Pedersen Commitment

Public setup:

承诺阶段
Prover:

假设要对向量
$\vec{a} = (a_{0}, a_{1}, \dots, a_{n - 1})$ 其中
$a_{i} \in F_{r}$ ，进行承诺，
$C = \sum_{i = 0}^{n - 1} a_{i} \cdot G_{i}$
将
$C$ 发送给 Verifier
一般承诺方案会作为一个组件嵌入到更大的一个协议中，因此接下来 Prover 将使用
$\vec{a}$ 生成其他的证明。

揭示阶段
Prover:

Verifier:

验证
$C = \sum_{i = 0}^{n - 1} b_{i} \cdot G_{i}$ 是否成立。如果成立，即可验证 Prover 承诺的数据确实就是
$\vec{a}$ ，即
$b_{i} = a_{i}$

安全性分析

假设

G

的 generator 是

G

，

G_{i} = c_{i} G

，

G_{i}

之间的离散对数关系不知道。

c_{i}

对双方都是未知的

C = \sum_{i = 0}^{n - 1} a_{i} c_{i} \cdot G

。理论上存在

\vec{b} \neq \vec{a}

，使得

\sum_{i = 0}^{n - 1} a_{i} c_{i} = \sum_{i = 0}^{n - 1} b_{i} c_{i}

。但是要找到这样的

\vec{b}

，相当于能攻破离散对数难题。