单定理自适应与非自适应非交互式零知识证明

Question

我试图理解非交互式零知识协议(NIZK)。但是，我遇到了单定理自适应和非自适应NIZK协议.根据我的理解，

在自适应NIZK协议中，仿真器($S$)分为两个阶段($S_1，S_2$)，第一阶段生成公共参考串，第二阶段使用第一阶段生成的公共参考串生成输入的证明。

在非自适应NIZK协议中，给定输入，仿真器输出公共参考字符串和证明.

这种理解是正确的吗？

有什么方法可以隐藏一个非自适应的NIZK协议来适应NIZK？

单定理和多定理NIZK有什么区别？

Answer 1

在我看来，“适应性NIZK”一词似乎不明确。你在哪里碰到的？如果你给我上下文，我可能会告诉你它在这个上下文中的意义。

具体来说，适应性NIZK可指：

• 具有自适应稳健性的NIZK，其中恶意验证程序首先接收crs作为输入，然后生成一个单词和一个证明，如果该单词不是在语言中而该证明被接受，则获胜；
• 具有自适应零知识的NIZK，与您所提到的相匹配:模拟器分为两部分，首先返回一个模拟的crs，然后输出模拟的证明；
• NIZK在UC模型中对自适应对手进行安全保护，这是比较复杂的。

假设你指的是“自适应零知识”，我不认为有任何普通的方法可以将非自适应的NIZK转化为自适应的NIZK；事实上，从标准假设(我们所拥有的那些来自非标准的“指数型知识”假设，或者只满足一个较弱的性质，称为自适应过失性)构建自适应完美的NIZK参数是一个开放的问题。

关于您的第三个问题，我不知道是否有使用非自适应NIZK的组签名。

对于最后一个问题，在单个定理NIZK中，零知识属性只有在crs生成后发送一个证明的证明器才能得到保证，为了执行更多的证明，必须生成新的crs。否则，crs的长度必须与与此crs一起执行的证据数量的界限成比例。相反，在多个定理NIZK中，同样的crs可以重复使用任意(多项式)次数来生成证明。有一个从单定理到多定理的泛型转换，它只使用单向函数，参见本论文。

Answer 2

我首先要说的是，ZK证明的交互性实际上与适应性的概念没有任何关系。

其次，自适应模拟器首先提供验证者和验证者之间的谈话记录，验证者在协议中的任何一点上都可能是诚实的或恶意的。第二部分是解释，这份成绩单也可能来自一个证明者和验证者之间的谈话，他们总是诚实的。