En la criptografía, una prueba del cero-conocimiento del o el protocolo del cero-conocimiento del es un método interactivo para que un partido pruebe a otro que la declaración de a (generalmente matemática) es verdad, sin revelar cualquier cosa con excepción de la veracidad de la declaración.
Una prueba del cero-conocimiento debe satisfacer tres características: Lo completo : si la declaración es verdad, el verificador honesto (es decir, uno después del protocolo correctamente) será convencido de este hecho por un prover honesto.
Los primeros dos de éstos son características de los sistemas interactivos de la prueba de un más general que el tercero es qué hace el cero-conocimiento de la prueba.
La investigación en pruebas del cero-conocimiento ha sido motivada por los sistemas de la autentificación donde un partido quiere probar su identidad a un segundo partido vía una cierta información secreta (tal como una contraseña) pero no quisiera que el segundo partido aprendiera cualquier cosa sobre este secreto. Esto se llama un " prueba del cero-conocimiento del knowledge". Sin embargo, una contraseña es típicamente demasiado pequeña o al azar ser utilizada escaso en muchos esquemas para las pruebas del cero-conocimiento del conocimiento . Una prueba de la contraseña del Cero-conocimiento es una clase especial de prueba del cero-conocimiento del conocimiento que trata el tamaño limitado de contraseñas.
las pruebas del Cero-conocimiento no son pruebas en el sentido matemático del término porque hay una cierta pequeña probabilidad, el error de la validez del, que un prover de engaño podrá convencer el verificador de una declaración falsa. Es decir son de probabilidad algo que deterministas. Sin embargo, hay técnicas para disminuir el error de la validez a los valores insignificante pequeños.
Una de las aplicaciones más fascinadoras de las pruebas del cero-conocimiento dentro de protocolos criptográficos es hacer cumplir comportamiento honesto mientras que mantiene aislamiento. Áspero, la idea es forzar a un usuario a probar, usar una prueba del cero-conocimiento, que su comportamiento está correcto según el protocolo. Debido a validez, sabemos que el usuario debe actuar realmente honesto para poder proporcionar una prueba válida. Debido a el conocimiento cero, sabemos que el usuario no compromete la aislamiento de sus secretos en curso de proporcionar la prueba. Este uso de las pruebas del cero-conocimiento primero fue utilizado en el papel innovador Goldreich, Micali, y de Wigderson en el cómputo pluripartidista seguro .
Ejemplo
class=" del Podemos ampliar estas ideas a un uso más realista de la criptografía. En este panorama, Peggy sabe un ciclo hamiltoniano para un gráfico grande, G . El vencedor sabe el G pero no el ciclo (e., Peggy ha generado el G y lo ha revelado a él.) Peggy probará que ella sabe el ciclo sin revelarlo. Un ciclo hamiltoniano en un gráfico es apenas unidireccional ejecutar una prueba cero del conocimiento; de hecho cualquier problema NP-completo se puede utilizar, así como algunos otros problemas difíciles tales como descomponer en factores. Sin embargo, Peggy no quiere revelar simplemente el ciclo hamiltoniano o ninguna otra información al vencedor; ella desea mantener el ciclo secreto (quizás el vencedor está interesado en la compra de él pero quiere la verificación primero, o Peggy es la única persona que sabe esta información y está probando quizá su identidad al vencedor). La demostración que Peggy sabe este ciclo hamiltoniano, a ella y al juego del vencedor varios redondos de un juego. al principio de cada redondo, Peggy crea el H, un gráfico isomorfo a G . Puesto que es trivial traducir un ciclo hamiltoniano entre los gráficos isomorfos con isomorfismo sabido, si Peggy sabe un ciclo hamiltoniano para el G ella también debe conocer uno para el H . Ejemplo
El vencedor entonces elige aleatoriamente una de dos preguntas para preguntar a Peggy. Él puede o pedir ella demuestre el isomorfismo entre el H y el G (véase el representar el problema del isomorfismo gráficamente), o él puede pedir que ella demuestre un ciclo hamiltoniano en el H .
Si piden Peggy demostrar que los dos gráficos son isomorfos, ella proporciona las traducciones de la cima que trazan el G a el H . El vencedor puede verificar que sean de hecho isomorfos.
Si piden Peggy probar que ella sabe un ciclo hamiltoniano en el H, ella traduce su ciclo hamiltoniano en el G sobre el H y lo revela al vencedor. Él puede entonces comprobar la validez del ciclo.
Durante cada redondo, Peggy no sabe qué pregunta le harán hasta después de dar el H del vencedor. Por lo tanto, para poder contestar a ambos, el H debe ser isomorfo al G y ella debe tener un ciclo hamiltoniano en el H . Porque solamente alguien que sabe un ciclo hamiltoniano en el G podría siempre contestar a ambas preguntas, el vencedor (después de que un suficiente número de redondos) se convence que Peggy sabe esta información.
Sin embargo, las respuestas de Peggy no revelan el ciclo hamiltoniano original en el G . Cada redondo, vencedor aprenderá solamente el isomorfismo de H s del al G o un ciclo hamiltoniano en el H . Él necesitaría ambas respuestas para un solo H descubrir el ciclo en el G, así que la información sigue siendo desconocida mientras Peggy pueda generar un único H cada redondo. Debido a la naturaleza de los problemas hamiltonianos isomorfos del gráfico y del ciclo (a saber, eso son NP y probablemente no en P), el vencedor no gana ninguna información sobre el ciclo hamiltoniano en el G de la información reveladora en cada uno redondo.
Si Peggy no sabe la información, ella puede conjeturar qué vencedor de la pregunta pedirá y generará un gráfico isomorfo al G o un ciclo hamiltoniano para un gráfico sin relación, pero puesto que ella no sabe un ciclo hamiltoniano para el G ella no puede hacer ambos. Con esta conjetura, su ocasión de engañar a vencedor es el >&minus 2 que hablamos del cero-conocimiento perfecto del si las distribuciones producidas por el simulador y el protocolo de la prueba se distribuyen exactamente iguales. Éste es por ejemplo el caso en los dos ejemplos antedichos. significa que las distribuciones no son necesario exactamente iguales, sino que son el cierre estadístico, significando que su diferencia estadística es la función insignificante . que hablamos del cero-conocimiento de cómputo del si ninguÌn algoritmo eficiente puede distinguir las dos distribuciones. las pruebas del Cero-conocimiento primero fueron concebidas en el 1985 por el Shafi Goldwasser, y otros, en un bosquejo del " La complejidad del conocimiento de la prueba-systems" interactiva;. Mientras que este papel de la señal no inventó sistemas interactivos de la prueba, inventó la jerarquía del IP de los sistemas interactivos de la prueba (el considera el sistema interactivo de la prueba) y concibió el concepto de la complejidad, una medida del conocimiento del de la cantidad de conocimiento sobre la prueba transferida del prover al verificador. También dieron la primera prueba para un problema concreto, de que del cero-conocimiento del cuadrático m de la MOD de los nonresidues que decidía. En sus propias palabras: El problema cuadrático del nonresidue tiene un NP y un algoritmo de Co-NP del, y así que las mentiras en la intersección del NP y del co-NP . Esto era también verdad de varios otros problemas para los cuales las pruebas del cero-conocimiento fueron descubiertas posteriormente, por ejemplo un sistema inédito de la prueba de Oded Goldreich que verificaba que un módulo dos-primero no es un número entero de Blum. El Oded Goldreich, y otros, tomó esta una medida más futura, demostrando que, si se asume que la existencia de la encripción irrompible, una puede crear un sistema de la prueba del cero-conocimiento para el problema de colorante NP-completo del gráfico con tres colores. Puesto que cada problema en el NP se puede reducir eficientemente a este problema, éste significa que, bajo esta asunción, todos los problemas en el NP tienen pruebas del cero-conocimiento. La razón de la asunción es que, como en el ejemplo antedicho, sus protocolos requieren la encripción. Una suficiente condición comúnmente citada para la existencia de la encripción irrompible es la existencia de las funciones unidireccionales pero es concebible que algunos medios físicos pudieron también alcanzarlo. Encima de esto, también demostraron que el problema, el complemento del nonisomorphism del gráfico del problema del isomorfismo del gráfico, tiene una prueba del cero-conocimiento. Este problema está en el co-NP, pero no se sabe actual para estar en el NP o ninguna clase práctica. Más generalmente, Goldreich, Goldwasser y otros se encendería demostrar que, la encripción irrompible también presuntuosa, allí es pruebas del cero-conocimiento para el todos los problemas de en el IP del = el PSPACE, o es decir cualquier cosa que se puede probar por un sistema interactivo de la prueba se puede probar con el conocimiento cero. No teniendo gusto de hacer asunciones innecesarias, muchos teóricos buscaron una manera de eliminar la necesidad de una forma que esto fue hecha estaba con los sistemas interactivos de la prueba del multi-prover del (véase el sistema interactivo de la prueba), que de las funciones unidireccionales tienen provers independientes múltiples en vez de solamente uno, permitiendo el verificador al " cruz-examine" los provers en el aislamiento a evitar ser engañada. Puede ser demostrado que, sin ningunas asunciones de la intratabilidad, todas las idiomas en el NP tienen pruebas del cero-conocimiento en tal sistema Resulta eso en un ajuste de tipo Internet, donde los protocolos múltiples se pueden ejecutar concurrentemente, construyendo pruebas del cero-conocimiento es más desafiador. La línea de investigación que investigaba pruebas concurrentes del cero-conocimiento fue iniciada por el trabajo de Dwork, de Naor, y de Sahai. Un desarrollo particular a lo largo de estas líneas ha sido el desarrollo de los protocolos Testigo-indistinguibles de la prueba . La característica del testigo-indistinguishability se relaciona con la del cero-conocimiento, con todo los protocolos testigo-indistinguibles no sufren de los mismos problemas de la ejecución concurrente. Otra variante de las pruebas del cero-conocimiento es las pruebas no interactivas Blum, Feldman del cero-conocimiento, y Micali demostró que una secuencia al azar común compartida entre el prover y el verificador es bastante para alcanzar cero-conocimiento de cómputo sin requerir la interacción.
Variantes del cero-conocimiento
Diversas variantes del cero-conocimiento pueden ser definidas formalizando el concepto intuitivo de qué es significada por “la salida del " del simulador; mira el like" la ejecución del verdadero prueba protocolo” en maneras diferentes:
el cero-conocimiento estadístico del
Historia y resultados
De interés particular está el caso donde está esencialmente 0 este conocimiento adicional y demostramos que es posible probar recíprocamente que un número es no el cuadrático m de la MOD del residuo que lanza 0 conocimientos adicionales. Se sabe esto es asombrosamente como ninguÌn algoritmo eficiente para decidir al cuadrático m de la MOD del residuosity cuando facturización de s de m la' no se da. Por otra parte, todas las pruebas sabidas de NP del para este problema exhiben la facturización primera del m . Esto indica eso que agrega la interacción al proceso que prueba, puede disminuir la cantidad de conocimiento que se debe comunicar para probar un teorema.
Random links: Siamang | Durex | Estación de metro de Southgate | Grabado del laser | Colinas del banderín, Nuevo Gales del Sur