@river_jpn 通信系列からわかることを超える情報は漏れてない,という言い方でも納得がいきませんか?real, simulation のどちらの通信系列でも検証式を通るという1bitの情報は漏れています.ポイントはどちらの世界でもこれは同じということです.
2013-01-29 07:33:07@sj_green_eyed 証明者が秘密を知っていたことは通信系列を見るだけでなく、検証者のチャレンジに毎回正しく答えてきたという事実が重要になると思うのですが、シミュレーションではこの時系列的な流れが再現されていないのはよいのでしょうか
2013-01-29 12:29:12@river_jpn それは違います。きちんと再現してはじめてゼロ知識性がいえたことになります。シミュレータは任意の検証者をブラックボックスとして用いて通信系列をシミュレートするから、チャレンジに正しく答えるところも再現しています
2013-01-29 13:03:44@river_jpn シミュレータには秘密がありませんが唯一のアドバンテージとしてブラックボックスである検証者を巻き戻す(rewinding)力があるのです。そうすると検証者のチャレンジをあらかじめ予測(guess)することで識別不可能系列を生成できます
2013-01-29 20:40:18@sj_green_eyed 検証者を巻き戻す力があるシミュレータは秘密を知らなくても証明者をシミュレートできる「から」このプロトコルは秘密情報を漏らしていないというこの因果関係が、(なんとなく気持ちはわかるのですが)ちょっとしっくりきません。どう考えればいいのでしょう?
2013-01-29 20:49:59ゼロ知識証明の話に出てくるrewindingという表現が何となく腑に落ちなかったので「前回のセーブポイントのセーブデータからやり直す」と脳内で解釈し直している
2013-01-29 21:34:41というか、rewindingという表現を聞いて、検証者が参照するランダムテープの読み出し状況まで含めて「巻き戻す」ものと勘違いしていたので、「何回巻き戻しても毎回同じ結果が出るのでは?」と不思議に思っていた
2013-01-29 21:40:15@river_jpn 現実世界では秘密をもった証明者が生成した系列があります.かたやシミュレーションの世界では「シミュレータは秘密をもっていません」.そのような世界で生成された系列が識別不可能ということは,
2013-01-29 21:56:47@river_jpn 現実世界の系列は秘密をもってない証明者による系列と*同程度にしか役に立ってない*というこです.
2013-01-29 21:57:09@sj_green_eyed その理由で系列自体は秘密の情報を何も持っていないのはわかるのですが実際のプロトコルでは検証者は系列のほかに証明者が(巻き戻しなしで)正しく答えているという情報も得ていますよね。これにより何か余計な情報が漏れる心配はないのでしょうか(何度もすいません)
2013-01-29 22:08:49@river_jpn まず,どちらの系列でも検証者が納得する(正しく証明者が答えている)系列になっていますから,そこで2つの世界に差はできません.巻き戻しの有無が違いとなりますが,それは検証者にとってはわかりません.真の証明者からくる分布とシミュレータからくる分布が同一だからです
2013-01-29 22:27:40@river_jpn どうやら実際のプロトコルでは証明者が正しく答えているという事実を過度に特別視しているようにみうけられるのですが,シミュレーションの世界でもシミュレータは検証者に対して正しく答えているのですよ
2013-01-29 22:29:22真面目な話をしている中で大変申し訳ないのだが、「(時間を)巻き戻されても気が付かない」という話を聞いて某アニメを思い出してしまった
2013-01-29 22:29:50@river_jpn ところで,納得いくまで質問する姿勢は素晴らしいと思うので,どんどんやってください.
2013-01-29 22:29:56@sj_green_eyed 巻き戻しをされているかされていないかの違いを認識できないとすると、本当に証明者が秘密を知っているかを検証できないことになりませんか?(もしかしたら証明者はこっそり巻き戻しをしているのかもしれないので)
2013-01-29 22:32:42@river_jpn 物理的に巻き戻されてしまうなら,通常のゼロ知識性ではそれは保証できないでしょうね.実際,物理的に巻き戻されたとしてもゼロ知識性を保証する resettable zero knowledge というのがあります
2013-01-29 22:35:13@river_jpn まさにそのとおりで,検証者のチャレンジとして何がくるのかわかっていれば健全性は成り立ちません
2013-01-29 22:37:36@river_jpn まあ初期入力と乱数テープを固定して,まったく同じ動作するようにしておかなければいけませんがね.
2013-01-29 22:38:21Passあたりが「やっぱりrewindっておかしくね」的な話をしていたような気がするのだが何だっけ…concurrentとかだと困るっていう話だったっけ…
2013-01-29 22:40:42@sj_green_eyed 現実世界では「物理的に巻き戻しは不可能である」という暗黙の了解(?)がある部分がシミュレーション世界と違いますよね。この違いによって余計な情報が漏れる心配はないのでしょうか。(例えば元々の目的の証明者が秘密を知っているという情報は洩れていますよね)
2013-01-29 22:40:43@sj_green_eyed ちょっとよくわかってないので変なこと言うかもしれませんが、乱数テープを固定する必要はあるのでしょうか?たまたま当たるまで巻き戻しを繰り返せばいいように思うのですが。
2013-01-29 22:43:50@river_jpn うーむ.秘密を知っているかいないかという1bitの情報を検証式成立の成否に置き換えており,シミュレーションの世界でもその1bitの情報は出ているので,そこで情報量に差はなく,情報が漏れているとはいえないと思うのですが
2013-01-29 22:46:40