高效证明者的统计零知识证明：格问题和其他.doc

PAGE PAGE 13 高效证明的统计零知识证明：格问题和其他 摘要：我们构造几个高效证明的统计零知识证明，比如验证者策略在给定一个NP证人一个输入字符串的概率多项式时间内运行。 我们的第一个证明系统是最短向量问题（SVP）和最近向量问题（CVP）的近似版本，在格中证人分别是一个简单的短向量或者是接近于目标的格向量。我们的证明系统实际上是知识的证明，结果，我们立刻获得了高效的基于格的身份验证方案，这个方案能够在近似SVP或CVP是困难的情况下，利用格的任意家族来实现。 然后，我们转向一般问题，中的所有问题是否承认高效证明的统计零知识证明。为此，我们给出一个统计零知识证明系统，它是对于统计差值的一个自然限制的一个高效证明，以及对于SZK的一个完全问题。我们也提出了一个合理的方法来积极的解决一般的问题。 1 引言 在【1】中介绍了零知识证明系统，它们已经被证明对于构造密码学协议是一个强大的工具。从复杂性理论的角度来看，它们也被证明是研究的一个丰富的对象。在本文中，我们关注统计零知识证明（SZK），它是零知识的形式，提供了最强大的安全保障，及其复杂理论研究在近几年也是最积极的。最近大量的理论研究和涉及证明效率的SZK的密码学适应性之间的一个显著差距，即验证者是否在多项式时间内被实现（给定一些辅助信息）。这个属性对于被应用在密码学协议中的一个零知识证明是非常关键的，但是许多理论结果忽略了这个问题。对于SZK的证明效率在过去被考虑，导致了Bellare和Petrank【2】的结果，任何一个SZK证明系统容许一个证明在给定一个NP预言的概率多项式时间内运行。然而，效率的概念对于密码学是不充分的，因为NP预言不能被有效的实现。在密码学应用中，想让证明在给定只有一个输入字符串（来自一些NP语言）和一个NP证明（“密钥”）的概率多项式时间内运行，这里。我们称具有这种属性的一个证明系统是一个有高效证明的一个证明系统。（这些被称为证明实用性证明系统【3】。）许多经典完备的和统计零知识证明系统有高效的证明，但并不是所有问题在中已知有这样的证明系统。事实上，它依然是一个有趣的开放问题来特性化具有高效证明的统计零知识证明的这类问题，并且扩展有关统计零知识已知的结果到这类问题中。 在本文中，我们构建高效证明的统计零知识证明，对于前面的几个问题没有已知这样的证明。我们首先在格中做对于最近向量问题（CVP）和最短向量问题（SVP）的近似版本。这些证明系统直接产生基于这些问题困难性的高效的身份验证方案。我们的方案的一个有趣属性是允许我们使用任意的格（其中CVP和SVP是困难的），这从效率和安全的观点来看，都给了潜在的优势；例如，在格中不需要嵌入一个“限门基”。然后对于统计差值的一个自然限制，我们构建具有高效证明的统计零知识证明，它被看作SZK的一个完全问题。我们认为后者结果作为朝着有高效证明的统计零知识证明这类问题的特征的进展。 1.1 统计零知识 零知识证明系统是一个声明的协议，这个协议是通过一个计算地无界的证明者能够说服一个概率多项式时间的验证者，即一些字符串是一些决策问题中的一个YES实例。零知识属性要求验证者从交互中“什么也没学到”，除了声明被证明是正确的这个事实。在一个统计零知识证明系统中，安全性对于双方都是非常强大的。特别地，它保存即使是关于计算地无界欺骗证明者或验证者。注意，即使安全性适用于计算地无界方，规定的验证者策略总是被要求是多项式时间。我们之后将讨论验证者的效率。具有统计零知识证明的这类问题被表示为SZK。 除了它的密码学意义，SZK从复杂性理论的角度被证明是相当有趣的。一方面，众所周知它包含重要的计算问题，例如图非同构【4】和二次剩余【1】。另一方面，它包含在类【5,6】中，因此不可能包含NP困难问题。最近，我们发现SZK在补充【7】下是封闭的，并且有自然的完全问题【8,9】。此外，统计零知识证明系统的许多有用的转换已经被给出，例如显示对于诚实验证者的统计零知识的每个证明系统能够被转换为甚至对于欺骗验证者的统计零知识的证明系统。 上述理论的调查集中于SZK的传统定义，即没有计算限制放置在验证者策略中，并且SZK中用的许多操作不保存验证者的效率；事实上，这是内部使用的技术（即，黑盒转换）【11】。然而，我们考虑一个重要的研究方向来克服这个障碍，并且扩展SZK的研究到具有高效证明的协议。特别地，我们能描述SZK拥有有高效证明的统计零知识证明的子类吗？因为高效证明属性仅对NP（实际上MA）和SZK中的问题有意义，它未知的包含在NP中，所以我们不希望所有的SZK有高效证明者。但是在中的所有问题都有高效证明者的统计零知识证明吗？ 1.2 格问题 一个格是中包含一组线性无关向量的所有整数线性组合的一个子集。两个涉及格的基本计算问题是最短向量问