为什么以下不是用于离散日志的ZKP？

Question

在阅读教科书ZKP的离散日志之前，我尝试自己构建一个。这与教科书上的完全不同，我一直在想，它可能有什么问题呢？(我无法反驳任何ZKP要求，所以我想我遗漏了一些东西)。

原来的问题是：

给定g,h \in \mathbb{Z}_p^x (g是生成器)，为知道的x \in \mathbb{Z}_p^x提供一个ZKP，从而使g^x=h。

我的建议：

• 验证者选择一个随机的r\in \mathbb{Z}_p^x并将h^r发送到验证器。
• 验证程序返回对g^r的最佳猜测，表示为a。
• 验证者断言a=g^r。

如果验证者确实知道x，那么他将发送：a=(g^{rx})^{x^{-1}}=g^r。

如果验证者不知道x，那么为了从a=g^r知道g^{rx}，他必须求解离散日志为(g^r)^x恢复g^r，即g^x离散日志。

如果验证者是不诚实的，我看不出他如何才能在发现x方面获得优势。

我遗漏了什么？

Answer 1

问得好。请注意，“零知识”不仅仅意味着“不学习x”。这意味着您不应该从协议中学到任何东西(这是用模拟范例形式化的)。

特别是，您的协议不是针对恶意验证器的ZK。这很容易看到，因为验证器可以选择一些任意的组元素f而不是h^r，然后验证器将学习f^{1/x}。这是验证者不应该学习的一些额外信息。