模拟可提取性是否要求协议中有后门？

Question

据我所知，证明UC安全性的一个特性是模拟可提取性。一个例子是Kosba等人将NIZKs改编成UC模型的文件，但在其构建过程中，证人被加密，密文附在证据后，无论谁持有私钥，谁都可以提取(机密)证人。(还有一个单独的陷阱门可以伪造证据，但对于伪造的证据，提取器不需要工作。)

这是模拟可提取性所需的属性吗？任何UC安全的NIZK系统也会有后门吗？还是我误解了模拟可提取性意味着什么？

链接到Kosba等人预印：http://eprint.iacr.org/2015/1093

Answer 1

可提取性本质上要求持有提取陷阱的一方可以提取证人。因此，在实际协议中，由可信方设置公共引用字符串(CRS)是非常重要的。然而，这种以可信的方式设置CRS的要求不仅针对可提取性，而且还需要其他概念，如可靠性或零知识(例如，参见1，在这种情况下，CRS不是由受信任方建立的，这一事实用于攻击协议)。最终，您可能会注意到，这种可信的设置要求不仅适用于零知识协议，而且适用于每个依赖CRS的协议。

关于UC安全的NIZK部分问题:粗略地说，实现UC兼容的零知识协议需要实现模拟提取。因此，还必须注意CRS是由可信方在协议的实际实例中建立的。

参考资料

1