密码学中证明系统的简介(一)

交互式证明系统的诞生

本文章从传统的数学证明系统入手，介绍了相关的基础知识。然后指出传统的数学证明系统存在的不足，在其基础上，交互式的证明系统在密码学领域被提出。最后，本文章对交互式证明系统进行了系统的介绍。 传统数学证明系统/非交互式证明系统

在数学学习中，我们证明一个推论或者断言T的主要形式如下：
证明目标：T
证明过程：断言T的证明是可以有一个机器生成的(可能不是很高效—全搜索方法)
$$A_1,A_2,....,A_k,A_k+1,....,A_i,....,A_n=T$$
证明验证：所有的数学证明都可以写成图灵机可读的算法，最后即可验证证明的正确性。形式化一点，即若$M$是一个高效的机器，则它能验证给定的断言T的数学证明$proof$：
$$M(T,proof)=1，如果T是正确的$$
$$M(T,proof)=0，如果T是错误的$$
值得注意的有两点：
1：$A_1,A_2,....,A_k$是公理序列。
2：后面的$A_{k+i}$是从前面的公理序列中的两项按照数学推理规则推导出来的。
数学证明特点:证明困难，验证容易。

例 1：断言：N是两个素数的乘积。
证明：素数p和q.
验证：检查N=p*q。

下面，我们以算法的角度来看数学证明系统：
系统中有两个不同能力的机器：P,V
证明者Prover(P):一个无限制的机器/算法，可以看作天才。
验证者Verifier(V):一个多项式时间的机器/算法，可以看作普通人。

完备性：如果断言T和证明w都正确，则验证者接受证明者的本次证明w。
合理性：如果断言T错误,则验证者拒绝证明者所有的证明。
注意:该类证明系统通常被称为NP证明系统。且由于验证者的能力是多项式时间的，故断言T和证明w都应该是多项式的。

定理：若一个语言L$\subseteq$NP类当且仅当L有一个上面对应的证明系统。
根据复杂性理论中的基本知识，我们有下面关于NP类的定义：
NP类：一个语言L$\subseteq$NP,如果存在一个多项式二元关系$R_L$和一个多项式p(n),使得$x\in L$当且仅当存在一个$y$有$R_L(x,y)=1$,其中$|y|\le p(|x|)$。
结合上面NP类的定义和NP证明系统，简单地说明一下上面定理的正确性。将NP类中的定义对应到NP证明系统，有：
断言T：$x\in L$
证明w：$y$ ,st $R_L(x,y)=1$

传统的数学证明系统/NP证明系统的两大特性：
1：因为验证者是多项式时间的算法，故$proof$不得不很短。
2：验证者通过证明者提供的证明$proof$可以获得一定的信息。

交互式证明系统
由于NP证明系统的两大特性，因此其在密码学中并不适用。1985年，Goldwasser、Micali和Rackoff将交互性和随机性引入到传统的NP证明系统中，提出了交互式证明系统。

交互式证明系统：一对交互型的图灵机对$(P,V)$被称作一个对于语言$L$的交互证明系统，则其必须满足以下条件：
1：$V$是一个多项式时间的图灵机。
2：(近似)完备性：对于$x\in L$,
$$Pr[(P,V)(x)=1]>1-negl(n)$$
3：(近似)合理性：对于$x\notin L$和任意的证明者$P^{\ast }$,
$$Pr[(P^{\ast },V)(x)=1]<negl(n)$$

其中，我们用$(P,V)(x)$来表示验证者$V$在执行完上述协议后的输出。

由于交互性和随机性的引入，因此系统也具有了下面的相关性质：

非交互式证明系统(NP证明系统)	交互式证明系统
完备性	（近似）完备性
合理性	（近似）合理性