約 5,492,608 件
https://w.atwiki.jp/cryptospace/pages/144.html
A Constant-Round Resettably-Sound Resettable Zero-Knowledge Argument in the BPK model A Constant-Round Resettably-Sound Resettable Zero-Knowledge Argument in the BPK modelはじめにresettable ZK proofs resettable soundness resettable-sound resettable-ZK argument our contribution 定義対話証明システムに対するリセット攻撃cheating検証者V*によるリセット攻撃 定義 (resettable WI) 定義 (resettable ZK) cheating証明者P*によるリセット攻撃 定義 (resettably-soundness) The BPK Model Known ConstructionsA resettable ZK argument a constant-round public-coin ZK argument BGGL コンパイラ構成(BGGLコンパイラ) 定理 (BGGLコンパイラ) 系 (BGGLコンパイラ) A resettable WI argument of knowledge構成(rWI) 系(rWI) Our ConstructionsA conditional commitment scheme定義 (conditional commitment scheme) cheating送信者S*によるリセット攻撃 定義 (resettably-extractability)the resettably-extractable conditional commitment scheme 定理 (resettably-extractabile conditional commitment scheme) 系 (resettably-extractability) A resettably-sound concurrent ZK argument in the BPK model構成(rs cZK)the resettably-sound concurrent ZK argument for L in the BPK model 定理(rs cZK) 系(rs cZK) (rs cZK)⇒ (rs rZK)系(rs rZK) AppendixFormal proof of resettable-extractability Deng-Goyal-Sahai のtransformation [DGS 09] 文献 はじめに resettable ZK proofs the notion of resettable zero knowledge proposed by Canetti et al [CGGM 00] proofs be ZK even if a prover is reset and enforced to use the same random tape on various inputs as many times as an adeversarial verifier wants. motivated by attacks against smart cards, where a stolen card can be reset as many times as an attacker wants. Recent deployment of cloud computing gives the notion new importance, because virtual machines in a cloud are far more easier to reset than real machines in the user s perimeter [RY 10], [Yilek 10]. [CGGM 00] shows that Assuming the existence of 2-round perfectly-hiding commitments, there exist resettable ZK proofs with a polynomial number of rounds for all NP languages. Later, the round complexity is improved to poly-logarithmic number of rounds by [KP 01]. [CGGM 00] also presented the notion of the bare public key (BPK) model. The only requirement in the BPK model is that all verifiers deposit some public-key in a public file before the prover begins the interaction. They constructed constant-round resettable ZK arguments in the BPK model, assuming some sub-exponential hardness assumption. resettable soundness the dual notion, resettably-soundness. proposed by Barak et al [BGGL 01] proofs be sound even if a verifier is reset and enforced to use the same random tape on various inputs as many times as an adeversarial prover wants. Resettably-sound zero-knowledge proofs exist only for languages in non-uniform P. [BGGL 01] Even for arguments, no resettably-sound ZK arguments exist for language outside BPP if the simulator is black-box. [BGGL 01] derived, using the Barak s non-black-box strategy [Barak 01], that constant-round resettably-sound zero-knowledge arguments for NP are possible only assuming collision-resistant hash functions. poly-logarithmic-round, resettable ZK arguments of knowledge exsit for NP assuming the existence of CR hash functions and 2-round perfectly-hiding commitments. Moreover, a constant-round sequentially-sound resettable-zero-knowledge argument exists in the BPK model. Soundenss is divided into four subcategories in the BPK model; stand-alone, sequential, concurrent and resettable soundness. [MR 01] resettable-sound resettable-ZK argument How about simultaneous resettability ? [CPV 04] showed a constant-round concurrent-sound resettable ZK argument in the BPK model assuming some sub-exponential hardness assumption. [DL 08] showed a constant-round concurrent-sound resettable ZK argument in the BPK model only assuming CR hash functions. Recently, [DGS 09] gave a breakthrough a new non-back-box strategy based on the Barak s strategy and showed there exists a resettably-sound resettable zero-knwoledge argument system for all languages in NP (in the plain model), assuming trapdoor permutations and collision-resistant hash function families. Its round-complexity is square in the security parameter. our contribution This paper gives a first constant-round argument for all NP languages in the BPK model that is both resettable-sound and resettable zero-knowledge. First, we construct a constant-round resettable-sound concurrent ZK argument in the BPK model, following the design principle of Deng and Lin [DL 08]. In the course, we define and utilize a new type of commitment scheme, resettably-extractable commitment scheme. It enables a simulator to extract a value comitted to by a cheating committer that can perform resetting attack against a victim receiver. Then, we apply to the constructed argument system the transformation of [DGS 09] from resettable-sound relaxed-concurrent ZK arguments to resettable-sound resettable ZK arguments. That results in a constant-round resettable-sound and resettable zero-knowledge argument for all NP languages in the BPK model. 定義 対話証明システムに対するリセット攻撃 (P, V) NP言語Lの対話証明システム t = poly(n) x = (x1,...,xt) (各xi ∈ L) y = (y1,...,yt) (各yiはxi ∈ Lのwitness) cheating検証者V*によるリセット攻撃 t 個のランダムテープ ω1,...,ωt を選択し、i∈[t]、j∈[t]について、P(i,j) = P(xi, yi, ωj) とする。各P(i,j)を証明者Pのインカネーションと呼ぶ。 V* は P(i,j)達と多項式回のセッションを(シーケンシャルに)実行する。V*は、つぎにどのインカネーションP(i,j)とセッションをもつか適応的に選択できる。 V* は そのview にもとづいて何らかの出力を行い、終了する。この出力を(P(x,y), V*(x)) とかく。 定義 (resettable WI) 対話証明(P, V)がresettable WIとは、任意のcheating検証者V*によるリセット攻撃において、以下の2つのアンサンブルが識別不可能であることをいう: { (P(x,y1), V*(x)) }(x,y1,y2), { (P(x,y2), V*(x)) }(x,y1,y2). 定義 (resettable ZK) 対話証明(P, V)がresettable ZKとは、任意のcheating検証者V*によるリセット攻撃において、あるPPTシミュレータMが存在し、以下の2つのアンサンブルが識別不可能であることをいう: { (P(x,y), V*(x)) }(x,y), { M(x) }(x,y). cheating証明者P*によるリセット攻撃 t 個のランダムテープ ω1,...,ωt を選択し、j∈[t]について、V(j)(x) = V(x, ωj) とする。各V(j)(x)を検証者Vのインカネーションと呼ぶ。 P* は V(i,j)達と多項式回のセッションを(シーケンシャルに)実行する。ただし、P*は、(必ずしもLに属すとは限らない)証明対象x を適応的に選ぶことができ、そのxについて、どのインカネーションV(j)とセッションをもつかも適応的に選択できる。 定義 (resettably-soundness) 対話証明(P, V)がresettably-soundとは、任意のcheating証明者P*によるリセット攻撃において、「いずれかのセッションにおいて、対応するV(j)が、L に属さないxを受理してしまう」確率がネグリジブルである、ことをいう。 The BPK Model 公開ファイル F は、各検証者の公開鍵を記録したレコードの集まり。 証明者Pは、入力として x∈L、そのwitness y、ランダムテープ r および公開ファイルF(と検証者Vの公開鍵のインデックス)を受け取る。 検証者Vは、まず、第1ステージで鍵ペア(pk, sk)を出力し、公開鍵pkを公開ファイルFに記録する。つぎに、第2ステージで、秘密鍵sk、x∈L、ランダムテープ w を入力として、証明者Pとの間でプロトコルを実行し、accept か reject を出力する。 BPKモデルでは、concurrent ZK のシミュレータの構成が容易である。 Known Constructions Our constructionsで用いるknown constructionsについてまとめる。 A resettable ZK argument claw-free permutationsが存在するならば、任意のNP言語に対し、poly-logarithmic ラウンド resettable ZK argument が存在する。[KP 01] BPKモデルでは、衝突困難なハッシュ関数が存在するならば、任意のNP言語に対し、定数ラウンド resettable ZK argument が存在する。[BGGL 01] a constant-round public-coin ZK argument Barak [Barak] により、non-black-box simulatorを用いることで、任意のNP言語に対し、定数ラウンド、パブリックコインの zero-knowledge argument が可能であることが示された。 Barakのプロトコル [Barak] [部品] ハッシュ関数 h {0,1}* → {0,1}n 統計的束縛コミットメント Com 言語Λ = { (h, c, r) ∈ Hn x {0,1}n x {0,1}n | ∃Π, ∃s, z = Com(h(Π);s), Π(z) outputs r within nlog log n/5 steps. } [共通入力] x ∈ L [証明者のローカル入力] witness w [プロトコル] P ← V Send h ← Hn. P → V Choose s ← {0,1}*. Send c = Com(h(0n); s). P ← V Send r ← {0,1}n. P ⇒ V A WI universal argument 『x ∈ L or (h,c,r) ∈ Λ.』 BGGL コンパイラ [BGGL]により、任意のNP言語に関する、定数ラウンド、パブリックコインのargumentは、WI性やZK性を保存したまま、resettably-sound にすることができることが示された。 L 任意のNP言語 構成(BGGLコンパイラ) [部品] 疑似ランダム関数 fs 定数ラウンド、パブリックコインのargument (P,V) for L [プロトコル (P, W)] P P と同じ W 以下を除いてVと同じ: W determines the current round message by applying fs to the transcript so far. (sはWのランダムテープ。) 定理 (BGGLコンパイラ) 部品に示した仮定のもとで、(P, W) は a resettably-sound argument for L. ここで、(P, V) が ZK (resp., WI) ならば、(P, W)もZK (resp., WI) 。 (P, W)が定数ラウンドであることがポイント。 系 (BGGLコンパイラ) Barakの定数ランド、パブリックコイン ZK argument をBGGLコンパイラで変換することで、任意のNP言語に対し、定数ラウンド resettably-sound ZK argumentを得る。 ハミルトニアンの3-round WI argumentをBGGLコンパイラで変換することで、任意のNP言語に対し、3-round resettably-sound WI argumentを得る。 A resettable WI argument of knowledge [BGGL 01]は、上の定数ランドrsZKAを用いて、衝突困難なハッシュ関数が存在するとの仮定のもと、任意のNP言語について、定数ラウンド resettable WI argument of knowledge が存在することを示した。 L 任意のNP言語 構成(rWI) [部品] 疑似ランダム関数 fs 統計的束縛コミットメント Com a constant-round resettably-sound ZK argument of of NP language { (Com(e;r), (e,r)) } a 3-round WI arugment of knowledge of L, with transcript (a,e,z). [共通入力] x ∈ L [証明者のローカル入力] witness w、ランダムテープ (R1,R2) [プロトコル] P ← V Choose a random challenge e for the 3-round WIA. Send Ce ← Com(e). P → V R1* = fR1(Ce). 以下、the 3-round WIA の実行にはランダムテープとしてR1*を使用。 Send the first message for the 3-round WIA to prove x ∈ L. P ← V Send e. Then prove that『e is the string to which Ce was committed』 using the rsZKA with random tape R2. P → V If that proof by V is acceptable, reply z to V. The protocol is a constant-round resettable WI argument of knowldge for L ∈ NP. [BGGL 01] 系(rWI) 衝突困難なハッシュ関数が存在すれば、任意のNP言語について、定数ラウンド resettable WI argument (of knowledge) が存在する。 Our Constructions コミットメントスキームのバリエーションであるconditional commitment schemeを導入する。さらに、リセット攻撃が可能な悪意ある送信者S*に対しても、あるシミュレータがS*のコミットメントからそのコミット対象の値を抽出することのできる、resettably-extractableなconditional commitment schemeを構成する。 この、resettably-extractableなconditional commitment schemeを利用して、resettably-sound concurrent ZK argument in the BPK modelを構成する。 A conditional commitment scheme コミットメントスキームのバリエーション。送信者はコミット対象文字列vのほかに、``条件 xを入力とする。ある言語Lについて、コミットメントの秘匿性はx∈Lのときのみ、また束縛性はx not∈Lのときのみに保障される。 定義 (conditional commitment scheme) 対話的チューリング機械の組(S, R)が言語Lを条件とするconditional commitment schemeとは、 (Correctness) ∀v∈{0,1}n, ∀x∈{0,1}n, Pr[ (d, c) ← S(v,x),R(x) , (-, v ) ← S(d),R(c) v =v] = 1. (Conditional Hiding) ∀R* a non-uniform PT cheating receiver, ∀x∈L∩{0,1}n, Pr[ (v0,v1,s) ← R*(x), b ← {0,1}, (-,b ) ← S(vb,x),R*(s) b =b ] ≦ 1/2 + ε(n). (Conditional Binding) ∀C* an efficinet cheating sender, ∀x ∈ {0,1}n s.t. x not ∈ L, Pr[ ((d1,d2,c) ← S*(x), R(x) , (-, v1) ← S*(d1), R(c) , (-, v2) ← S*(d2), R(c) v1 ≠⊥, v2 ≠⊥, v1 ≠v2 ] ≦ ε(n) cheating送信者S*によるリセット攻撃 t 個のランダムテープ ω1,...,ωt を選択し、j∈[t]について、R(j) = R(ωj) とする。各R(j)を受信者Rのインカネーションと呼ぶ。 S* は R(j)達と多項式回の、Lに属さないxを条件とする、コミットメントフェーズのみのセッションを(シーケンシャルに)実行する。ただし、S*は、コミットメント対象vと条件x(not∈L)を適応的に選ぶことができ、そのv, xについて、どのインカネーションR(j)とセッションをもつかも適応的に選択できる。同じ、R(j)が同じv,x(や異なるv,x)について何度選ばれてもよい。 定義 (resettably-extractability) 言語Lを条件とする条件付コミットメントスキーム(S,R)がresettably-extractableであるとは、リセット攻撃を行う、任意のcheating送信者S*に対し、あるリセッタブルエクストラクター (view, extracted_values) ← E(1n) が存在し、Eの出力するviewは、S*のreal viewとcomputationalに識別不可能で、Eの出力するextracted_valuesは、viewにおいてS*が(Lに属さないxを条件として)コミットを完了したすべての値からなるリストである、ことをいう。 the resettably-extractable conditional commitment scheme 部品 NP言語 L 疑似ランダム関数 F a one-way permutation f with a hardcore predicate h a (computationally-hiding statistically-binding) standard non-interactive commitment scheme Com a ZAP (two-round public-coin witness indistinguishable proof [DN 00]) a (stand-alone) ZK argument a resettably-sound ZK argument 入力 Sの入力:条件 x (∈{0,1}n), 値 v (∈{0,1}n), ランダムテープ ωS Rの入力:条件 x, ランダムテープ ωR プロトコル: コミットフェーズ: S → R Select a one-way permutation f. Select a random string r1 of length n2 and commit to it c1 ← Com(r1). Generate a first-round message σS of a ZAP. Commit to its (unused part of) random tape ωS cS ← Com(ωS). Send f, c1, cS, σS. S ← R Compute ωR* = FωR(x, f, c1, cS, σS). Select a random string r2 of length n2 from ωR* and commit to it using ωR* as random tape c2 ← Com(r2). Send c2. S → R Send r1. S ⇒ R resettably-sound ZKA with the (unused part of) random tape ωS 『 ∃w, c1 = Com(r1; w). 』 in this argument every S s message (as a prover) is coupled with a ZAP 『the message being sent is computed using ωS as a random tape according to the protocol OR x ∈ L. 』 S ← R Send r2. S ←= R ZKA with the (unused part of) random tape ωR* 『 ∃w, c2 = Com(r2; w). 』 in this argument every S s message (as a verifier) is coupled with a ZAP 『the message being sent is computed using ωS as a random tape according to the protocol OR x ∈ L. 』 If any of the ZAPs is invalid, R aborts the protocol. S → R r1,...,rn = r = r1 + r2. For i = 1 to n, si = f-1(ri). Send C = v1+h(s1), ... , vn+h(sn). デコミットフェーズ: S → R Send s, v = v1, ... , vn. R Let r1,...,rn = r1 + r2. Check whether ri = f(si) for all i = 1 to n and whether C = v1+h(s1), ... , vn+h(sn). If so output v, otherwize output ⊥. 定理 (resettably-extractabile conditional commitment scheme) 上記部品が存在するとの仮定のもとで、the scheme は resettably-extractable conditional commitment scheme である。 証明のスケッチ (conditional hiding) [Step 1] a basic commitment scheme (S , R ) 部品 a one-way permutation f with a hardcore predicate h a (computationally-hiding statistically-binding) standard non-interactive commitment scheme Com a (stand-alone) ZK argument a (resettably-sound) ZK argument 入力 S の入力:値 v (∈{0,1}n) R の入力:1n プロトコル: コミットフェーズ: S → R Select a one-way permutation f. Select a random string r1 of length n2 and commit to it c1 ← Com(r1). Send f, c1. S ← R Select a random string r2 of length n2 and commit to it c2 ← Com(r2). Send c2. S → R Send r1. S ⇒ R (resettably-sound) ZKA 『 ∃w, c1 = Com(r1; w). 』 S ← R Send r2. S ←= R ZKA 『 ∃w, c2 = Com(r2; w). 』 S → R r1,...,rn = r = r1 + r2. For i = 1 to n, si = f-1(ri). Send C = v1+h(s1), ... , vn+h(sn). デコミットフェーズ: S → R Send s, v = v1, ... , vn. R Let r1,...,rn = r1 + r2. Check whether ri = f(si) for all i = 1 to n and whether C = v1+h(s1), ... , vn+h(sn). If so output v, otherwize output ⊥. Claim 上記部品が存在するとの仮定のもとで、the above scheme is computationally hinding. (Proof) あるefficinet cheating receiver (R )* が hiding property を破るとする。(R )*を用いて、f のハードコア述語 h を識別するアルゴリズム D を構成する。 D r1 (= f(s1)), ..., rn (= f(sn))およびb1, ..., bnを入力として以下のように動作する。(biはすべてriのハードコアであるか、もしくはすべてランダムビットである) (R )*を起動し、チャレンジの値 v0, v1を受け取る。 c1 ← Com(0n2)とし、f, c1 を(R )*に送る。 (R )*より c2 を受け取ったら、 n2ビットのランダム文字列r を選択し、(R )*に送る。 the ZKA のシミュレータを用いて、c1がr へのコミットメントであることを``証明 する。 (R )*より r2 を受け取り、その後のthe ZKA が妥当なら r1 = r + r2とし、(R )*をc2を出力した直後にrewindし、r1を送る。さらに、the ZKA のシミュレータを用いて、c1がr1へのコミットメントであることを``証明 する。 (R )*より再び r2 を受け取り、その後のthe ZKA が妥当なら、 d ∈ {0,1} をランダムに選択し、vd1 + b1, .... , vdn + bn をR * に送る。 (R )*の出力を自身の出力として出力して停止する。 もしも、 (R )*がhiding propertyを破るなら、このDがハードコアを識別することは見やすい。 [Step 2] あるR*があるx∈Lを条件として、the schemeのhiding propertyを破るとする。R*を用いてthe basic schemeのhiding propertyを破る(R )*が構成できることを示す。 (R )* x (∈L) とそのwitness w を補助入力として以下のように動作する。 xを入力としてR*を起動し、チャレンジの値 v0, v1を受け取り、v0, v1を自身のチャレンジとしてチャレンジャーS に送る。 S から、f, c1を受け取ったら、 cS ← Com(0*) とし、the ZAPのfirst message σSを計算し、cS, σS, f, c1をR*に送る。 R*よりc2を受け取ったら、そのままS に転送する。 S からr1を受け取ったら、そのままR*に転送する。さらに、S よりつづくthe ZKAを受け取り、R*との間で中継する。ただし、ここでS からの各メッセージには、wをwitnessとして計算したthe ZAPを添付する。 R*からr2を受け取ったら、そのままS に転送する。さらに、R*よりつづくthe ZKAを受け取り、S との間で中継する。ただし、ここでS からの各メッセージには、wをwitnessとして計算したthe ZAPを添付する。 S からCを受け取ったら、そのままR*に転送する。 R*の出力を自身の出力として出力して停止する。 ZAPのWI性より、(R )*がR*に提供するviewはreal viewと識別不可能である。よって、背理法の仮定より(R )*はthe basic schemeのhiding propertyを破り、上のClaimに矛盾する。 (conditional binding) the schemeはBlumコミットメントを利用しているので、``unconditional にbinding propertyをもつ。 (resttable-extractability) Lに属さない条件xについて、リセット攻撃を行う、任意のcheating送信者S*に対し、リセッタブルエクストラクターEを以下のように構成する。 E t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。value_list をφに初期化する。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、それがjについてfreshか否かをチェック: fresh でないならば、fmsgを共有する、対応する過去のトランスクリプトからR(j)のメッセージを取り出して再送することでシミュレートを行う。 以下、fmsg は freshであると仮定する。 freshなランダムテープ ω* を生成する。 ω*をランダムテープとして、c2 ←ω* Com(0n2) を計算し、c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 ω*より長さn2のランダムストリング s を取り出し、r = f(s), r2 = r + r1 とし、r2 をS*に返す。さらに、ω*(の未使用部分)をランダムテープとして、the ZKA のシミュレータMを用いて、c2がr2へのコミットであることを``証明 する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取ったら、記録しておいたsを用いて、v = (v1, ... , vn)を計算し、value_list に追加する。 S*が停止したら、そのsimulated view と value_list を出力する。 Eの性能 [time] EはストレートラインにS*をシミュレートしているので、明らかに多項式時間で停止する。 [view] S*の第1メッセージ fmsg =(x, f, c1, cS, σS) がjについてfreshでないとき、 ωR* = FωRj(fmsg)は、fmsgを共有する過去の該当セッションのそれとまったく同一である。よって、c2, r2も該当セッションのそれの再送である。 Comの束縛性と(r1に続く)the ZKAのresettableな健全性より、c1∈fmsgが束縛するr1も(ネグリジブルな確率の例外を除いて)該当セッションのそれの再送である。 2つのZKAに属するメッセージについて。入力となるc1, r1, c2, r2, ωR*がすべて該当セッションと同一で、ZAPの健全性よりS*のメッセージは、cS∈fmsgが束縛するωSを用いて計算されているので(x not∈L に注意)、2つのZKAに属するすべてのメッセージも該当セッションのそれと同一であり、再送である。よって、上記Eの、該当セッションのトランスクリプトを再送するシミュレーションは妥当である。 S*の第1メッセージ fmsg =(x, f, c1, cS, σS) がjについてfreshなとき、 関数Fの疑似ランダム性により、該当インカネーションR(j)はその都度フレッシュなランダムテープω* = FωRj(fmsg)を用いる。 よって、Comの秘匿性と(r2に続く)the argumentのZK性より、Eによるシミュレーションはリアルケースと識別不可能である。ここで、第1メッセージ fmsgがfreshな場合は、the argumentの証明対象ステートメント(c2, r2)は毎回異なるので、スタンドアローンのZK性で十分であることに注意する。 以上より、Eが出力するS*のsimulated view は S*のreal view と識別不可能である。 [value_list] Eが生成したs は コインフリッピングで共有された r=f(s)のfによる逆像となっているので、明らかに、上記のようにしてEが出力する 各v はS*がコミットした値である。 Q.E.D. ZK argument としてBarakの定数ランドZKA、およびそれにBGGLコンパイラを適用して得られるresettably-soundな定数ラウンドZKAを用いることで、 系 (resettably-extractability) one-way permutations と CR hash functionsが存在すれば、定数ランドのresettably-extractable conditional commitment scheme が存在する。 A resettably-sound concurrent ZK argument in the BPK model 構成(rs cZK) L 任意のNP言語 the resettably-sound concurrent ZK argument for L in the BPK model 部品 a one-way function f a constant-round resettably-extractable conditional commitment scheme rCom w.r.t. L a constant-round resettable WI argument of knowledge for { (y0,y1) ∃α, y0 = f(α) OR y1 = f(α) } a constant-round resettably-sound WI argument for { (x, c, y0,y1) ∃β, βはx∈Lのwitenss OR β=(β , r), c = rCom(x, β ;r), y0 = f(β ) OR β=(β , r), c = rCom(x, β ;r), y1 = f(β ) } 入力 Pの入力 x, w, F, i (pki = (f, y0, y1) ∈ L) Vの入力 x, α (yb = f(α)) プロトコル P ←= V rWI AOK 『∃α, y0 = f(α) OR y1 = f(α)』. P ⇒ V rCom を用いて条件xのもとで0n にコミット with transcript c。 P ⇒ V rs WIA 『∃β, βはx∈Lのwitenss OR β=(β , r), c = rCom(x,β ;r), y0 = f(β ) OR β=(β , r), c = rCom(x,β ;r), y1 = f(β )』. 定理(rs cZK) 上記部品が存在するとの仮定のもとで、the protocol は the BPK model において定数ラウンドの a resettably-sound concurrent ZK argument である。 証明 [completeness] 明らか。 [cZK] the BPK model における standard argument. concurrent 攻撃における任意のcheating verfier を V* とする。 V*に対するシミュレータ Sim を以下のように構成する。 Sim V*のfirst phaseを実行し、公開ファイルF を受け取る。 V*との間でsecond phaseを実行する。このとき: あるインタラクション I について、V*がfirst proof をpassしたら インタラクション Iが対象とする公開鍵を pkiとするとき、その秘密鍵αiをまだ抽出していなかったら、the rWI AoK のスタンドアローンエクストラクタを用いて、αiを抽出しておく。(このとき、エクストラクタの対象はV*のインタラクションIのみなので、スタンドアローンエクストラクタで十分であることに注意する。) あるインタラクション I について、コミットメント c を実行する段階になったら、 抽出しておいたαiにコミットする with transcript c = rCom(x, αi;ri)。 あるインタラクション I について、the second proof を実行する段階になったら、 β = (αi;ri)を witness として the second proof を実行する。 Simの性能 [time] Fは多項式サイズなので、スタンドアローンエクストラクタの呼び出しも多項式回。よって、Sim はexpected多項式時間。 [view] Comのconditional hiding propertyとthe second proofのWIより、Sim内のV*のviewはV*のreal viewと識別不可能。(Hybrid cとしてαiにコミット。the second proof ではreal witness w を使用。) [rs] reset 攻撃において、ある x not∈ L についてnon-negligbleな確率であるインカネーションV(x)を説得する、任意のcheating prover を P* とする。 P*を用いて一方向関数 f を破るアルゴリズムAを構成する。 (以下では、簡単のため、P*はLに属さないxについてのみ検証者インカネーションV(x)を呼び出すとする。) A y (=f(β)) を入力として、 b ← {0,1}, yb = y ※ This defines βb = β β1-b ← {0,1}n, y1-b = f(β1-b) 証明者P*を起動し、公開ファイル F = { (id, y0, y1) } を与える。 証明者P*が呼び出す各インカーネーションV(x)を以下のようにシミュレートする(xはLに属さない)。 the first proof は、witness として β1-bを用いて実行する。 コミットメントrComについては、そのリセッタブルエクストラクターEを起動し、Eが出力するviewを用いてP*に対し受信者として振る舞う。 the second proofについてはオネストに検証者として振る舞う。 アクセプトしたインカネーションVj*(x*)をランダムに選び、それが受け取ったコミットメント c がコミットしている値を、Eが出力したvalue_listから取り出し、β とする。 β の第1成分β1 について、f(β1 ) = y がどうかチェックし、そうならばβ1 を、さもなければ⊥を出力して停止。 Aの性能 [time] 多項式時間であることは明らか。 [view] ※ フォーマルには hybrid argument を用いるところだか。 the first proof と the second proof はオネストにシミュレートされている。問題はrComに関するviewのみ。 rComのresettable extractor Eが出力するviewのsimulatabilityより、コミットメントcのview は real view と識別不可能。(x not∈ L に注意) 以上より、AがsimulateするP*のviewはreal viewと識別不可能。 [output] 仮定より、Aが選択した Vj*(x*) は、x* not∈ L であるにも関わらず、non-negligibleな確率でVを説得する。 x* not∈ L なので、the second proofのresettable soundnessより、そのwitnessは β1 としてβ0またはβ1を含み、それはcでコミットされている。 よって、対応するインカネーションについて、rCom の resettable extractor E は、β1 としてβ0かβ1を抽出している。(x* not∈ L に注意) the first proofのresettable WIより、それがβbである確率はネグリジブルな誤差を除いて1/2. 以上より、Aはnon-negligibleな確率でβ1 としてβ = βbを計算し出力する。これは、f の一方向性に反する。 Q.E.D. 系(rs cZK) one-way permutations と CR hash functions が存在するならば、BPKモデルにおいて、任意のNP言語に対し定数ランドの a resettably-sound concurrent ZK argument が存在する。 (rs cZK)⇒ (rs rZK) Deng-Goyal-Sahai のtransformation [DGS 09] resettably-sound relaxed-concurrent ZK argument ⇒ resettably-sound resettable ZK argument the relaxed concurrency は concurrency を弱めた安全性。 the transformation works in the plain model rs ZKA を部品として用いるが、rs ZKA は the plain model で定数ラウンド。よって、Goyal-Sahai のtransformationにおいて、変換元のプロトコルが定数ラウンドならば、変換後のプロトコルも定数ラウンド。 よって、定数ランドの the resettably-sound concurrent ZK argument in the BPK model に Goyal-Sahai のtransformation を適用することで、 系(rs rZK) one-way permutations と CR hash functions が存在するならば、BPKモデルにおいて、任意のNP言語に対し定数ランドの a resettably-sound resettable ZK argument が存在する。 Appendix Formal proof of resettable-extractability We prove the resettable-extractability of the proposed conditional commitment scheme. We define a sequence of expreiments Real, Hyb1, ... , Hyb4, preserving indistinguishability of their outputs. The first experiment Real corresponds to a real resetting attack by a cheating sender S* and the final experiment Hyb4 gives us the claimed resettable-extractor. Real t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、ωR* = FωR(j)(x, f, c1, cS, σS) を計算し、ωR*をランダムテープとして長さn2のランダム文字列r2を選択し、(ωR*をランダムテープとして)それにコミットする c2 ← Com(r2). c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、ωR*(の未使用部分)をランダムテープとして用いる。また、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 r2をS*に返す。 さらに、ωR*(の未使用部分)をランダムテープとして、the ZKA を用いて、c2がr2へのコミットであることを証明する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取る。 S*が停止したら、そのsimulated view を出力する。 Hyb1 t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、それがjについてfreshか否かをチェック: fresh でないならば、fmsgを共有する、対応する過去のトランスクリプトからR(j)のメッセージを取り出して再送することでシミュレートを行う。 以下、fmsg は freshであると仮定する。 freshなランダムテープ ω* を生成する。以下、R(j)のシミュレーションにはランダムテープω* を用いる。 長さn2のランダム文字列r2を選択し、それにコミットする c2 ← Com(r2). c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 r2をS*に返す。 さらに、the ZKA を用いて、c2がr2へのコミットであることを証明する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取る。 S*が停止したら、そのsimulated view を出力する。 Claim 1 Hyb1 ≡c Real. ∵ fmsg が j についてfreshなとき、Realにおいて、Fの擬似ランダム性よりωR*はfreshなランダム文字列と識別不可能。よって、Hyb1のシミュレートとRealのシミュレートはS*にとって識別不可能。 fmsg が j について、freshでないとき: Realにおいて、the random tape ωR* = FωRj(fmsg) used by R(j) is the same as the one used in the past session between S* and R(j) that shares the first message fmsg. So, c2, r2 are replays of the ones sent in that session. Consider the messages belonging to the first zero-knowledge argument The common input of the argument is (c1, r1). c1 must be a repaly since it is included in fmsg. r1 must be also a replay by the binding property of Com and the resettably-soundness of the first argument. Then, all of the messages in the first argument must be replays, by the soundness of the attached ZAPs. (Note that ZAPs are always resettably-sound.) Note that since x not∈ L, the messages from S* must be computed using ωS that is bound by cS in fmsg. Similarly, we can see that all of the messages in the second zero-knowledge argumet also must be replays. Thus, we know that the above simulation by Hyb1 that replays the transcript of the corresponding past session is indistingusihable from Real also in the case of non-fresh fmsg □ Hyb2 t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、それがjについてfreshか否かをチェック: fresh でないならば、fmsgを共有する、対応する過去のトランスクリプトからR(j)のメッセージを取り出して再送することでシミュレートを行う。 以下、fmsg は freshであると仮定する。 freshなランダムテープ ω* を生成する。以下、R(j)のシミュレーションにはランダムテープω* を用いる。 長さn2のランダム文字列r2を選択し、それにコミットする c2 ← Com(r2). c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 r2をS*に返す。 さらに、the ZKA のシミュレータMを用いて、c2がr2へのコミットであることを``証明 する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取る。 S*が停止したら、そのsimulated view を出力する。 In Hyb2, note that the statements (c2, r2) that the simulator M must prove are randomly generated every time M is invoked. So, by standard hybrid argument around the stand-alone ZK property of the second argument, we see Claim 2 Hyb2 ≡c Hyb1. Hyb3 t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、それがjについてfreshか否かをチェック: fresh でないならば、fmsgを共有する、対応する過去のトランスクリプトからR(j)のメッセージを取り出して再送することでシミュレートを行う。 以下、fmsg は freshであると仮定する。 freshなランダムテープ ω* を生成する。以下、R(j)のシミュレーションにはランダムテープω* を用いる。 ダミー文字列0n2にコミットする c2 ← Com(0n2). c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 長さn2のランダム文字列r2を選択する。r2をS*に返す。 さらに、the ZKA のシミュレータMを用いて、c2がr2へのコミットであることを``証明 する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取る。 S*が停止したら、そのsimulated view を出力する。 As easily shown, hiding property of Com means Claim 3 Hyb3 ≡c Hyb2. Hyb4 t 個のランダムテープ ωR1,...,ωRt を選択し、j∈[t]について、R(j) = R(ωRj) とする。 S*を起動する。 S*が呼び出す各インカーネーションR(j)を以下のようにシミュレート S*より その第1メッセージ fmsg =(x, f, c1, cS, σS) を受け取ったら、それがjについてfreshか否かをチェック: fresh でないならば、fmsgを共有する、対応する過去のトランスクリプトからR(j)のメッセージを取り出して再送することでシミュレートを行う。 以下、fmsg は freshであると仮定する。 freshなランダムテープ ω* を生成する。以下、R(j)のシミュレーションにはランダムテープω* を用いる。 ダミー文字列0n2にコミットする c2 ← Com(0n2). c2をS*に返す。 S*より r1 およびそれに続くconvincingなZKAを受けたら(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。)、 長さn2のランダム文字列s = s1, ... , sn を選択する。i = 1 to n について ri = f(si)を計算し、r = r1, ... , rnについて r2 = r + r1 をS*に返す。 さらに、the ZKA のシミュレータMを用いて、c2がr2へのコミットであることを``証明 する。(このとき、S*から受け取る各メッセージに付随するZAPが一つでもinvalidならアボートする。) S*より、v1+h(s1), ... , vn+h(sn)を受け取る。 S*が停止したら、そのsimulated view を出力する。 Obviously, we have Claim 4 Hyb4 ≡ Hyb3. Now it is immediate that the simulation in Hyb4 gives the claimed resettable-extractor of the proposed commitment. Note that in Hyb4 we can extract the values committed under final commitments C using the knowledge of s = f-1(r). That completes the proof. Deng-Goyal-Sahai のtransformation [DGS 09] [部品] 疑似ランダム関数 fs a non-interactive commitment scheme Com a constant-round resettably-sound ZK argument a concurrent ZK, resettably-sound argument a rZAP [Pの入力] (x, w), ランダムテープRP = (RP,1, RP,2, RP,3) [Vの入力] x, ランダムテープRV = (RV,1, RV,2, RV,3) [プロトコル] 第1フェーズ:ランダムテープとして P は RP,1 を V は RV,1 を用いる。 P → V σP ← the 1st msg of the rZAP, cP ← Com(RP,2), send σP, cP. P ← V σV ← the 1st msg of the rZAP, trap ← Com(0), send σV, trap. 第2フェーズ:ランダムテープとして P は RP,2 を V は RV,2 を用いる。 P ←= V the rs ZKA 『 ∃r, trap = Com(0;r). 』 with rZAP 『msg の計算に RP,2 を用いた OR x ∈ L』 for each prover-message ランダムテープとして、VはRV,2* = fRV,2(cP)を用いる。 第3フェーズ:ランダムテープとして P は RP,3 を V は RV,3 を用いる。 P ← V cV ← Com(RV,3), send cV. P ⇒ V the cZK, rs Arg 『x ∈ L. 』 with rZAP 『msgの計算にRV,3を用いた OR trapは1へのコミットメント』 for each verifier-message ランダムテープとして、PはRP,3* = fRP,3(cV)を用いる。 文献 [Barak 01] Boaz Barak, ``How to Go Beyond the Black-Box Simulation Barrier , In 42nd FOCS, pp. 106-115, 2001. [Barak 04] Boaz Barak, ``Non-Black-Box Techniques in Cryptography , Thesis for the PH.D. Degree, The Weizmann Instutite of Science, 2004. [BGGL 01] B. Barak and O. Goldreich and S. Goldwasser and Y. Lindell, ``Resettably-Sound Zero-Knowledge and its Applications," FOCS 2001, IEEE Computer Society, 2001. [CGGM 00] Ran Canetti, Oded Goldreich, Shafi Goldwasser, and Silvio Micali, ``Resettable zero-knowledge," In STOC, pages 235-244, 2000. [DGS 09] Yi Deng, Vipul Goyal, Amit Sahai, ``Resolving the Simultaneous Resettability Conjecture and a New Non-Black-Box Simulation Strategy," FOCS 09, pp. 251-260, 2009. [DL 08] Yi Deng and Dongdai Lin, ``Resettable Zero Knowledge with Concurrent Soundness in the Bare Public-Key Model under Standard Assumption," Inscrypt 2007, LNCS 4990, pp. 123-137, 2008. [DN 00] Cynthia Dwork and Moni Naor, ``Zaps and their applications, in FOCS, pp. 283-293, 2000. [KP 01], Joe Kilian and Erez Petrank, ``Concurrent and Resettable Zero-Knowledge in Poly-logarithmic Rounds," STOC 01, 560-569, 2001. 上へ
https://w.atwiki.jp/kojiro/pages/51.html
ARGUMENT
https://w.atwiki.jp/qesspd_ju/pages/129.html
Argumentを比較する Written by Shinya ジョナサンに教えてもらった、Argumentの比較の仕方を紹介します。基本的にジョナサンから習ったことをそのまま書き写してますが、若干僕の意見とかを加えてたりします。 ReplyとかRefutationに役に立つと思います。 Argumentに反論したり、それをReplyスピーチで比較したりするときに役に立ちます。 Replyはジャッジさんに「自分達のチームが勝つべきなんだ!」っていうのを比較したりまとめたりしながらアピールする4分のスピーチです。(教科書203ページ) Argumentは、Gov側がbenefitについて述べ、Opp側がharmについて述べます。 定額給付金として国が国民に1万円配ることするとします。 Govは、国民が1万円GETすることによってbenefitが生まれるということを述べます(経済効果など) Oppは、国が国民に1万円配ることによってharmが生まれることを述べます。(財政圧迫など) この二つはCRASH(双方が同じことについて全く違うことを言っていること)しています。反論やReplyでは、これらについて自分のチームが優れているということを説明してジャッジに納得させなければなりません。 その際に、以下の7つのポイントを参考にして、説得するといいです。 (1)How many people are affected? 文字通り、どれだけの数の人が影響を受けるかどうかということです。 たとえば、死刑を廃止する(THW This House Would abolish Death Penalty.)のモーションを考えます。 Govが、死刑執行人の心理的負担を理由に死刑廃止を訴えます。 Oppが、死刑廃止によって犯罪率が挙がるということを訴えます。 ここで、この(1)の観点から考えると、GovのArgumentは限られた人に影響を与えるということにとどまっていますが、OppのArgumentは国民全体に犯罪率の増加の影響は及びます。 つまり、どれだけの人に影響を与えるのかという観点では、OppのArgumentが優れているといえます。 (2)Who is affected? 誰が影響を受けるかという論点です。これは2つに分かれます。 (A)Morally どちらの対象となる人が倫理的に妥当かという観点です。 同じく、死刑廃止のモーションで考えます。 Govが、殺人者は死刑廃止に賛成であるという理由で訴えます。(ちょっと非現実的…) Oppは、80%程度の国民が死刑廃止に反対という理由で訴えます。 この場合、(A)の観点で考えるなら、殺人者と一般国民では明らかに一般国民が倫理的に妥当です。という理由でOppのArgumentが優れているといえます。 (B) Power これは、影響を受ける対象が弱い存在か強い存在かということです。 たとえば、以下のような人々が弱い存在だといえます。 Minority race/religion Disabled people Gay people Women Children Immigrants (1)の観点と矛盾するようですが、弱い存在の人たちのことも考慮しなければなりません。 たとえば、たばこを子供に売ることも企業の自由ですが、企業と子供では明らかに子供の方が弱いです。(判断力がない等の理由で)そこで、子供を守るために、企業が子供にたばこを売るのを禁止するということが必要です。 たとえば、ここではTHW ban thin model.のモーションで考えます。ファッションショーとかで痩せすぎた人の出場を禁止するものです。 Govは、痩せていることを美だと国民が考えてしまって健康を害すると訴えます。 Oppは、デザイナーにも自由があるということを訴えます。 これはとらえ方によってどちらがいいとするかが変わると思います。国民をマスメディアに影響される弱い存在ととらえると、Govが有利です。ただ、デザイナーも弱い労働者と考えることができて、そうするとOppに有利になります。 (3)How much impact? What degree of harm (benefit)? たとえば、abortion(人工妊娠中絶)の例を使います。 Quality of Life(生活の質)とQuantity of Life(どれだけの人が生きるか)が対立します。 中絶をOKにすると、経済状況が厳しいために子供をあきらめることで生活の質を高めることができます。一方そのせいで、命が制限されることになります。 どちらを犠牲にするかの問題です。 (4)Voluntary Harm or Involuntary Harm 自分から望んだ害か、望んでいない害かという問題です。 voluntary harmの例としては 刑務官の仕事(死刑執行があることを知って職に着いた) マリファナを使うことで馬鹿になった(健康への害も知らされていたはず) これらはinformed decisionとも言えます。知らされた上で決断したことでもあります。 逆にinvoluntary harmの例として 受動喫煙 などがあります。 voluntary harmは自己責任とも言えるため、involuntary harmの方が害が大きいといえます。 (5)Reversible or Irreversible 取り消しができるかできないかということです。 Reversibleの例としては 誰かのモノを盗んだが、現物がまだあるので返せる 盗んで転売などしたが、弁償ができる Irreversibleの例としては 放火で思い出の品を燃やした 子供の死(新しい子供は同じ子供ではない) 実際のディベートでは、環境破壊で生物が絶滅してしまったら取り返しがつかないが、経済成長は後からでもできる等といったように使うのだと思います(筆者が考えました) (6)Time harmがいつ実際に訪れるかの問題です。 当然、早く訪れるharmの除去が優先されると考えられます。 (7)Fundamental Benefit(Harm) 環境保護と経済成長のどっちを優先するかということを例に説明します。 環境保護を優先すると、きれいな自然を取り戻すことができます。すると、eco-tourismを行うことができます。きれいなビーチを作り、そこに観光客を集めることができます。そうすることで経済成長が図れます。 逆に経済成長を優先する立場に立つと、環境保護を実践するにはお金がかかるので、それを集めるために経済成長を優先し、そのお金で環境保護ができるということが言えます。 この二つはFundamental(基礎的)な部分では、環境保護と経済成長を優先していますが、それが突き進むと、それぞれ違うことを実践することができています。 逆にHarmの方では、ある会社が自分の技術を独占する例を挙げます。 これは、Fundamentalな部分では企業努力に対しての報酬を受け取るということになります。ただ、過度に独占をしてしまうと、他の会社がこの分野で収益を上げることができるなくなります。それが突き進むと、経済全体に悪影響を与えるということになりかねません。
https://w.atwiki.jp/kumicit/pages/494.html
Kumicitのコンテンツ インテリジェントデザイン概説 シミュレーション・アーギュメントとインテリジェントデザイン Doomsday Argument Simulation Argumentとは A technologically mature “posthuman” civilization would have enormous computing power. Based on this empirical fact, the simulation argument shows that at least one of the following propositions is true (1) The fraction of human-level civilizations that reach a posthuman stage is very close to zero; (2) The fraction of posthuman civilizations that are interested in running ancestor-simulations is very close to zero; (3) The fraction of all people with our kind of experiences that are living in a simulation is very close to one. 技術的に成熟した人類の次の段階の文明には、巨大な計算力があるだろう。この経験的事実に基づくと、シミュレーション・アーギュメントは次の命題のうち少なくとも一つは真であることを示す。(1)人類段階の文明が、次の段階の文明に到達する可能性は限りなくゼロに近い。(2) 次の段階の文明は、自らの祖先のシミュレーションを実行することに興味を持つ可能性は限りなくゼロに近い。(3) すべての人々のうち、シミュレーションの中に生きている人々の比率は限りなく1に近い。 [ N. Bostrom, “Are You Living in a Computer Simulation?” Philosophical Quarterly, 2003, Vol. 53, No. 211, pp. 243-255. ] というものだが、「"ここ"がシミュレーションではなく、基底的現実だ」ということは原理的に証明できない。それは、"ここ"が基底的現実と区別がつかないように創られたシミュレーションであるという主張を覆す方法がないから。だから、Simulation Argumentは科学ではなく哲学の範疇に置かれる。 これらのうち(1)はDoomsday Argumentと呼ばれる論である: The Doomsday argument (DA) is a probabilistic argument that claims to predict the future lifetime of the human race given only an estimate of the total number of humans born so far. It was first proposed by the astrophysicist Brandon Carter in 1983 and was subsequently championed by the philosopher John Leslie. It has since been independently discovered by J. Richard Gott and Holger Bech Nielsen. Similar theories predicting an end to the world from population statistics were proposed earlier by Heinz von Foerster, among others. 終末論法は確率論であって、誕生する人間の総数の推定だけを基に、人類の存続期間を予測すると主張する。 宇宙物理学者Brandon Carterが1983年に唱え、続いて哲学者John Leslieによって支持された。J. Richard GottとHolger Bech Nielsenによって独立に発見された。人口統計から世界の終末を予測する同様の理論はHeinz von Foersterによって提唱された。 [ wikipedia Doomsday Argument ] そして、次のようにして95%の信頼度で人類の余命は9120年と推定される: If we assume that 60 billion humans have been born so far (Leslie s figure) then we can say with 95% confidence that the total number of humans, N, will be less than 20·60 = 1200 billion. Of course, this would only be right if our assumption was 100% sure about that we are in the last 95% of humans to ever be born, but since it is just an assumption, the total number of humans, N, and further calculations based on it are just assumptions, too. Leslieの計算では、600億人が生まれたと仮定すると、95%の信頼度で、人類の総数は1超2000億以下と推定される。もちろん、これは我々が人間の総数の最後の95%にいることが100%確かだという仮定が正しければである。しかし、それは仮定なので、それに基づく総数の人間も仮定である。 Assuming that the world population stabilizes at 10 billion and a life expectancy of 80 years, one can calculate how long it will take for the remaining 1140 billion humans to be born. The argument predicts, with 95% "confidence", that humanity will disappear within 9120 years. Depending on your projection of world population in the forthcoming centuries, your estimates might vary, but the main point of the argument is that we are likely to disappear rather soon. 人口が100億人で、寿命が80年で安定するなら、残りの1超1400億人が生まれるのに要する期間を計算できる、この論は95%の信頼度で、人類は9120年以内に消滅すると予測する。将来の世界人口の予測により、推定値は変わってくるかもしれない。しかし、論の主要な点は我々がそう遠くない将来に滅びるということだ。 この論は、「我々は多数派にいる」というコペルニクス原理に基づく。 この論に対する確率論に基づく異論は "人間"の定義: 未来における人類が、人間とは言えない存在になってしまうなら、計算対象外となる。 人間の寿命:人間の寿命が永遠に近いものとなり、出生数が極端に小さくなれば、人類は永劫存在することになる。 といったものがある。 いずれにせよ、"コペルニクス原理に基づく確率論"によって、我々はシミュレーションの中で生きている[Simulation Argument]か、人類はそう遠くない将来に滅亡する[Doomsday Argument]と論じるもの。 同じ論法で「異星人は存在しない」というパターンもある。 補足 「600億人が生まれたと仮定すると、95%の信頼度で、人類の総数は1超2000億以下と推定される」について: 人類出現から現在までの人類の総数が600億人である(推定)。 人類出現から滅亡までの人類の総数が N 人である 我々が95%の多数派に属しているなら、 0.05×N ≦ 600億人 (すなわち、600億人目は全体の5%以上)である。もし、 N>600億人/0.05 = 1超2000億人 なら、我々は5%未満の少数派に属することになり、コペルニクス原理に反する...というの論理。
https://w.atwiki.jp/jpops/pages/56.html
ARGUMENT SOULをお気に入りに追加 ARGUMENT SOULのリンク #bf Amazon.co.jp ウィジェット ARGUMENT SOULの報道 gnewプラグインエラー「ARGUMENT SOUL」は見つからないか、接続エラーです。 ARGUMENT SOULとは ARGUMENT SOULの86%は根性で出来ています。ARGUMENT SOULの12%はかわいさで出来ています。ARGUMENT SOULの1%はアルコールで出来ています。ARGUMENT SOULの1%は鍛錬で出来ています。 ARGUMENT SOUL@ウィキペディア ARGUMENT SOUL Amazon.co.jp ウィジェット 掲示板 名前(HN) カキコミ すべてのコメントを見る ページ先頭へ ARGUMENT SOUL このページについて このページはARGUMENT SOULのインターネット上の情報を集めたリンク集のようなものです。ブックマークしておけば、日々更新されるARGUMENT SOULに関連する最新情報にアクセスすることができます。 情報収集はプログラムで行っているため、名前が同じであるが異なるカテゴリーの情報が掲載される場合があります。ご了承ください。 リンク先の内容を保証するものではありません。ご自身の責任でクリックしてください。
https://w.atwiki.jp/kumicit/pages/537.html
Kumicitのコンテンツ インテリジェントデザイン概説 インテリジェントデザインの神学 Argument from poor design(しょぼいデザイン論) " しょぼいデザイン論 "というのがある。これは... 全知・全能・慈しみ深い神は最適なデザインの生物を創造するはず 生物は最適デザインではない 従って、神は全知でないか、全能でないか、慈しみ深くないか、生物を創造していないか というもので、"デザイン論"(Argument from Design)の対抗議論として提示される。 wikipedia Argument from poor design に挙げられた"しょぼいデザイン"の例は次の通り: UL アフリカイナゴの神経細胞は腹部から始まって翼につながる。これは材料の無駄遣い[ 1 ] 人間の女性では、受精卵が子宮ではなく卵管や頸部や卵巣に入ると子宮外妊娠になる。卵巣と卵管の間の隙間は欠陥デザインである。現代の手術ができるようになる前は子宮外妊娠は母親と赤ちゃんの死を招いた。現在でも母親の命を救うために妊娠中絶する。[ 2 ] 人間の女性では、産道は骨盤を通過していて、出生前の赤ちゃんの頭は驚くべき変形をする。産道よりも赤ちゃんの頭が大きすぎると自然出産できない。帝王切開が発展する前は、これは母親と赤ちゃんの死を招いた。また逆子のような分娩複雑化は産道がこの位置にあることによって悪化する。産道が腹部の正面を通っていれば、出生は容易であったはずである。[ 3 ] 人間の男性では、精巣は腹部内で成長する。その後に腹壁中を通って、陰嚢へ移動する。これは腹壁に2つの弱点を作り出し、後でヘルニアができる可能性をつくる。現代の手術技術がなければ、壊疽などを含むヘルニア合併症は死に至るものである。[ 4 ] 人間の男性では、尿道の一部が前立腺に囲まれている。前立腺が何らかの理由で膨脹すれば、尿道は通れなくなり、排尿は困難で痛いものなり、極端な場合は通らなくなる。現代の手術技術がなければ、排尿できないと死に至る。[ 5 ] ほとんど使われない神経や筋肉(足底筋など)は一部の人々にはない。またそれらは予備部品として必要があれば収穫される。 他の花では異なる用途に使われる部品から作られる、ランの生殖機構。 他の動物が親指のかわりに、巨大化した放射種子骨を使うパンダ。 人間の虫垂の無意味な存在あるいは、虫垂炎の対応する潜在的に致命的な条件。生肉を食べる野生動物で非常に発達した虫垂は、病気になることなく生肉を消化するのを助ける。人々が今や火と熱で料理するので、虫垂は役に立たない。生後1年以内の免疫系の発達に関わるという説もあるが、それ以後は機能がない。しかし、虫垂が先天的に欠如していても免疫系機能障害の例はない。 飛べない鳥(例えばダチョウ)の不必要な翼の存在 反回神経の経路は、大動脈弓をループして脳から咽頭に至っている。多くの動物が同じ構成であり、キリンは余分に6メートルも長くなっている。 ジャンクDNAと呼ばれる部分 ジストロフィン遺伝子は最大のものでDNAの240万塩基対で構成されヒトゲノムの0.1%を占める。しかしその既知の機能は筋ジストロフィーの抑制である。そんな大きな遺伝子は有害な突然変異に非常に影響されやすい。 ハンチントン病のような先天性疾患た遺伝的障害の有病率と、自己修復できないDNAは、劣った遺伝的パフォーマンスにつながり、形成異常や死につながる 人間の脊柱の共通の奇形は、脊柱の脊柱側弯症、座骨神経痛と先天的な不整列(椎骨亜脱臼)に至る たとえ太陽光の出力ピークがこの波長だとしても、光合成工場は緑色の光を反射する。最適な光合成なら太陽光の全スペクトルを使えるはずで、従って植物は黒色になるはずだ。 窒息する危険性を激増させるような食事と呼吸の両方に使う通路たる咽頭の存在 人間や哺乳類の目の構造。網膜は裏返しだ。多くの無脊椎動物は神経と結果が網膜の背後にある。このような配置では複雑な調整が必要で、その結果として哺乳類には盲点がある[ 6 ] ヒトの顔が有意に他の霊長類よりも平板であるために、混雑した歯と劣った副鼻洞の排液となっているが、他の霊長類と同じだけ歯がある。この結果、問題が多く、その代表例は親知らずである。 ほとんどすべての動植物は自らビタミンCを合成する。しかし、この酵素のための遺伝子に欠損がある(偽遺伝子ΨGULO)ため、人間はビタミンCを合成できない。ビタミンCの欠乏は、壊血病と死につながる。不完全なビタミン合成経路はより高等な動物の特徴であり、それらの動物の多くは肉食動物である。これは餌食が植物から得たか体内で合成したビタミンを蓄積しているからである。このような高等動物はもはや純粋な"菜食主義者" 生活様式にはもどれない。しかし、そのような遺伝子的合成経路を維持するコストはほとんどかからない。 /UL これについて個々の反論もあるが、全般的反論として、 wikipedia Argument from poor design に記載されているのは次の3点 "しょぼいデザイン"論は、生物デザインの判断基準として、効率と巧妙さを仮定している。 神は職人ではなく芸術家 "しょぼいデザイン"論は、人間の判断に対する神の説明責任を前提にしている /UL さらに再反論・再々反論: Arguers from poor design regard all these counter-arguments as a false dilemma (God designed it, or it s flawed), leading to the unfalsifiability of intelligent design if it s good design, God did it, if it s bad design, it s a result of the Fall, so any conceivable evidence will fit. Arguers against poor design argue in turn if it s poor design, then God would not have done it, so natural selection must have, but wonderful design shows how wonderful natural selection can be. "しょぼいデザイン"論者は、これらの反論を誤ったジレンマ(神のデザインか、欠陥か)とみなし、インテリジェントデザインの反証不可能性につながると考える。すなわち、よいデザインなら神がデザインした。しょぼいデザインなら堕落の結果であり、いかなる証拠も合致する。 "しょぼいデザイン"論に反対する論者はこれを逆転させる。"しょぼいデザイン"なら、神はデザインしていないので自然選択のはず。素晴らしいデザインは自然選択の素晴らしい証拠。 wikipedia Argument from poor design の記述はここで打ち止めになっている。 "しょぼいデザイン"論への全般的反論3点について考えてみる。この3点はいずれも、「神は人間の考える基準に従うわけではない」「神の判断基準は人間にはわからないかもしれない」という不可知論に近いものになっている。 この方向に論を進めると、「意図は不明だが、意図的部品の配置たるデザイン」とか「行き先は不明だが、行き先を考えて選択するインテリジェンス」といったインテリジェントデザインの主張になる。 すなわち、インテリジェントデザイン支持者が「デザイナーの意図不明」と主張するのは、宗教ではないと主張する以外に、"しょぼいデザイン"論に対抗する手段としても有効だと考えている可能性もある。
https://w.atwiki.jp/jpops/pages/1806.html
INVALID THRUをお気に入りに追加 INVALID THRUのリンク #bf Amazon.co.jp ウィジェット INVALID THRUの報道 gnewプラグインエラー「INVALID THRU」は見つからないか、接続エラーです。 INVALID THRUとは INVALID THRUの63%は知識で出来ています。INVALID THRUの16%は毒物で出来ています。INVALID THRUの9%は優雅さで出来ています。INVALID THRUの9%は度胸で出来ています。INVALID THRUの3%は鉄の意志で出来ています。 INVALID THRU@ウィキペディア INVALID THRU Amazon.co.jp ウィジェット 掲示板 名前(HN) カキコミ すべてのコメントを見る ページ先頭へ INVALID THRU このページについて このページはINVALID THRUのインターネット上の情報を集めたリンク集のようなものです。ブックマークしておけば、日々更新されるINVALID THRUに関連する最新情報にアクセスすることができます。 情報収集はプログラムで行っているため、名前が同じであるが異なるカテゴリーの情報が掲載される場合があります。ご了承ください。 リンク先の内容を保証するものではありません。ご自身の責任でクリックしてください。
https://w.atwiki.jp/jubeat/pages/513.html
Failed State BASIC ADVANCED EXTREME Level 4 6 8 Notes 261 474 671 BPM 163-167 Time - Artist Strike Anywhere Version jukebeat 動画 Youtube 譜面動画 EXTREME (フラワー) ニコニコ動画 譜面動画 EXTREME (フラワー) 攻略 各譜面の攻略に関する情報はこちらへ。 前半は何とかなるが後半に出てくる同時押しが非常にきつい。パターンなので押し方を理解すれば伸びる -- 名無しさん (2011-08-12 22 15 26) 赤は超強化版NEU。例によって明らかに9以上と見ておくべき -- 名無しさん (2011-08-13 01 47 36) 全体的にリズムがつかみにくく4つ5つ同時が連続でくるので曲名の通りフェーイしてしまう。初見に限ればレベル10並 -- 名無しさん (2011-08-13 19 49 38) とんでもない大詐称。クリア難易度は9だとしても上位に入るのは明らか -- 名無しさん (2011-10-18 01 39 29) 名前 コメント (注意2hh5
https://w.atwiki.jp/kumicit/pages/164.html
批判サイド 創造論者の主張 Claim CA100 It is inconceivable that (fill in the blank) could have originated naturally. Therefore, it must have been created. This argument, also known as the argument from ignorance or "god of the gaps," is implicit in a very many different creationist arguments. In particular, it is behind all arguments against abiogenesis and any and all claims of intelligent design. [空欄を埋める]は自然に起因するとは信じられないので、それは創造されたに違いない。 この論は、"argument from ignorance"や"God of the gaps"論としても知られ、非常に多くの創造論者の論で暗に使われる。特に、自然発生に対するすべての論と、インテリジェントデザインのすべての説明の背後にある。 Response 実際には、その主張は「私は[空欄を埋める]は考えられない」である。他の人は自然の説明を見つけられるかもしれない。多くの場合。既に見つけられている。誰も全知ではないので、自分がそれを知らないが故に、何かが不可能だと結論することは論理的ではない。有名な反進化論者でさえこの点を認めている:「ポジティブな結果に関してより、むしろ、否定的な議論の危険は、我々の知識の不足に依存しているかもしれないということである」(Behe 2003)。 "argument from incredulity"は"god of the gaps"(隙間の神様)を創造する。稲妻の原因を我々が知るまでは、それは神様のせいだった。伝染病について、我々がバクテリアとウイルスを見つけるまでは。そして、精神病についても、我々が生化学原因を発見するまでは。神さまは我々が知らない宇宙の部分だけに閉じこもるので、神様は縮み続ける。 References Behe, Michael. 2003. A functional pseudogene? An open letter to Nature. Further Reading Drummond, Henry. 1904. The Lowell Lectures on the Ascent of Man, Glasgow Robert Maclehose and Co. Ltd., ch. 10. Van Till, Howard J. 2002. Is the Creation a right stuff universe? Perspectives on Science and Christian Faith 54(4) 232. オリジナルページ これは Index to Creationist Claims, edited by Mark Isaak の和訳です。
https://w.atwiki.jp/utauuuta/pages/4597.html
【登録タグ F rai 凛音ツカサ 凛音ツバサ 曲】 作詞:rai 作曲:rai 編曲:rai 唄:凛音ツカサ コーラス:凛音ツバサ 曲紹介 rai氏のオリジナル曲2作目。 凛音ツカサ4周年記念楽曲。 歌詞 (動画より書き起こし) I just say you I failure. You know? もう迫っている この想いも I failed you. 最低の終焉も まだ声も聞こえている You know? 嘘を描いている この手を離しても 最低の黎明だから この果てなき空の様な 終わりのない my regrets story いつだってそう 分かってんだ 未来期待希望 足掻いている 失っても灯してゆけ 終演の時を待て せいかいの毎日はいつも I just say you I failure. You know? もう迫っている 最高の終焉はもう… I just say you I failure. この虚空の果てに残るものは もう 最低の僕の treasonだけ いつでも夢に見てることは そう 平穏な君のstoryまで この手を離さないで 聞こえない なんて滑稽な世界 いつだってそう 分かっている 未来期待希望 足掻いていた 失っても灯してゆけ この瞳に映る 今は I just say you I failure. You know? もう迫っている 最高の終焉はもう… I just say you I failure. コメント 名前 コメント