Да. Сноска удалены.


Удалены.


Обнаружение фактических 3 квадратов для конкретного случайного целого числа может получить слишком дорого на этих битовых уровнях. Некоторые из них (возможно все) алгоритмов требуют факторинга (или аналогичных расходов), и это не очень удобно для пользователя, чтобы иметь фактор 252-битовые числа, чтобы сгенерировать выходную транзакцию (независимо от масштабируемости монетки сети). Я буду делать больше фона чтение, чтобы увидеть, если есть лучшая альтернатива.

Хуже того, даже если 3 точные квадраты найдены, один из трех квадратных корней, вероятно, оказывается очень мало (меньше, чем 32 бита). Ни один из корней не ослеплены для доказательств для работы; они должны быть фактическими обязательствами. Тогда либо испытатель должен генерировать новое случайное число и запустить большое целое факторинга снова (и снова ...), или злоумышленник будет знать, что один из 3-х совершенных значений дешево ломаться. Тогда самый маленький квадрат может также быть открытым текстом и сохранить 50% накладных расходов в любом случае. Чтобы решить эту проблему, [38] предлагает использовать вероятностную систему ECC вместо детерминированного, которая удваивает стоимость всех обязательств (хотя, вероятно, какие-то новые методы, чтобы подтолкнуть часть стоимости обратно вниз), вводит необходимость в дополнительном явные доказательства равенства и другие сложности.


Там хороший шанс, что первое случайное число будет просто работать.

Если нет, то все эвристический делает: два квадратных корня, два квадрата, один разница, один сложение и два сравнения. Простые сверхбыстрые опс повторить. Ничего подобного факторинга, и гораздо меньше работы, чем один ECC умножения.


У него есть много решений, так как есть много больше числа близких (до А) до суммы квадратов, чем целые числа, которые на самом деле суммы квадратов. Есть также много больше суммы квадратов, чем есть квадраты. Простой способ думать об этом, чтобы установить А = 1, и посмотреть, как суммы квадратов может работать с ним (4 + 9 + 1 = 14, 9 + 16 + 1 = 26, 4 + 16 + 1 = 21, 16+ 25 + 1 = 42, 4 + 25 + 1 = 30, ...), и что это ограничено только модулем системы.

Доказательство точно, насколько хорошо [sum_of_two_squares, sum_of_two_squares + п] охватывает целые числа было бы хорошо включить в работе (она также может помочь калибровать лучше верхний предел для А), но трудно придумать.


Цель в этих источниках, чтобы обеспечить доказательство для очень конкретного целого, они не имеют никакого выбора, чтобы отказаться от проблемы высокого уровня. Для применения в сделках с пухом ослеплением, ССТ не ограничивается таким образом, и может просто выбрать другое случайное число на уровне выходного сигнала. Это на самом деле то, что делается на низком уровне во многом NIZKP малой величины. Это делается в NIZKP источника [38] сам, в разделе 4.22.2, заголовок "ZK-доказательство членства в столь расширенном интервале." Если случайная ж не работает, алгоритм просто пытается другой вес, пока не удается. Это не обязательно ослабит систему, хотя, как вы упомянули, бремя доказывания лежит на официальном документе. Я думаю, что решение вашей точки 4 достаточно.

Кроме того, в соответствии с моим ответом на пункт 3, в детерминированной системе ECC, используя фактические трех квадратов можно выявить наименьшее из них.