零知識性質意味着證據不可區分性

證據不可區分性

定義. （證據不可區分性，Witness Indistinguishability，簡稱WI）記$\Pi = (\mathsf{Setup}, \mathsf{Prove}, \mathsf{Vrfy}, \mathsf{Check})$是與語言$L \in NP$相關的證明協議，對於任意兩個滿足$\mathsf{Check}(x, w_1) = 1 \land \mathsf{Check}(x, w_2) = 1$的證據$w_1$和$w_2$，若以下條件成立，則稱協議$\Pi$滿足證據不可區分性，
$\pi_1 \gets \mathsf{Prove}(\it{crs}, x, w_1) \land \pi_2 \gets \mathsf{Prove}(\it{crs}, x, w_2) \land \pi_1 \overset{c}{\approx} \pi_2。$

ZK意味着WI

定理. （zero knowledge imples witness indistinguishability）記$\Pi = (\mathsf{Setup}, \mathsf{Prove}, \mathsf{Vrfy}, \mathsf{Check})$是與語言$L \in NP$相關的證明協議，若協議$\Pi$滿足零知識性質，則它同時滿足證據不可區分性。

證明. 假設證據$w_1$和$w_2$滿足$\mathsf{Check}(x, w_1) = 1 \land \mathsf{Check}(x, w_2) = 1$，由零知識性質可知，有
$\begin{aligned} \Big| \mathrm{Pr}[ \it{crs} \gets \mathsf{Setup}(1^\lambda) : \mathscr{A}^{\mathsf{Prove}(\it{crs}, x, w)}(\it{crs}) \to 1] - \\ \mathrm{Pr}[ (\it{crs, td}) \gets \mathsf{Sim^1}(1^\lambda) : \mathscr{A}^{\mathsf{Sim}^2(\it{crs, td}, x)}(\it{crs}) \to 1] \Big| \leq \mathsf{negl}(\lambda)， \end{aligned}$
即
$\pi_1 \gets \mathsf{Prove}(\it{crs}, x, w_1) \land \pi_s \gets \mathsf{Sim}(\it{crs, td}, x) \land \pi_1 \overset{c}{\approx} \pi_s，且$
$\pi_2 \gets \mathsf{Prove}(\it{crs}, x, w_2) \land \pi_s \gets \mathsf{Sim}(\it{crs, td}, x) \land \pi_2 \overset{c}{\approx} \pi_s，$
根據不可區分性的傳遞法則，進一步有$\pi_1 \overset{c}{\approx} \pi_2$，證畢。

一個例子

假設函數$f(\omega) = \omega^2+1$，語言$L \overset{\text{def}}{=} \{ \iota : \exists \omega ~ \text{s.t.} ~ \iota=g^{f(\omega)} \}$，其中$g$爲羣$\mathbb{G}$的生成元。

若離散對數問題是困難的，易推$L \in NP$。證明思路如下：給定$\iota$，假設敵手$\mathscr{A}$能夠找到$\omega$，則能計算出$f(\omega)$，從而找到離散對數難題的解，這與題設不符合，故假設不成立，$\mathscr{A}$以可忽略概率找到$\omega$。

$\mathcal{P}$爲了證明它知道$\omega$，可以先計算$x := f(\omega)$，然後運行Schnorr協議證明它知道$x$。

• 易構造出模擬器$\mathsf{Sim}$。
• 若$\mathcal{P}^*$能夠給出有效證明$\pi$，易證它必然知道$\omega^*= \pm \sqrt{x - 1}$。

可進一步推出上述協議是ZKP。

從上述例子中可以得到WI的直觀理解。

Reference

http://www.cs.umd.edu/~jkatz/gradcrypto2/NOTES/lecture21.pdf