交互证明是否更安全？

Question

给出一个交互式的zk证明，如果我们使用fiat-shamir来使它成为nizk证明，那么这个证明会变得不那么安全吗？

是否有新的攻击矢量被引入？

与非互动式版本相比，是否有理由使用交互式版本？除了双方总是在线

对于交互证明和非交互证明之间的区别，是否有任何复杂的理论评论？

Answer 1

菲亚特-沙米尔启发式假设随机甲骨文模型 使用标准模型中的Fiat-Shamir变换证明了零知识证明是不安全的(1).

这个问题是理论上的零知识证明，不过，因为你需要打破随机预言假设。对于大多数(如果不是全部)依赖于随机Oracle模型的实际方案，没有已知的中断。

Fiat变换的另一个问题是，用于建模随机Oracle的函数可能会被破坏。例如，如果您使用SHA256作为对随机Oracle和SHA256进行建模的函数，那么Fiat转换显然也不安全。

使用非交互式变体也有一个好处。您不需要假设恶意验证器，它们可以在零知识证明中保持诚实，并且仍然可以使用Fiat转换。

1: Shafi Goldwasser和Yael Kalai:关于Fiat-Shamir范式的安全问题。