04、CONSTANT-ROUND CZK PROOFS for NP–Alon Rosen[对于NP的常数轮CZK证明]

这篇博客，是关于第九届BIU密码学冬令营上的内容，这篇博客是第三篇，会持续更新。
也可以在我之前的这篇博客中，去寻找一些关于其它知识点的博客，下面的博客链接是我整个内容的目录博客，如果有其它内容的需要，可以去翻阅，下面是博客地址。
https://blog.csdn.net/qq_43479839/article/details/112946344

下面正式开始第四部分关于NP问题的常数轮CZK的证明：
这节所包含的部分：这主要包括四块，
目录如下：
目标：构建一个证明对于每一个L∈NP，【满足CZK，有可忽略的可靠性和一个常数轮】
要解决的问题：可扩展性[malleability]以及模拟过程中的中断。

4.1 回顾对于HAM的CZK

4.1.1 零知识性质【引入了模拟器】

4.1.2 Parallel repetition【降低soundness error】

存在的问题：V*的给出的挑战询问，变成了长度为k的字符串，b∈{0,1}^k,模拟器的模拟过程其尝试的次数也变成了2^k次【最多需要进行2^k次的重复】
解决方法：验证者预先提交b的承诺d=com(b)

【其中这个soundness中的，如果要保证G_b1,…, G_bk 都是valid，这个概率是2^-k ;这也保证了其可靠性。】

4.1.3 证明者承诺的可延展性

例子：中间人攻击【Man-in-the-middle attack】：即敌手以不同的角色分别执行俩次协议，并试图从其中一次执行中获益，而实现对另一个协议的攻击。例如：在一个承诺方案中，敌手作为接受者收到承诺者对某个字符串的承诺（成为左侧对话），同时作为承诺者与另一个接收者交互，试图伪造一个相关字符串的承诺。若协议能够抵抗中间人攻击，则称为不可延展。
【我们希望是不可扩展的】
但是要满足其不可扩展性，就需要满足一些要求：
1、Com必须是在统计上隐藏的；否则证明者会根据d=com(b)去产生c；一直到之后也可以很自然的产生有效的Dec(G_b1,…,G_bk);
【可扩展性会因为Com的统计上的隐藏性而被防止】

4.2 统计性隐藏的承诺

定义：统计性隐藏承诺满足统计上的隐藏和计算上的绑定。
统计性绑定性（binding）【与计算上的绑定性不同】：对于任意能力无穷大的恶意承诺者C*，在打开阶段C*能够将承诺打开为不同值并且通过验证的概率可忽略。【这个解释来自：微信公众号：包罗万象】

4.2.1 统计性隐藏承诺的例子

例如Pederson就是利用g^m对m进行的隐藏。

4.2.2 零知识（引入模拟器）

最开始：是证明者P向V*发送很多全0的垃圾信息。
【在这个方案中会出现一个问题，就是如果有一个恶意的验证者总是去拒接解除承诺，会出现一些问题，下面会具体展开介绍】

4.2.3 a Naive Simulator【给出当V*拒接去给这个d解除承诺会怎么办】

4.2.4 the Issue 下面是存在的问题：

4.2.5 解决上面问题的办法

4.2.6 更简单的一个方案

4.0 POK[Proof of knowledge]

【解决方法：将c的依赖方由b转变为P控制的b1和V控制的b2？？？；这样V就可以通过改变b2来改变c？？】

ZK和POK的区别

rewind返回的地点不同【有点不清楚】