非交互零知识证明：Fiat-Shamir Transform

非交互证明系统

令$R\subseteq X\times Y$是一个有效关系，那么关于$R$的非交互系统是一个算法对$(Gen,Check)$，定义如下：

1. $Gen$：一个有效的概率算法，形如$\pi {\leftarrow }_{R}Gen(x,y)$，其中$(x,y)\in R$，$\pi \in PS$，这里的$PS$是证明空间（proof space）
2. $Check$：一个有效的确定性算法，形如$tag\leftarrow Check(y,\pi )$，其中 t a g ∈ { A c c e p t , R e j e c t } tag \in \{Accept,Reject\} tag∈{Accept,Reject}。如果$tag=Accept$，我们称$\pi$是$y$的有效证明（a valid proof）。

对于所有的证据声明对$(x,y)\in R$，我们要求$Gen(x,y)$的输出$\pi$总是$y$的有效证明（完备的）。

Fiat-Shamir Transform

令$\Pi =(P,V)$是关于关系$R\subseteq X\times Y$的Sigma协议，并假设会话空间是$T\times C\times Z$。令$H:Y\times T\to C$是一个Hash函数。我们定义Fiat-Shamir non-interactive proof system是算法对$FS-\Pi =(Gen,Check)$，且$PS=T\times Z$，

1. $Gen$：
   1. 输入$(x,y)\in R$
   2. 调用$P(x,y)$，获得承诺$t\in T$
   3. 计算挑战$c:=H(y,t)$，发送给$P(x,y)$，回应$z\in Z$
   4. 输出证明$(t,z)\in PS$
2. $Check$：
   1. 输入$(y,(t,z))\in Y\times PS$
   2. 计算挑战$c\leftarrow H(y,t)$
   3. 调用$V(y)$，判断$(t,c,z)$是否是关于$y$的可接受会话
   4. 输出$V(y)$的返回值 t a g ∈ { A c c e p t , R e j e c t } tag \in \{Accept,Reject\} tag∈{Accept,Reject}

安全性

Unpredictable commitments

令$(P,V)$是是关于$R\subseteq X\times Y$的Sigma协议，会话空间为$T\times C\times Z$。我们说$(P,V)$有**$\delta -$unpredictable commitments**，如果对于任意的$(x,y)\in R$和$t^{\ast }\in T$，在$P(x,y),V(y)$之间的交互产生的会话$(t,c,z)$使得$t=t^{\ast }$的概率至多为$\delta$。如果$\delta$可忽略，那么称$(P,V)$有unpredictable commitments。

Non-interactive existential soundness

攻击游戏：游戏的双方是敌手（as $Prover$）和挑战者（as $Verifier$）。令$\Phi$是一个关于$R\subseteq X\times Y$的非交互证明系统，证明空间是$PS$。敌手$A$的输出是一个声明$y\in Y$以及一个证据$\pi \in PS$

如果$Check(y,\pi )=Accept$，但$y\in L_R$，我们说$A$赢得这个游戏。$A$的 优势（advantage）定义为赢的概率，记为$niESadv[A,\Phi ]$

安全定义：我们说协议$\Phi$是存在性可靠的（existentially sound），如果对于任意的PPT敌手$A$，$niESadv[A,\Phi ]$的测度是可忽略的。

Non-interactive zero knowledge

模拟器（simulator）：假设$\Phi$使用的Hash函数$H:U\to C$以随机预言机（random oracle, RO）的方式运行，那么模拟器是一个可交互图灵机$Sim$，可以接受如下查询

1. unjustified proof query：形如$y\in Y$，$Sim$回应$\pi \in PS$
2. random oracle query：形如$u\in U$，$Sim$回应$c\in C$

攻击游戏：游戏的双方是敌手（as $Verifier$）和挑战者（as $Prover$）。令$\Phi$是一个关于$R\subseteq X\times Y$的非交互证明系统，证明空间是$PS$。假设$\Phi$使用的Hash函数$H:U\to C$以随机预言机的方式运行，模拟器为$Sim$。敌手$A$可以做一系列的询问，

1. justified proof query：形如$(x,y)\in R$，挑战者回应$\pi \in PS$
2. random oracle query：形如$u\in U$，挑战者回应$c\in C$

而挑战者有两种策略，

1. 实验$0$（real world）：选择随机函数$O\in Funs(U,C)$，对于justified proof query调用$Gen(x,y)$，对于random oracle query调用$O(u)$
2. 实验$1$（ideal world）：对于justified proof query询问$Sim$关于$y$的证明，对于random oracle query询问$Sim$关于$u$的挑战

敌手$A$的输出取自 { 0 , 1 } \{0,1\} {0,1}，令$W_b$是$A$在实验$b$中输出为$1$的事件。$A$的 优势（advantage）定义为两种实验的概率差，记为$niZKadv(A,\Phi ,Sim):=|Pr[W_0]-Pr[W_1]|$

安全定义：我们说协议$\Phi$是提供非交互零知识（non-interactive zero knowledge, niZK），如果存在有效的模拟器$Sim$，对于任意的PPT敌手$A$，$niZKadv[A,\Phi ,Sim]$的值是可忽略的。

Fiat-Shamir Transform

• 完备性：Non-interactive Proof System的基本要求。
• 可靠性：$\Pi$是关于$R\subseteq X\times Y$的Sigma协议，$H$是Hash函数，令$FS-\Pi$是利用$H$从协议$\Pi$中派生的Fiat-Shamir非交互证明系统。如果$\pi$是existentially sound的，且$H$是ROM，那么$FS-\Pi$是non-interactive existential sound的。
• 零知识性：$\Pi$是关于$R\subseteq X\times Y$的special HVZK的、unpredictable commitments的Sigma协议，$H$是Hash函数，令$FS-\Pi$是利用$H$从协议$\Pi$中派生的Fiat-Shamir非交互证明系统。如果$H$是ROM，那么$FS-\Pi$是non-interactive zero knowledge的。