两个素数积的ZKP

Question

我很难理解零知识的直觉--从下面的纸中得到这个证明。

证明是2轮，验证者要求证明器提取二次残差的平方根。

我读过HVZK的证明(如下图所示)，我同意你可以出示一份像普通证据一样分发的成绩单，但我仍然无法理解以下这一简单事实：

• 没有见证(因式分解)，就无法提取平方根模N。
• 当证明通过菲亚特-沙米尔变换转化为NIZK时，证明器在证明中以其原始形式记录平方根，因此验证者学习它以前无法单独计算的群中数字的平方根。

这不是“知识”泄露吗？

在此之前，非常感谢您。

Answer 1

因此，验证者在组中学习数字的平方根，而它以前不能单独计算。

用菲亚特-沙米尔变换，这些根将是随机数的.通过随机抽样x和计算x^2 (模N)，学习者可以很容易地计算出这些值。此分布与在协议中给出的(\sqrt{x},x)对是不可区分的。