论文2023/150

$\mathbb上更高效的零知识协议{Z}（Z）_{2^k}$通过Galois环

摘要

最近一系列关于零知识（ZK）协议的工作采用了基于向量不经意线性函数评估（VOLE）的离线阶段，为具有快速证明和小验证程序内存的可扩展ZK协议提供了一种新的范例。最近，Baum等人（Crypto'23）提出了头部VOLE技术，使此类协议能够公开验证。实现了许多实用有效的协议，用于证明任何Galois域上的电路可满足性，而环$\mathbb上的协议{Z}（Z）_{2^k}$明显落后，只有一个名为Appenzeller to Brie（CCS'21）的概念验证先驱工作和第一个名为Moz$\mathbb的提案{Z}（Z）_{2^k}$arella（Crypto'22）。戒指$\mathbb{Z}（Z）_{2^{32}}$或$\mathbb{Z}（Z）_{2^{64}}$虽然非常重要（它捕获实际编程中的计算和CPU字等计算机体系结构），但也存在一些非平凡的困难，例如，与Galois字段$\mathbb不同{F}（F）_｛2^｛k｝｝$，以$\mathbb为单位的分数{Z}（Z）_{2^{k}}$是$1/2$。在这项工作中，我们首先在$\mathbb的高度Galois环扩展上构造ZK协议{Z}（Z）_{2^{k}}$（接近$1$的单位的分数），然后将其转换为$\mathbb{Z}（Z）_{2^k}$有效使用摊销技术。我们的结果大大改变了~$\mathbb上ZK协议的前景{Z}（Z）_{2^k}$。（1） 我们提出了一个与之竞争的ZK协议，它比最先进的Moz$\mathbb有很多优势{Z}（Z）_{2^k}$槟榔。我们消除了通信复杂性对安全参数的不良依赖性，并在电路尺寸上实现了通信复杂性严格的线性。此外，我们的协议具有更好的具体效率。对于$\mathbb以上电路上的$40,80$位的可靠性{Z}（Z）_{2^{32}}$和$\mathbb{Z}（Z）_{2^{64}}$，我们提供$1.15\次$--$2.9\次$的通信改进。（2） 受最近提出的交互式消息认证代码技术（Weng等人，CCS’22）的启发，我们在$\mathbb上构造了一个恒轮ZK协议{Z}（Z）_{2^k}$具有次线性（在电路尺寸中）通信复杂性，这以前仅在字段上实现。（3） 通过分析Galois环上潜在LPN假设的硬度，我们证明了伪随机相关生成器方法可以有效地实现Galois圈上的VOLE。（4） 我们采用了VOLE-in-the-head技术，使其以$\mathbb的价格运行{Z}（Z）_{2^k}$，在$\mathbb上生成{\em可公开验证}非交互ZK协议{Z}（Z）_{2^k}$保留了基于VOLE的ZK协议的大多数效率指标。