一个对SDH问题解的ZKPoK协议

Strong Diffie-Hellman (SDH) 问题定义如下：

给定
$(q + 2)$ 长的元组
$(g_{1}, g_{2}, g_{2}^{γ}, g_{2}^{(γ^{2})}, \dots, g_{2}^{(γ^{q})})$ 作为输入，输出
$(g_{1}^{1 / (γ + x)}, x)$ ，其中
$x \in Z_{p}^{*}$ 。

SDH假设就是，不存在多项式时间算法可以以不可忽略概率解决SDH问题。

Schnorr协议，是一个证明「知道离散对数」的ZKPoK。以下ZKPoK协议是对Schnorr协议的扩展，可以以零知识的方式证明「知道SDH问题的解」。（至于我为什么要介绍这个协议，以后就慢慢知道了。

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Learn More →

）

秘密值：

γ

公开值：

g_{1}, u, v, h \in G_{1}, g_{2}, w \in G_{2}

, 其中

w = g_{2}^{γ}

要证明的witness是SDH问题的解：

(A, x)

，其中

A \in G_{1}

，

x \in Z_{p}

，满足关系：

A^{γ + x} = g_{1}

即

e (A, w g_{2}^{x}) = e (g_{1}, g_{2})

协议

证明者选择随机数

α, β \overset{R}{\leftarrow} Z_{p}

，计算：

T_{1} \leftarrow u^{α} T_{2} \leftarrow v^{β} T_{3} \leftarrow A h^{α + β} δ_{1} \leftarrow x α δ_{2} \leftarrow x β

接下来证明者和验证者执行ZKPoK协议，证明拥有满足如下五个关系的知识

(α, β, x, δ_{1}, δ_{2})

：

\begin{array}{cc} u^{α} = T_{1} \\ v^{β} = T_{2} \\ e {(T_{3}, g_{2})}^{x} \cdot e (h, w)^{- α - β} \cdot e {(h, g_{2})}^{- δ_{1} - δ_{2}} = e (g_{1}, g_{2}) / e (T_{3}, w) \\ T_{1}^{x} u^{- δ_{1}} = 1 \\ T_{2}^{x} v^{- δ_{2}} = 1 \end{array}

注意第三个等式是由

e (A, w g_{2}^{x}) = e (g_{1}, g_{2})

变形而来。

具体ZKPoK协议如下:

Prover计算并发送
$R_{1} \dots R_{5}$ ：

$\begin{array}{ll} R_{1} \leftarrow u^{r_{α}} & R_{2} \leftarrow v^{r_{β}} \\ R_{3} \leftarrow e {(T_{3}, g_{2})}^{r_{x}} \cdot e (h, w)^{- r_{α} - r_{β}} \cdot e {(h, g_{2})}^{- r_{δ_{1}} - r_{δ_{2}}} \\ R_{4} \leftarrow T_{1}^{r_{x}} \cdot u^{- r_{δ_{1}}} & R_{5} \leftarrow T_{2}^{r_{x}} \cdot v^{- r_{δ_{2}}} \end{array}$
Verifier采样挑战值
$c$ 并发送给Prover。
Prover计算：

$s_{α} \leftarrow r_{α} + c α s_{β} \leftarrow r_{β} + c β s_{x} \leftarrow r_{x} + c x s_{δ_{1}} \leftarrow r_{δ_{1}} + c δ_{1} s_{δ_{2}} \leftarrow r_{δ_{2}} + c δ_{2}$
Verifier验证：

$\begin{aligned} u^{s_{α}} & \overset{?}{=} T_{1}^{c} \cdot R_{1} (1) \\ v^{s_{β}} & \overset{?}{=} T_{2}^{c} \cdot R_{2} (2) \\ e {(T_{3}, g_{2})}^{s_{x}} \cdot e (h, w)^{- s_{α} - s_{β}} \cdot e {(h, g_{2})}^{- s_{δ_{1}} - s_{δ_{2}}} & \overset{?}{=} {(e (g_{1}, g_{2}) / e (T_{3}, w))}^{c} \cdot R_{3} (3) \\ T_{1}^{s_{x}} \cdot u^{- s_{δ_{1}}} & \overset{?}{=} R_{4} (4) \\ T_{2}^{s_{x}} \cdot v^{- s_{δ_{2}}} & \overset{?}{=} R_{5} (5) . \end{aligned}$

证明

完备性

对一个拥有SDH对

(A, x)

的诚实证明者：

u^{s_{α}} = u^{r_{α} + c α} = {(u^{α})}^{c} \cdot u^{r_{α}} = T_{1}^{c} \cdot R_{1},

所以前两个验证方程成立。

T_{1}^{S_{x}} u^{- s_{δ_{1}}} = {(u^{α})}^{r_{x} + c x} u^{- r_{δ_{1}} - c x α} = {(u^{α})}^{r_{x}} u^{- r_{δ_{1}}} = T_{1}^{r_{x}} u^{- r_{δ_{1}}} = R_{4},

所以最后两个验证方程成立。

\begin{aligned} e {(T_{3}, g_{2})}^{s_{x}} \cdot e (h, w)^{- s_{α} - s_{β}} \cdot e {(h, g_{2})}^{- s_{δ_{1}} - s_{δ_{2}}} \\ = e {(T_{3}, g_{2})}^{r_{x} + c x} \cdot e (h, w)^{- r_{α} - r_{β} - c α - c β} \cdot e {(h, g_{2})}^{- r_{δ_{1}} - r_{δ_{2}} - c x α - c x β} \\ = e {(T_{3}, g_{2}^{x})}^{c} \cdot e {(h^{- α - β}, w g_{2}^{x})}^{c} \cdot (e {(T_{3}, g_{2})}^{r_{x}} \cdot e (h, w)^{- r_{α} - r_{β}} \cdot e {(h, g_{2})}^{- r_{δ_{1}} - r_{δ_{2}}}) \\ = e {(T_{3} h^{- α - β}, w g_{2}^{x})}^{c} \cdot e {(T_{3}, w)}^{- c} \cdot (R_{3}) \\ = {(e (A, w g_{2}^{x}) / e (T_{3}, w))}^{c} \cdot R_{3} \\ = {(e (g_{1}, g_{2}) / e (T_{3}, w))}^{c} \cdot R_{3} . \end{aligned}

所以验证方程（3）成立。

知识证明

抽取器rewind证明者到收到挑战

c

前的时间点，对于不同的挑战

c^{'} \neq c

，证明者给出不同的一组应答

s_{α}^{'}, s_{β}^{'}, s_{x}^{'}, s_{δ_{1}}^{'}, s_{δ_{2}}^{'}

，且都满足5个验证方程。

令

Δ c = c - c^{'}, Δ s_{α} = s_{α} - s_{α}^{'}

Δ s_{β}, Δ s_{x}, Δ s_{δ_{1}}, Δ s_{δ_{2}}

同理.
对验证方程(1) ，两个实例相除得到：

u^{Δ s_{α}} = T_{1}^{Δ c}

.
令

\tilde{α} = Δ s_{α} / Δ c

. 于是有

u^{\tilde{α}} = T_{1}

类似地对于验证方程（2），可以得到

\tilde{β} = Δ s_{β} / Δ c

使得

v^{\tilde{β}} = T_{2}

对验证方程 (4)，两个实例相除得到

T_{1}^{Δ s_{x}} = u^{Δ s_{δ_{1}}}

，减掉

T_{1} = u^{\tilde{α}}

得到

u^{\tilde{α} Δ s_{x}} = u^{Δ s_{δ_{1}}}

或

Δ s_{δ_{1}} = \tilde{α} Δ s_{x}

.
类似地对验证方程（5），得到

Δ s_{δ_{2}} = \tilde{β} Δ s_{x}

最后，对两个验证方程（3）的实例相除，得到：

\begin{aligned} {(e (g_{1}, g_{2}) / e (T_{3}, w))}^{Δ c} & = e {(T_{3}, g_{2})}^{Δ s_{x}} \cdot e (h, w)^{- Δ s_{α} - Δ s_{β}} \cdot e {(h, g_{2})}^{- Δ s_{δ_{1}} - Δ s_{δ_{2}}} \\ = e {(T_{3}, g_{2})}^{Δ s_{x}} \cdot e (h, w)^{- Δ s_{α} - Δ s_{β}} \cdot e {(h, g_{2})}^{- \tilde{α} Δ s_{x} - \tilde{β} Δ s_{x}} \end{aligned}

取第

Δ c

个根，且令

\tilde{x} = Δ s_{x} / Δ c

，得到

e (g_{1}, g_{2}) / e (T_{3}, w) = e {(T_{3}, g_{2})}^{\tilde{x}} \cdot e (h, w)^{- \tilde{α} - \tilde{β}} \cdot e {(h, g_{2})}^{- \tilde{x} (\tilde{α} + \tilde{β})}

重写为

e (g_{1}, g_{2}) = e (T_{3} h^{- \tilde{α} - \tilde{β}}, w g_{2}^{\tilde{x}})

或者如果令

\tilde{A} = T_{3} h^{- \tilde{α} - \tilde{β}}

，为

e (\tilde{A}, w g_{2}^{\tilde{x}}) = e (g_{1}, g_{2}) .

于是抽取器得到了SDH对

(\tilde{A}, \tilde{x})

。

零知识性

输出协议脚本的模拟器构造如下：
取

A \overset{R}{\leftarrow} G_{1}

和

α, β \overset{R}{\leftarrow} Z_{p}

计算

T_{1} \leftarrow u^{α}, T_{2} \leftarrow v^{β}, T_{3} \leftarrow A h^{α + β}

如果判定性线性假设^[1]在

G 1

上成立，那么模拟器输出的

(T_{1}, T_{2}, T_{3})

的分布和任何证明者输出的分布不可区分。

模拟器选择挑战

c \overset{R}{\leftarrow} Z_{p}

和值

s_{α}, s_{β}, s_{x}, s_{δ_{1}}, s_{δ_{2}} \overset{R}{\leftarrow} Z_{p}

。计算：

\begin{matrix} R_{1} \leftarrow u^{s_{α}} \cdot T_{1}^{- c} R_{2} \leftarrow v^{s_{β}} \cdot T_{2}^{- c} R_{4} \leftarrow T_{1}^{s_{x}} \cdot u^{- s_{δ_{1}}} R_{5} \leftarrow T_{2}^{s_{x}} \cdot v^{- s_{δ_{2}}} \\ R_{3} \leftarrow e {(T_{3}, g_{2})}^{s_{x}} \cdot e (h, w)^{- s_{α} - s_{β}} \cdot e {(h, g_{2})}^{- s_{δ_{1}} - s_{δ_{2}}} \cdot {(e (T_{3}, w) / e (g_{1}, g_{2}))}^{c} . \end{matrix}

R_{1}, R_{2}, R_{3}, R_{4}, R_{5}

和真实脚本分布一致。

模拟器输出最终脚本

(T_{1}, T_{2}, T_{3}, R_{1}, R_{2}, R_{3}, R_{4}, R_{5}, c, s_{α}, s_{β}, s_{x}, s_{δ_{1}}, s_{δ_{2}})

，和协议脚本不可区分。

给定
$u, v, h, u^{a}, v^{b}, h^{c} \in G_{1}$ 判定
$a + b = c$ 是否成立是困难的。 ↩︎

一个对SDH问题解的ZKPoK协议

协议

证明

完备性

知识证明

零知识性

Read more

A preliminary note on Vitalik's proposal for arithmetic hash-based proto-danksharding

BLS签名形式化安全证明（十四行诗版）

哈希到secp256k1椭圆曲线

使用零知识证明对抗虚假信息