<div dir="ltr">It seems like in pretty much all cases, it would be cheaper and faster to just do a public key signature to prove you know your private key. The only case where I've heard that zero knowledge proofs are actually used is in Intel's EPID scheme.<div><br></div><div>Perhaps Fiat-Shamir might be useful for a super-low-power smart card directly connected to a CPU, since it would be less work for the smart card than a signature. </div><div><br></div><div>Thanks,</div><div><br>Radia</div><div><br></div><div><br></div></div>