AM(poly n)=AM=UE=UE(poly n)=IP=PSPACE
情報を開示しても秘匿しても証明能力の上限に違いは生まれない。
1. 情報の開示と秘匿による証明能力の等価性
AM, Arthur-Merlin game or User-Expert game
検証者(アーサー)が用いるランダムな情報(コイン投げの結果など)を証明者(マーリン)にすべて公開する「公開コイン」のモデル(AM)であっても、それを隠し持つ「秘密コイン」のモデル(IP / UE)であっても、最終的な証明能力(対話型証明で認識できる問題のクラス)には何の違いも生まれないことが証明されています。1986年にGoldwasserとSipserは、秘密コインを用いた任意の長さの対話型証明システムが、公開コインを用いたシステムに変換できることを証明しました。これにより、「検証者が情報を秘匿すること」自体は、システムが解ける問題の限界を拡張するものではないことが確定しました。そしてこれは何度AMというゲームを繰り返しても、何度UEというゲームを繰り返しても、その効果は変わらないことも証明されています。AM(k)=AM(k+1)=MA(k+1), k≥2
AM(poly n)=AM=UE=UE(poly n)=IP=PSPACE
2. ゼロ知識証明(ZKP)
一方、ZKPの原点は「検証者が自分のランダムな情報を隠すこと」ではなく、逆の立場である証明者が自身の持つ『秘密の知識(証拠)』を一切検証者に漏らすことなく、命題が真であることを納得させることができるかという問いから始まりました。
ZKPの概念は、Babaiの論文と同時期の1985年に、Goldwasser、Micali、Rackoff(GMR)の論文「The Knowledge Complexity of Interactive Proof-Systems」によって初めて導入されました。 彼らは、定理を証明する際にやり取りされる「知識の量」を定量化する「知識計算量(Knowledge Complexity)」という概念を提唱しました。そして、証明者の秘密情報を全く知らなくても、やり取りの記録を本物そっくりに偽造できる「シミュレータ」と呼ばれるアルゴリズムが存在する場合、検証者は「命題が真であること」以外の知識を一切得ていない(知識計算量がゼロである)と定義しました。 これがゼロ知識(Zero-Knowledge)の原点です。
ZKP(最小限の情報しか伝えない対話型証明)が最初に提唱されたGMRのモデルでは、当初、検証者(User)が最初のランダムな選択を証明者(Expert)から秘匿する「秘密コイン」のゲームとして定式化されていました。公開コインであっても、秘密コインであっても検証可能性には違いがないという、より厳密な狭義のゲームでZKPが証明されています。
- ZKPの誕生: 証明者が秘密を漏らさないための「知識計算量」と「シミュレータ」の概念が発明され、そのモデルの中で検証者の情報を秘匿する手法が使われた。
- 能力の等価性の証明: その後(1986年)に、実は「検証者の情報を公開しても秘匿しても、証明システムとしての能力の上限は同じである」ことが判明した。