下列非交互式零知识集成员协议是否安全？

Question

给定以下零知识集成员协议](https://infoscience.epfl.ch/record/128718/files/CCS08.pdf)。请参阅以下步骤(请参阅第9页)。

1. 验证器

-select表示为\phi的一组元素

-Select x \in_{R} \mathbb{Z}_{p}，并为每个i \in \Phi计算y \leftarrow g^{x}和A_{i} \leftarrow g^{\frac{1}{x+i}}

1. 推动者

-select集合中的一个元素，\phi表示为\sigma

-Select v \in_{R} \mathbb{Z}_{p}和计算V \leftarrow A_{\sigma}^{v}

-Select s, t, m \in_{R} \mathbb{Z}_{p}和计算a \leftarrow e(V, g)^{-s} e(g, g)^{t}和D \leftarrow g^{s} h^{m}

使用fiat-shamir启发式的-computes质询c：c=H(V\|a\| D)

-computes z_{\sigma} \leftarrow s-\sigma c, z_{v} \leftarrow t-v c,和z_{r} \leftarrow m-r c

-sends C, c, a, D, Z_{\sigma}, Z_{v}, Z_{r}致验证器

1. 验证者通过检查以下内容来验证该证据：

D \stackrel{?}{=} C^{c} h^{z_{r}} g^{z_{\sigma}}和a \stackrel{?}{=} e(V, y)^{c} \cdot e(V, g)^{-z_{\sigma}} \cdot e(g, g)^{z_{v}}

下列定理1(证明上述协议的零知识)如下：

“抽取特性意味着，对于任何使V与概率ε一致的证明程序P*，存在一个与P*交互并输出一个证人(σ，r，v)和概率聚(ε)的提取器，而且如果我们假设提取器输入由两个转录本组成，即

\left\{y,\left\{A_{i}\right\}, V, a, D, c, c^{\prime}, z_{\sigma}, z_{\sigma}^{\prime}, z_{v}, z_{v}^{\prime}, z_{r}, z_{r}^{\prime}\right\}

证人可以通过计算：\sigma=\frac{z_{\sigma}-z_{\sigma}^{\prime}}{c^{\prime}-c} ; \quad r=\frac{z_{r}-z_{r}^{\prime}}{c^{\prime}-c} ; \quad v=\frac{z_{v}-z_{v}^{\prime}}{c^{\prime}-c} 获得。

提取器在\left(c^{\prime}-c\right) \text { is invertible in } \mathbb{Z}_{p}“时成功”

我的问题是：

考虑到本文给出的ZKSM和证明，如果我们考虑以下数据的情况

{y,{A_i },V,a,D,c,Z_σ,Z_v,Z_r}是公开的(例如，存储在充当验证者的公共区块链中)。Thus，如果对手能够获得 c^{'} \left(c^{\prime}-c\right) is <#>Z_p_<_，则对手成功地获得了证人(，r，v)，如果他能够获得D36的D37is可逆性的话。是否可以做到？换句话说，考虑到字段can的属性，敌手发现 c^{'} such \left(c^{\prime}-c\right) is可在Z_p中可逆。

Answer 1

阅读最后一句：

一个对手能在一个领域中找到一个像c’这样的c’ - c= 0吗？这来自于字段的定义，无论何时c’ != c

Answer 2

第二个挑战c'和文字记录的第二部分来自于提取器算法，这是知识定义证明的一部分。提取器算法被正式赋予了将验证器倒转到他发送的第一条消息的状态的权力，因此它可以选择另一个挑战。提取器在期望多项式时间内产生的证人是知识定义证明的主要要求。

这种提取器算法的能量倒带看起来很棘手。从实际的角度来看，这可能很难理解。希望人们能把它理解为另一个棘手概念的形式化：“知识”到底意味着什么。

对于一种实用的方法:确保始终在第一步中选择新的随机数，不要重复使用(倒带)。