kann, kann mit keinem Wissen nachgewiesen werden.[26][27]

Viele Theoretiker suchten nicht, unnötige Annahmen zu treffen, und suchten nach einem Weg, um die Notwendigkeit zu beseitigen Ein Weg funktioniert. Eine Möglichkeit, wie dies getan wurde, war mit Interaktive Proof-Systeme mit mehreren Provers (sehen Interaktives Proof -System), die mehrere unabhängige Prover anstelle von nur einem haben, sodass der Verifizierer die Provers isoliert "kreuzen" kann, um nicht irregeführt zu werden. Es kann gezeigt werden, dass alle Sprachen ohne Annahmen in nicht mehr als nicht zu vergleichbarer sind Np Haben Sie in einem solchen System keine Beweise für Wissenswissen.[28]

Es stellt sich heraus, dass in einer internetähnlichen Umgebung, in der mehrere Protokolle gleichzeitig ausgeführt werden können, eine schwierigere Erstellung von Null-Knowledge-Beweisen ist. Die Forschungslinie zur Untersuchung der gleichzeitigen Null-Wissen-Beweise wurde durch die Arbeit von initiiert Dwork, Naor, und Sahai.[29] Eine bestimmte Entwicklung entlang dieser Richtung war die Entwicklung von Zeugenindistierbarer Beweis Protokolle. Das Eigentum der Zeugenindustrierbarkeit hängt mit dem von Null-Wissen zusammen, aber zeugenindustrierbare Protokolle leiden nicht unter den gleichen Problemen der gleichzeitigen Ausführung.[30]

Eine weitere Variante von Null-Knowledge-Proofs ist Nicht interaktive Null-Wissen-Beweise. Blum, Feldman und Micali zeigten, dass eine gemeinsame zufällige Zeichenfolge, die zwischen dem Prover und dem Verifizierer geteilt wird, ausreicht, um rechnerische Zero-Knowledge zu erreichen, ohne eine Wechselwirkung zu erfordern.[2][3]

Null-Wissen-Proof-Protokolle

Das beliebteste interaktive oder Nicht-interaktiver Null-Wissen-Beweis (ZK-SNARK) -Protokolle können in den folgenden vier Kategorien weitgehend kategorisiert werden: prägnante nicht-interaktive Argumente des Wissens (SNark), skalierbares transparentes Wissensargument (Stark), überprüfbare Polynomdelegation (VPD) und prägnante nicht-interaktive Argumente (Argumente (checte) Argumente (( Knacken). Eine Liste von Protokollen und Bibliotheken von Null-Wissen-Beweis wird unten zusammen mit Vergleiche basierend auf Transparenz, Universalität, Plausible Post-Quantum-Sicherheit, und Programmierparadigma.[31] Ein transparentes Protokoll ist eines, das kein vertrauenswürdiges Setup benötigt und die öffentliche Zufälligkeit verwendet. Ein universelles Protokoll ist eines für jede Schaltung, die kein separates vertrauenswürdiges Setup benötigt. Schließlich ist ein plausibel post-quantum-Protokoll eines, das nicht anfällig für bekannte Angriffe mit Quantenalgorithmen ist.

ZKP-Systeme (Null-Knowledge Proof)
ZKP -System Veröffentlichungsjahr Protokoll Transparent Universal Plausibel post-quantum sicher Programmierparadigma
Pinocchio[32] 2013 ZK-Snark Nein Nein Nein Prozedural
Geppetto[33] 2015 ZK-Snark Nein Nein Nein Prozedural
Tinyram[34] 2013 ZK-Snark Nein Nein Nein Prozedural
Buffet[35] 2015 ZK-Snark Nein Nein Nein Prozedural
Zokrates[36] 2018 ZK-Snark Nein Nein Nein Prozedural
xjsnark[37] 2018 ZK-Snark Nein Nein Nein Prozedural
vram[38] 2018 ZK-Snarg Nein Ja Nein Montage
vntinyram[39] 2014 ZK-Snark Nein Ja Nein Prozedural
FATA MORGANA[40] 2020 ZK-Snark Nein Ja Nein Arithmetische Schaltkreise
Schall[41] 2019 ZK-Snark Nein Ja Nein Arithmetische Schaltkreise
Marlin[42] 2020 ZK-Snark Nein Ja Nein Arithmetische Schaltkreise
Plonk[43] 2019 ZK-Snark Nein Ja Nein Arithmetische Schaltkreise
Überschall[44] 2020 ZK-Snark Ja Ja Nein Arithmetische Schaltkreise
Bulletproof[45] 2018 Bulletproof Ja Ja Nein Arithmetische Schaltkreise
Hyrax[46] 2018 ZK-Snark Ja Ja Nein Arithmetische Schaltkreise
Heiligenschein[47] 2019 ZK-Snark Ja Ja Nein Arithmetische Schaltkreise
Jungfrau[48] 2020 ZK-Snark Ja Ja Ja Arithmetische Schaltkreise
Ligero[49] 2017 ZK-Snark Ja Ja Ja Arithmetische Schaltkreise
Aurora[50] 2019 ZK-Snark Ja Ja Ja Arithmetische Schaltkreise
ZK-Stark[51] 2019 ZK-Stark Ja Ja Ja Montage
Zilch[31][52] 2021 ZK-Stark Ja Ja Ja Objektorientierter

Siehe auch

Verweise

  1. ^ a b "Was ist ein Null-Wissen-Beweis und warum ist er nützlich?". 16. November 2017.
  2. ^ a b Blum, Manuel; Feldman, Paul; Micali, Silvio (1988). Nicht interaktive Zero-Wissen und seine Anwendungen (PDF). Proceedings of the Twentieth Annual ACM Symposium on Theory of Computing (STOC 1988). S. 103–112. doi:10.1145/62212.62222. ISBN 978-0897912648. S2CID 7282320. Archiviert (PDF) Aus dem Original am 14. Dezember 2018.
  3. ^ a b Wu, Huixin; Wang, Feng (2014). "Eine Umfrage zum nichtinteraktiven null -Wissensproblem und seinen Anwendungen". Das Scientific World Journal. 2014: 560484. doi:10.1155/2014/560484. PMC 4032740. PMID 24883407.
  4. ^ Quisquater, Jean-Jacques; Guillou, Louis C.; Berson, Thomas A. (1990). So erklären Sie Ihren Kindern Zero-Knowledge-Protokolle (PDF). Fortschritte in der Kryptologie - Crypto '89: Proceedings. Vorlesungsnotizen in Informatik. Vol. 435. S. 628–631. doi:10.1007/0-387-34805-0_60. ISBN 978-0-387-97317-3.
  5. ^ Chalkias, Konstantinos. "Zeigen Sie, wie Null-Wissen-Proofs funktionieren, ohne Mathematik zu verwenden.". Cordacon 2017. Abgerufen 2017-09-13.
  6. ^ Feige, Uriel; Fiat, Amos; Shamir, Adi (1988-06-01). "Null-Wissen-Beweise der Identität". Journal of Cryptology. 1 (2): 77–94. doi:10.1007/bf02351717. ISSN 1432-1378. S2CID 2950602.
  7. ^ Chaum, David; Evertse, Jan-Hendrik; Van de Graaf, Jeroen (1987). Ein verbessertes Protokoll zur Demonstration von diskreten Logarithmen und einigen Verallgemeinerungen. Fortschritte in der Kryptologie - Eurocrypt '87: Proceedings. Vorlesungsnotizen in Informatik. Vol. 304. S. 127–141. doi:10.1007/3-540-39118-5_13. ISBN 978-3-540-19102-5.
  8. ^ Blum, Manuel (1986). "Wie man einen Theorem beweist, damit niemand es beanspruchen kann". ICM -Verfahren: 1444–1451. Citeseerx 10.1.1.469.9048.
  9. ^ Sahai, Amit; Vadhan, Salil (1. März 2003). "Ein vollständiges Problem für statistisches Nullwissen" (PDF). Journal of the ACM. 50 (2): 196–249. Citeseerx 10.1.1.4.3957. doi:10.1145/636865.636868. S2CID 218593855. Archiviert (PDF) vom Original am 2015-06-25.
  10. ^ a b Groth, J; Kohlweiss, M (14. April 2015). "One-Out-of-Viele-Beweise: oder wie man ein Geheimnis aussieht und eine Münze ausgibt". Jährliche internationale Konferenz über die Theorie und Anwendungen kryptografischer Techniken. Vorlesungsnotizen in Informatik. Berlin, Heidelberg: Eurocrypt 2015. 9057: 253–280. doi:10.1007/978-3-662-46803-6_9. HDL:20.500.11820/f6ec5d8f-cfda-4f56-9bd0-d9222b8d9a43. ISBN 978-3-662-46802-9. S2CID 16708805.
  11. ^ "Einführung von Null-Knowledge-Beweisen für private Web-Bescheinigungen mit Cross/Multi-Vendor-Hardware". Der Cloudflare -Blog. 2021-08-12. Abgerufen 2021-08-18.
  12. ^ a b Goldwasser, S.; Micali, S.; Rackoff, C. (1989), "Die Wissenskomplexität interaktiver Beweissysteme" (PDF), Siam Journal über Computing, 18 (1): 186–208, doi:10.1137/0218012, ISSN 1095-7111
  13. ^ Abascal, Jackson; Faghihi Sereshgi, Mohammad Hossein; Hazay, Carmit; Ishai, Yuval; Venkitasubramaniam, Muthuramakrishnan (2020-10-30). "Ist das klassische GMW-Paradigma praktisch? Der Fall von nicht interaktives 2PC ist aktiv sicher". Verfahren der ACM SIGSAC -Konferenz 2020 über Computer- und Kommunikationssicherheit. CCS '20. Virtuelle Veranstaltung, USA: Assoziation für Computermaschinen: 1591–1605. doi:10.1145/3372297.3423366. ISBN 978-1-4503-7089-9. S2CID 226228208.
  14. ^ "PPPL und Princeton zeigen eine neuartige Technik, die möglicherweise auf zukünftige nukleare Abrüschungsgespräche anwendbar ist - Princeton Plasma Physics Lab". www.pppl.gov. Archiviert von das Original Am 2017-07-03.
  15. ^ a b c Hellwig, Daniel; Karlic, Goran; Huchzermeier, Arnd (3. Mai 2020). "Privatsphäre und Anonymität". Erstellen Sie Ihre eigene Blockchain - einen praktischen Leitfaden für die verteilte Ledger -Technologie. Springerlink. p. 112. doi:10.1007/978-3-030-40142-9_5. ISBN 9783030401429. S2CID 219058406. Abgerufen 3. Dezember 2020.
  16. ^ Hurst, Samantha (28. Oktober 2020). "Zcoin kündigt das Rebranding to New Name & Ticker" Firo "an.". Crowdfund Insider. Archiviert von das Original am 30. Oktober 2020. Abgerufen 4. November 2020.
  17. ^ Bonneau, J; Miller, A; Clark, J; Narayanan, A (2015). "SOK: Forschung Perspektiven und Herausforderungen für Bitcoin und Kryptowährungen". 2015 IEEE Symposium über Sicherheit und Privatsphäre. San Jose, Kalifornien: 104–121. doi:10.1109/sp.2015.14. ISBN 978-1-4673-6949-7. S2CID 549362.
  18. ^ Ben-Sasson, Eli; Chiesa, Alessandro; Garman, Christina; Grün, Matthew; Miers, Ian; Tromer, Eran; Virza, Madars (18. Mai 2014). "Zerocash: Dezentrale anonyme Zahlungen von Bitcoin" (PDF). IEEE. Abgerufen 26. Januar 2016.
  19. ^ Orcutt, Mike. "Ein kryptografischer Trick mit Geistesbiegung verspricht Blockchains Mainstream". MIT Technology Review. Abgerufen 2017-12-18.
  20. ^ Bünz, b; Bootle, D; Boneh, A (2018). "Bulletproofs: kurze Beweise für vertrauliche Transaktionen und mehr". IEEE -Symposium über Sicherheit und Privatsphäre. San Francisco, Kalifornien: 315–334. doi:10.1109/sp.2018.00020. ISBN 978-1-5386-4353-2. S2CID 3337741. Abgerufen 3. Dezember 2020.
  21. ^ Odendaal, Hansie; Sharrock, Cayle; Heerden, SW. "Bulletproofs und Mimblewimble". Tari Labs University. Archiviert von das Original am 29. September 2020. Abgerufen 3. Dezember 2020.
  22. ^ Andrew, Munro (30. Juli 2019). "Zcoin Cryptocurrency führt keine Wissensbeweise ohne vertrauenswürdige Einrichtung ein". Finder Australien. Archiviert von das Original am 30. Juli 2019. Abgerufen 30. Juli 2019.
  23. ^ Aram, Jivanyan (7. April 2019). "Lelantus: Auf dem Weg zu Vertraulichkeit und Anonymität von Blockchain -Transaktionen aus Standardannahmen". Cryptology Eprint Archiv (Bericht 373). Abgerufen 14. April 2019.
  24. ^ Goldreich, ODED (1985). "Ein Null-Wissen-Beweis dafür, dass ein Zwei-Prime-Modul keine Blum-Ganzzahl ist". Unveröffentlichtes Manuskript.
  25. ^ Goldreich, ODED; Micali, Silvio; Wigderson, Avi (1991). "Beweise, die nur ihre Gültigkeit ergeben". Journal of the ACM. 38 (3): 690–728. Citeseerx 10.1.1.420.1478. doi:10.1145/116825.116852. S2CID 2389804.
  26. ^ Russell Impagliazzo, Moti Yung: Direkte Berechnungen für Mindestkenntnisse. Crypto 1987: 40-51
  27. ^ Ben-or, Michael; Goldreich, ODED; Goldwasser, Shafi; Hastad, Johan; Kilian, Joe; Micali, Silvio; Rogaway, Phillip (1990). "Alles nachweisbar ist in Zero-Knowledge". In Goldwasser, S. (Hrsg.). Fortschritte in der Kryptologie - Crypto '88. Vorlesungsnotizen in Informatik. Vol. 403. Springer-Verlag. S. 37–56.
  28. ^ Ben-or, M.; Goldwasser, Shafi; Kilian, J.; Wigderson, A. (1988). "Multi -Prover Interactive Proofs: So entfernen Sie die Annahmen von Unverständlichkeit" (PDF). Verfahren des 20. ACM -Symposiums über die Theorie des Computers: 113–121.
  29. ^ Dwork, Cynthia; Naor, Moni; Sahai, Amit (2004). "Gleichzeitiges Nullwissen". Journal of the ACM. 51 (6): 851–898. Citeseerx 10.1.1.43.716. doi:10.1145/1039488.1039489. S2CID 52827731.
  30. ^ Feige, Uriel; Shamir, Adi (1990). Zeugen ununterscheidbar und Zeuge versteckter Protokolle. Proceedings des 23-Sekunden-Jahres-ACM-Symposiums über die Theorie des Computers (STOC). S. 416–426. Citeseerx 10.1.1.73.3911. doi:10.1145/100216.100272. ISBN 978-0897913614. S2CID 11146395.
  31. ^ a b Mouris, Dimitris; TSoutsos, Nektarios Georgios (2021). "Zilch: Ein Framework zum Bereitstellen transparenter Zero-Knowledge-Beweise". IEEE -Transaktionen zu Informationsforensik und Sicherheit. 16: 3269–3284. doi:10.1109/tifs.2021.3074869. ISSN 1556-6021. S2CID 222069813.
  32. ^ Parno, b.; Howell, J.; Gentry, C.; Raykova, M. (Mai 2013). "Pinocchio: Fast praktische überprüfbare Berechnungen". 2013 IEEE Symposium über Sicherheit und Privatsphäre: 238–252. doi:10.1109/sp.2013.47. ISBN 978-0-7695-4977-4. S2CID 1155080.
  33. ^ Costello, Craig; Fournet, Cedric; Howell, Jon; Kohlweiss, Markulf; Kreuter, Benjamin; Naehrig, Michael; Parno, Bryan; Zahur, gleiche (Mai 2015). "Geppetto: Vielseitige überprüfbare Berechnung". 2015 IEEE Symposium über Sicherheit und Privatsphäre: 253–270. doi:10.1109/sp.2015.23. HDL:20.500.11820/37920E55-65AA-4A42-B678-EF5902A5DD45. ISBN 978-1-4673-6949-7. S2CID 3343426.
  34. ^ Ben-Sasson, Eli; Chiesa, Alessandro; Genkin, Daniel; Tromer, Eran; Virza, Madars (2013). "Snarks für C: Programmexekutionen prägnant und in null Wissen überprüfen". Fortschritte in der Kryptologie - Crypto 2013. Vorlesungsnotizen in Informatik. 8043: 90–108. doi:10.1007/978-3-642-40084-1_6. HDL:1721.1/87953. ISBN 978-3-642-40083-4.
  35. ^ Wahby, Riad S.; Setty, Srinath; Ren, Zucheng; Blumberg, Andrew J.; Walfish, Michael (2015). "Effizienter RAM und Steuerfluss in überprüfbarer ausgelagerter Berechnung". Proceedings 2015 Network und Distributed System Security Symposium. doi:10.14722/nds.2015.23097. ISBN 978-1-891562-38-9.
  36. ^ Eberhardt, Jacob; Tai, Stefan (Juli 2018). "Zokrates-skalierbare Datenschutzvorkehrungen außerhalb des Kettenberechnungen". 2018 IEEE International Conference über Internet of Things (Ithing) und IEEE Green Computing and Communications (GREENCOM) sowie IEEE Cyber, Physical and Social Computing (CPSCOM) und IEEE Smart Data (SmartData): 1084–1091. doi:10.1109/cybermatics_2018.2018.00199. ISBN 978-1-5386-7975-3. S2CID 49473237.
  37. ^ Kosba, Ahmed; Papamanthou, Charalampos; Shi, Elaine (Mai 2018). "XJSNARK: Ein Rahmen für eine effiziente überprüfbare Berechnung". 2018 IEEE Symposium über Sicherheit und Privatsphäre (SP): 944–961. doi:10.1109/sp.2018.00018. ISBN 978-1-5386-4353-2.
  38. ^ Zhang, Yupeng; Genkin, Daniel; Katz, Jonathan; Papadopoulos, Dimitrios; Papamanthou, Charalampos (Mai 2018). "VRAM: schneller überprüfbarer RAM mit programmunabhängiger Vorverarbeitung". 2018 IEEE Symposium über Sicherheit und Privatsphäre (SP): 908–925. doi:10.1109/sp.2018.00013. ISBN 978-1-5386-4353-2.
  39. ^ Ben-Sasson, Eli; Chiesa, Alessandro; Tromer, Eran; Virza, Madars (20. August 2014). "Prägnant nicht interaktives Wissen für eine von Neumann Architektur". Verfahren der 23. Usenix -Konferenz zum Sicherheitssymposium. Usenix Association: 781–796. ISBN 9781931971157.
  40. ^ Kosba, Ahmed; Papadopoulos, Dimitrios; Papamanthou, Charalampos; Lied, Dawn (2020). "Mirage: Prägnante Argumente für randomisierte Algorithmen mit Anwendungen für universelle ZK-Snarks". Cryptology Eprint Archiv.
  41. ^ Maller, Mary; Bowe, Sean; Kohlweiss, Markulf; Meiklejohn, Sarah (6. November 2019). "Sonic: Zero-Knowledge schnappt aus universellen und aktualisierbaren strukturierten Referenzzeichenfolgen linearer Größe". Verfahren der ACM SIGSAC -Konferenz 2019 über Computer- und Kommunikationssicherheit. Assoziation für Computermaschinen: 2111–2128. doi:10.1145/3319535.3339817. HDL:20.500.11820/739B94F1-54F0-4ec3-9644-3C95EEA1E8F5. S2CID 242772913.
  42. ^ Chiesa, Alessandro; Hu, Yuncong; Maller, Mary; Mishra, Pratyush; Vesely, Noah; Ward, Nicholas (2020). "Marlin: Vorverarbeitung ZksNarks mit universellen und aktualisierbaren SRs". Fortschritte in der Kryptologie - Eurocrypt 2020. Vorlesungsnotizen in Informatik. Springer International Publishing. 12105: 738–768. doi:10.1007/978-3-030-45721-1_26. ISBN 978-3-030-45720-4. S2CID 204772154.
  43. ^ Gabizon, Ariel; Williamson, Zachary J.; Ciobotaru, Oana (2019). "Plonk: Permutationen über Lagrange-Basen für oecumenische nichtinteraktive Argumente des Wissens". Cryptology Eprint Archiv.
  44. ^ Bünz, Benedikt; Fisch, Ben; Szepieniec, Alan (2020). "Transparente Schnupfen von dunklen Compilern". Fortschritte in der Kryptologie - Eurocrypt 2020. Vorlesungsnotizen in Informatik. Springer International Publishing. 12105: 677–706. doi:10.1007/978-3-030-45721-1_24. ISBN 978-3-030-45720-4. S2CID 204892714.
  45. ^ Bunz, Benedikt; Bootle, Jonathan; Boneh, Dan; Poelstra, Andrew; Wuille, Pieter; Maxwell, Greg (Mai 2018). "Bulletproofs: kurze Beweise für vertrauliche Transaktionen und mehr". 2018 IEEE Symposium über Sicherheit und Privatsphäre (SP): 315–334. doi:10.1109/sp.2018.00020. ISBN 978-1-5386-4353-2.
  46. ^ Wahby, Riad S.; Tzialla, Ioanna; Shelat, Abhi; Thaler, Justin; Walfish, Michael (Mai 2018). "Doppelteffizientes ZksNarks ohne vertrauenswürdige Setup". 2018 IEEE Symposium über Sicherheit und Privatsphäre (SP): 926–943. doi:10.1109/sp.2018.00060. ISBN 978-1-5386-4353-2.
  47. ^ Bowe, Sean; Grigg, Jack; Hopwood, Daira (2019). "Rekursive Beweiszusammensetzung ohne vertrauenswürdige Setup". Cryptology Eprint Archiv.
  48. ^ Zhang, Jiaheng; Xie, Tiancheng; Zhang, Yupeng; Lied, Dawn (Mai 2020). "Transparente Polynomdelegation und ihre Anwendungen auf null Wissensbeweis". 2020 IEEE Symposium über Sicherheit und Privatsphäre (SP): 859–876. doi:10.1109/sp40000.2020.00052. ISBN 978-1-7281-3497-0.
  49. ^ Ames, Scott; Hazay, Carmit; Ishai, Yuval; Venkitasubramaniam, Muthuramakrishnan (30. Oktober 2017). "Ligero: Leichte unter sublineare Argumente ohne vertrauenswürdige Setup". Proceedings der ACM SIGSAC -Konferenz 2017 über Computer- und Kommunikationssicherheit. Assoziation für Computermaschinen: 2087–2104. doi:10.1145/3133956.3134104. ISBN 9781450349468. S2CID 5348527.
  50. ^ Ben-Sasson, Eli; Chiesa, Alessandro; Riabzev, Michael; Spooner, Nicholas; Virza, Madars; Ward, Nicholas P. (2019). "Aurora: transparente prägnante Argumente für R1Cs". Fortschritte in der Kryptologie - Eurocrypt 2019. Vorlesungsnotizen in Informatik. Springer International Publishing. 11476: 103–128. doi:10.1007/978-3-030-17653-2_4. ISBN 978-3-030-17652-5. S2CID 52832327.
  51. ^ Ben-Sasson, Eli; Bentov, Iddo; Horesh, Yinon; Riabzev, Michael (2019). "Skalierbares Zero -Wissen ohne vertrauenswürdige Setup". Fortschritte in der Kryptologie - Crypto 2019. Vorlesungsnotizen in Informatik. Springer International Publishing. 11694: 701–732. doi:10.1007/978-3-030-26954-8_23. ISBN 978-3-030-26953-1. S2CID 199501907.
  52. ^ "Transparente Null-Wissen-Beweise mit Zilch". Mittel. 2021.