Biaya komunikasi minimum untuk bukti nol pengetahuan tiga warna

Bukti Goldreich et al. Bahwa tiga warna memiliki nol bukti pengetahuan menggunakan komitmen bit untuk seluruh pewarnaan grafik di setiap putaran [1] Jika grafik memiliki simpul dan tepi e , hash aman memiliki b bit, dan kami mencari probabilitas kesalahan p , total biaya komunikasi adalah$n$$e$$b$$p$

lebih dari putaran. Menggunakan secara bertahap mengungkapkan pohon Merkle, komunikasi total dapat dikurangi menjadi O ( b e log n log ( 1 / p ) ) pada biaya meningkatkan jumlah putaran untuk O ( log n ) .$O(1)$$O(be \log n \log (1/p))$$O(\log n)$

Apakah mungkin melakukan lebih baik dari ini, baik dalam hal komunikasi total atau jumlah putaran?

1. http://www.wisdom.weizmann.ac.il/~oded/X/gmw1j.pdf

Sunting : Terima kasih kepada Ricky Demer karena menunjukkan faktor yang hilang dari .$e$

Jadi, inilah kertas yang tepat untuk tujuan saya:

Joe Kilian, "Catatan tentang bukti dan argumen nol-pengetahuan yang efisien." http://people.csail.mit.edu/vinodv/6892-Fall2013/efisienargs.pdf

Untuk mendapatkan hasil terkuat, kita perlu menerima nol argumen pengetahuan daripada bukti (prover terikat secara komputasi); ini adalah apa yang saya tertarik tetapi tidak tahu terminologinya.

Dengan asumsi asumsi kriptografi yang cukup, makalah ini tidak memberikan argumen pengetahuan dengan komunikasi total untuk c = O ( 1 ) .$O(b \log^c n \log (1/p))$$c = O(1)$

Hasil ini diperketat menjadi putaran oleh Ishai et al., "Tentang PCP Tanpa Pengetahuan yang Efisien", http://www.cs.virginia.edu/~mohammad/files/papers/13%20ZKPCPs.pdf .$O(1)$

Pembaruan : Jawaban ini sudah usang oleh jawaban saya yang lain, dengan batasan polylogarithmic sepenuhnya dari referensi yang sesuai.

Setelah dipikir-pikir, tidak perlu mengungkapkan pohon Merkle secara bertahap, sehingga versi komunikasi yang lebih rendah tidak memerlukan putaran tambahan. Langkah-langkah komunikasi adalah

1. Prover P mengacak pewarnaannya, mengubahnya menjadi pohon Merkle (asin), dan mengirimkan root ke verifier V.
2. $e$
3. $e$

$O(be \log n \log (1/p))$$O(1)$

$2^a$$b$$2^{a+1}-1$$b$

Di babak pertama, prover hanya mengirim nilai root, yang tidak memberikan informasi karena hash dengan nonce root. Pada ronde ketiga, tidak ada informasi yang disampaikan tentang simpul yang tidak diperluas dalam pohon biner, karena simpul seperti itu di hash dengan nonce pada simpul itu. Di sini saya mengasumsikan bahwa prover dan verifier keduanya terikat secara komputasi dan tidak dapat menghancurkan hash.

Sunting : Terima kasih kepada Ricky Demer karena menunjukkan faktor yang hilang dari e$e$

Ada lonjakan baru-baru ini dalam aktivitas dalam argumen tanpa pengetahuan interaktif non-interaktif singkat. Diketahui bagaimana misalnya membangun argumen NIZK untuk Circuit-SAT di mana panjang argumen adalah jumlah elemen grup yang sangat kecil (lihat Groth 2010, Lipmaa 2012, Gennaro, Gentry, dll, Eurocrypt 2013, dll). Berdasarkan pengurangan NP Anda kemudian dapat dengan jelas membangun argumen untuk 3-colorability dengan komunikasi yang sama.

Tentu saja ini adalah model yang berbeda dibandingkan dengan pertanyaan awal Anda - misalnya, dalam argumen tersebut, panjang CRS linear dalam ukuran sirkuit, dan dalam beberapa hal dapat dianggap sebagai bagian dari komunikasi (meskipun dapat digunakan kembali dalam banyak argumen berbeda).

(Ini tidak cocok dengan komentar.)

Saya pikir saya sekarang melihat bagaimana menunjukkan bahwa pengasinan Anda tidak serta merta memberikan
pengetahuan nol yang jujur.$\:$$H_0$$\:$
$H_0$$H_1$$H_0$
$H_1$$H_0$
$||$$\:$$H_2$


$x$$z$$\; ((3\hspace{-0.05 in}\cdot \hspace{-0.05 in}b)\hspace{-0.03 in}+\hspace{-0.02 in}6)$$\;$$y$
$m$$\;\;\;\;\; m \:\: = \:\: x\:||\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:y\:||\:z \;\;\;\;\;$,
Salah satu memiliki$\;\;\;\;\; H_2(m) \;\; = \;\; x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:z \;\;\;\;\;$



$x$$r\hspace{-0.02 in}$$m$$x$$r\hspace{-0.02 in}$$m$
$\;\;\;\;\; H_2(m) \:\: = \:\: x\:||\:\:111...[b\text{ of them}].\hspace{-0.04 in}.\hspace{-0.04 in}.111\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:x \;\;\;\;\;$



$m$
$H_2(m) \:\: =$
$[b\hspace{-0.04 in}+\hspace{-0.05 in}3 \text{ bits whose values don't matter}]\:||\:H_{\hspace{-0.02 in}1}(m)\:||\:[3 \text{ bits whose values don't matter}]\;\;\;\;\;$.


.

$H_1$$H_2$$H_1$$\:$$H_1$
$H_0$$\:$$H_0$$H_2$


$1/(2^{(b-1)})$