第20章ゼロ知識でのプロパティの証明[ゼロ知識でのプロパティの証明]

前の章では、Sigmaプロトコルを使用して認証および署名スキームを構築する方法をすでに紹介しました。これらのアプリケーションでは、Sigmaプロトコルを「知識の証明[知识証明]」として使用します。主に巻き戻しと知識の健全性を使用します。説得力のある証明者から証人を抽出することができます。
この章では、シグマプロトコルを使用して、正確な事実が真実であることを証明する方法を説明します（ただし、他の詳細情報は明らかにしません）。このようにシグマプロトコルを使用するアプリケーションの場合、このセキュリティは主に依存します。知識の概念ではなく、主張の真実。例：Chaum-Pedersenプロトコル（セクション19.5.2）では、証明者は、指定されたグループ要素のトリプルがDHトリプルであると検証者に信じ込ませることができます。この機能は、独自の構築と分析のためのものです。いくつかの興味深い暗号化プロトコルに非常に役立つツール。
次に、主に次のセクションに分かれています。

記事ディレクトリ@xyi

- 第20章ゼロ知識でのプロパティの証明[ゼロ知識でのプロパティの証明]
- - 20.1言語と実存的健全性
  - 20.2暗号化されたデータのプロパティの証明[暗号化されたデータのプロパティの証明]

次に、具体的な紹介を始めます。

20.1言語と実存的健全性

        この章では、主に、有効な関係（有効な関係R）に関連する真のステートメントの言語を定義します。この概念は、一連のステートメント（関連する証人を持つステートメント）にすぎません。後で、シグマプロトコルの「実存的健全性」の概念も定義しました。この概念は、検証者に誤ったステートメントを受け入れさせることは、どの証明者にとっても実行不可能であることを意味します。（たとえば、証人のいない証明者）。この概念と「知識の健全性」の違いは、この概念では、いかなる種類の証人抽出も必要ないということですが、「知識の健全性」は「存在する健全性」を意味することを知っておく必要があります。
    次に、たくさんの定義を紹介します。「言語」という用語は、複雑さの理論に由来します。
xyi
    この章では、Rと言語LRの間に多くの興味深い関係があります。これは、前の章の例であり、次の関係を持つSigmaプロトコルのChaum-Pedersenプロトコルを確認しています。
ここに画像の説明を挿入

その中で、言語LRはこの関係Rによって定義されます。これはすべてのDHトリプル（u、v、w）のセットです。
次に、次の攻撃ゲームの定義を適用する「実存的健全性」の概念を定義します。
ここに画像の説明を挿入

上記の攻撃ゲーム20.1を説明するために写真を使用してください：
ここに画像の説明を挿入

    その中で、敵が勝つことができる条件も非常に明確に説明されています。つまり、V（y）出力は受け入れられ、yはLRに属していません[LRのyは実際のステートメントyです]; ESadv [A、II]定義にあります説明もあります。
定義20.2：すべての有能な攻撃者Aにとって、そのシグマプロトコルIIが「存在的に健全」である場合、ESadv [A、II]は無視できます。つまり、攻撃者はそのようなyを見つけることができず、チャレンジャーが検証、それが受け入れる出力する。
ここに画像の説明を挿入
    定理20.1：これは主に、このシグマ・プロトコルは、「知識健全性」を提供することができれば、それは「extentially健全性」でなければならないことを述べている次のように証明の導入である：
ここに画像の説明を挿入
    この定理の証明は、内上記の英語説明はすでに非常に明確であり、定理は次の章で直接引用されます;しかし、上記の定理について明確でない場合は、以下でさらに説明します。知識の健全性の再導入は次
ここに画像の説明を挿入
    のとおりです。知識の健全性が明確になった後、上記の定理20.1を導入して、導入を証明します。シグマプロトコルIIが「存在する健全性」であることを証明する場合は、次のことを証明するだけで済みます。あなたはそのようなものを見つけることができませんそれは実際の関係のステートメントに属していません、つまり、そのようなyについては、証人の対応はありません];しかし、シグマプロトコルIIが「知識の健全性」である場合、与えられたyと2つは受け入れ可能ですy（t、c、z）と（t、c '、z'）の対話。つまり、ステートメントyに対応する証人xを出力できるExtアルゴリズムが常に存在します。
    その論理を逆にすると、事実を簡単に知ることができます。シグマプロトコルIIが「知識の健全性」である場合、つまり、対応する証人xがなければステートメントyはありません。つまり、これができないことを証明していることは明らかです。 LR関係のステートメントyに属します。つまり、「存在的に健全」です。

20.2暗号化されたデータのプロパティの証明[暗号化されたデータのプロパティの証明]

     このセクションでは、主に「存在する健全性」の性質を説明するために一連の例を示します。これらの例は、暗号化されたデータの証明の性質に焦点を当てています。
     多くのアプリケーションでは、次のシナリオが表示されます。アリスはボブの公開鍵を使用してmを暗号化してcを生成します。次に、アリスはサードパーティのチャーリーに証明したいと考えています（サードパーティはcのみを認識でき、mは認識できません）。この暗号化された平文mいくつかの特定の特性を満たしますが、平文mに関する情報をチャーリーに公開することはできません。
    「存在的に健全」で「特別なHVZK」であるシグマプロトコルはこのタイプの問題を解決できますが、このプロトコルはこの問題を完全に解決することはできません。理由は、HVZKの性質はチャーリーが検証プロトコルに正直に従うmに関する情報がチャーリーに漏洩しないようにするため。
    この問題を解決する別の方法は、セクション19.6.1と同じアイデアを使用して、対話型認証プロトコルを署名に変換することです。[前に記入します]、この方法については、次のセクションの概要で詳しく説明します。主にいくつかの興味深く重要なケースを見てください。これらのケースは、Sigmaプロトコルを使用して暗号化されたデータのいくつかのプロパティを証明する方法を示すことができます。
例20.1（等しい平文[同じ平文]）：
ここに画像の説明を挿入
    この場合のおおよその意味は次のとおりです。アリスは平文mをボブの公開鍵u0とビルの公開鍵u1で暗号化して、異なる暗号文（v0、e0）と（V1、e1）を生成します。そして今、アリスはチャーリーに、ボブとビルに送信したメッセージが実際に同じメッセージであることを証明したいと考えています。私たちのケースでは、主にSigmaプロトコルを使用して暗号化されたデータの一部を証明しています。

ここに画像の説明を挿入