基于仿真的证明:模拟器可以/不能做什么？

Question

我在“密码学的基础”和“有效的两方计算”中看到了一些例子，在这些例子中，模拟器可以做一些在现实世界中各方无法做到的事情，例如：

1. 在“.的基础”页660，硬币抛出协议，模拟器首先接收结果从可信第三方(TTP)，而不发送各方的输入给它。我的问题是，为什么它能够这样做，在真正的议定书中，各方首先交换他们的意见。
2. 在“高效二.”第140页，完全模拟不经意的传输，模拟器：(a)可以接收对手输入的底层零知识，并提取其秘密值。在现实世界的模式中，这是不可能的。(b)仿真器(尽管对零知识使用了一些不正确的输入)使对手相信零知识证明是被验证的，在现实世界模型中是不会出现的。

主要问题:模拟器在模拟真实世界时能做什么，不能做什么？

Answer 1

你的问题有点混乱。首先，区分真实模型和理想模型。理想模型中的对手发送对手的输入并获得其输出(有时还可以根据模型确定诚实方是否获得输出)。我们经常把理想的对手称为“模拟器”，因为这就是我们如何建立安全证明的方法。因此，在硬币抛出的情况下，没有任何一方有投入，模拟器开始获得输出。根据定义，这是允许的。

现在，模拟器通常通过运行现实世界的对手来工作。这里有力量。例如，它可以倒带现实世界的对手，可以查看它的随机磁带，等等。(根据模型的不同，这会变得很复杂。例如，在公共引用字符串模型中，它是不同的。但我们暂时不要谈这个了。)

最后，在混合模型中，还存在其他问题。在此模型中，各方交换消息，但也可以访问受信任方。在仿真该模型中的协议时，模拟器实际上是为对手运行可信方。因此，在ZK-混合模型中，模拟器获得对抗性验证器的输入(其中包括见证)。这是被使用的模型的组合定理所允许的。

这些都不是直截了当的，而且很难靠自己来学习。我建议你在网上看一些视频，它们可能会有帮助。例如，来自2011年年和2015年年的Bar冬季学校涵盖了安全计算，并可能帮助您入门。