Permutation $\pi$ 零知识证明

1. 背景知识

Prover 需要在不reveal permutation $\pi$ 的基础上，证明其确实知道 $\pi$ ，且在收到Verifier challenge信息后，Prover对challenge 信息采用相同的 $\pi$ 处理并将处理后的消息发送给Verifier，Verifier应可验证所收到的消息确实是采用了相同的permutation $\pi$ 处理，尽管其并不知道具体的permutation $\pi$ 内容。
在Jens Groth 2010年论文《A Verifiable Secret Shuffle of Homomorphic Encryptions》和Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》中，均有对permutation $\pi$ 证明算法实现，具体也可结合这两篇博客来看：

博客Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1）第2节内容。
博客A Verifiable Secret Shuffle of Homomorphic Encryptions学习笔记第3节内容。

假设均针对长度为 $N=nm$ 的Permutation $\pi$ 进行证明，且均采用Pedersen commitment规则：
在这里插入图片描述

2. Groth2010的permutation $\pi$ 零知识证明

Jens Groth 2010年论文《A Verifiable Secret Shuffle of Homomorphic Encryptions》的思路为：
Common Input: public commitment key $ck$ 。【length为 $N+1$ 】
Prover’s witness: permutation $\pi\in\sum_{N}$ 。
证明：在不暴露permutation $\pi$ 的前提下，Verifier给challenge(s)，Prover respond，Verifier需验证：Prover确实知道某permutation $\pi$ ；Prover respond的消息内采用了相同的permutation $\pi$ 。

1）Prover：对permutation $\pi$ 进行commit $c=com_{ck}=(\pi(1),\cdots,\pi(N);r)$ ，其实就是对数字 $1,\cdots,N$ 的permutation commit。只需证明 $c$ 为a commit to a permutation of the numbers $1,\cdots,N$ ，这样就可以保证the prover is bound to some permutation he knows, but the permutation remains hidden.
同时选 $N$ 个随机数 $-d_1,\cdots,-d_N$ 用于保护permutation $\pi$ 不被reveal，对这些随机数进行commit $c_d=com_{ck}(-d_1,\cdots,-d_N;r_d)$ 。
将 $c$ 和 $c_d$ 发送给Verifier。
2）Verifier：Challenges $t_1,\cdots,t_N$ 。【length为 $N$ 】
3）Prover：对收到的 $t_1,\cdots,t_N$ 按相同的permutation $\pi$ 进行permute，计算 $s_i=t_{\pi(i)}+d_i$ 。Prover给Verifier发送 $s_1,\cdots,s_N$ 。【length为 $N$ 】
4）Prover：提供证明 $s_i$ have been formed correctly, using the same permutation $\pi$ that used to form $c$ 。
Common Input: $ck$ 、 $c$ 、 $c_d$ 、 $(s_1,\cdots,s_N)$ 以及 $t_1,\cdots,t_N$ 。
Prover’s witness: permutation $\pi\in\sum_{N}$ 。
证明： $s_1,\cdots,s_N$ 中的permutation $\pi$ 和commitment $c$ 中的permutation $\pi$ 是相同的。

Verifier：challenge $\lambda$
Common input：构建向量 $(m_1,\cdots,m_N)=(\lambda\cdot 1+t_1,\cdots,\lambda\cdot N+t_N)$ （构建依据为 $c$ 为a commit to a permutation of the numbers $1,\cdots,N$ ）。
Prover：
（1）利用witness permutation $\pi$ 构建向量 $(m_{\pi(1)},\cdots,m_{\pi(N)})=(\lambda\pi(1)+t_{\pi(1)},\cdots, \lambda\pi(N)+t_{\pi(N)})$ ，引入随机值 $\rho=r\lambda+r_d$ ，Prover可计算 $c_{\lambda}=com_{ck}(\lambda\pi(1)+t_{\pi(1)},\cdots,\lambda\pi(N)+t_{\pi(N)};\rho)=com_{ck}(m_{\pi(1)},\cdots,m_{\pi(N)};\rho)$ 。
实际上，利用commitment的加法同态性，Verifier和Prover均可获得 $c_{\lambda}= c^{\lambda}c_dcom_{ck}(s_1,\cdots,s_N;0)$ 。
从而 $c_{\lambda}$ 为common input，无需传递。
（2）已知 $c_{\lambda}= com_{ck}(m_{\pi(1)},\cdots,m_{\pi(N)};\rho)$ 和 $(m_1,\cdots,m_N)$ ，证明Prover知道相应的permutation $\pi$ 和randomizer $\rho$ ：（显然地，可以借助博客博客A Verifiable Secret Shuffle of Homomorphic Encryptions学习笔记第二节的“shuffle of known contents 明文shuffle证明”来实现。同时注意，其中的challenge $x$ 可复用以上（1）中的challenge $\lambda$ ）
Prover和Verifier：均计算 $c_{\lambda}= c^{\lambda}c_dcom_{ck}(s_1,\cdots,s_N;0)$ 。
Prover：复用 $x=\lambda$ ，复用之前的 $c_d=-c_d,c=c_{\lambda}$ ，从而有：

由此，即完成整个permutation $\pi$ 零知识证明。

3. Groth2012的permutation $\pi$ 零知识证明

Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》的思路为：
Prover’s witness: permutation $\pi\in\sum_{N}$ 。
Common Input: public commitment key $ck$ 。【length为 $n+1$ 】（将 $(\pi(1),\cdots,\pi(N))$ 向量以 $n$ 行 $m$ 列的矩阵表示，减少 $ck$ 的长度减少 $m$ 倍。）
证明：在不暴露permutation $\pi$ 的前提下，Verifier给challenge(s)，Prover respond，Verifier需验证：Prover确实知道某permutation $\pi$ ；Prover respond的消息内采用了相同的permutation $\pi$ 。

1）Prover：将 $(\pi(1),\cdots,\pi(N))$ 向量以 $n$ 行 $m$ 列的矩阵表示 $A=\vec{a}=(\vec{a}_1,\cdots,\vec{a}_m)=\{\pi(i)\}_{i=1}^N$ ，逐列进行commit $\vec{c}_A=com_{ck}(A;\vec{r})=com_{ck}(\vec{a};\vec{r})=(com_{ck}(\vec{a}_1;r_1),\cdots,com_{ck}(\vec{a}_m;r_m))$ ，其实就是对数字 $1,\cdots,N$ 的permutation commit。
将 $\vec{c}_A$ 发送给Verifier。【length为 $m$ 】【第一组commitment】
2）Verifier：Challenges $x$ 。【length为 $1$ 】
3）Prover：采用相同的permutation $\pi$ 构建 $n$ 行 $m$ 列的矩阵 $B=\vec{b}=(\vec{b}_1,\cdots,\vec{b}_m)=\{x^{\pi(i)}\}_{i=1}^N$ ，逐列进行commit $\vec{c}_B=com_{ck}(B;\vec{s})=com_{ck}(\vec{b};\vec{s})=(com_{ck}(\vec{b}_1;s_1),\cdots,com_{ck}(\vec{b}_m;s_m))$
Prover给Verifier发送 $\vec{c}_B$ 。【length为 $m$ 】【第二组commitment】
4）Prover：提供证明 $\vec{c}_B$ have been formed correctly, using the same permutation $\pi$ that used to form $\vec{c}_A$ 。
Prover提供argument，证明其知道相应的openings of the commitments to permutations of respectively $1,…,N$ 和 $x^1,…,x^N$ ，同时证明这两组commitment采用的是相同的permutation。【即第二组commitment是对 $x^1,…,x^N$ permuted in an order that was fixed before the prover saw $x$ 】。

4.1 为了证明两组commitment采用的是相同的permutation，Verifier给Prover random challenges $y$ 和 $z$ 。
4.2 Prover commit to 一系列 $d_1-z=y\pi(1)+x^{\pi(1)}-z,…,d_N-z=y\pi(N)+x^{\pi(N)}-z$ 。使用product argument，即可证明 $\prod_{i=1}^{N}(d_i-z)= \prod_{i=1}^{N}(yi+x^i-z)$ 等式成立。【想象其为 $z$ 的N阶多项式， $d_i$ 是对其root根 $yi+x^i$ 的permute，基于Schwartz-Zippel lemma可知，针对特定的 $z$ 值Prover伪造找到相应 $d_i$ 值使该等式成立的概率不高于 $\frac{N}{q-1}$ ，可忽略。同理，针对 $y$ 值，Prover伪造两组commitment使等式成立的概率也可忽略。】
方法一：
直接将 $\{d_i-z\}_{i=1}^N$ 发送给Verifier，Verifier验证等式成立即可。但由于 $d_i-z=y\pi(i)+x^{\pi(i)}-z$ ，Verifier对 $x,y,z$ 均已知，其可以直接猜测出相应的 $\pi(i)$ ，相当于 $\pi$ 被reveal了，违背了 $\pi$ 的零知识要求。
方法二：
构建 $n$ 行 $m$ 列矩阵 $E=\{d_i-z\}_{i=1}^N=(e_{11},\cdots,e_{nm})=(\vec{e}_1,\cdots,\vec{e}_m)$ ，这样 $\prod_{i=1}^{N}(d_i-z)$ 可理解为矩阵 $F$ 中所有元素的乘积，亦可再次理解为每行乘积之后所有行的乘积。 $\Rightarrow$ 对矩阵 $E$ 逐行乘积形成新的向量 $\vec{f}=(\prod_{j=1}^{m}e_{1j},\cdots,\prod_{j=1}^{m}e_{nj})=(f_1,\cdots,f_n)$ ，这样 $\prod_{i=1}^{N}(d_i-z)=\prod_{i=1}^{n}\prod_{j=1}^{m}e_{ij}=\prod_{i=1}^{n}(\prod_{j=1}^{m}e_{ij})=\prod_{i=1}^{n}f_i$
Verifier对 $\prod_{i=1}^{N}(yi+x^i-z)$ 中的 $x,y,z$ 均已知，可将其理解为某常量值 $f$ 。
构建 $n$ 行 $m$ 列矩阵 $-z$ 并对其逐列进行commit有 $\vec{c}_{-z}=com_{ck}(-z,\cdots,-z;\vec{0})$ 。
基本思路为：
<1>利用commitment的加法同态性，对矩阵 $E$ 逐列commit值为 $\vec{c}_E=\vec{c}_A^y\vec{c}_B\vec{c}_{-z}$ 。Verifier可直接计算该值。
<2> 对向量 $f$ commit $c_f=com_{ck}(\vec{f};s)=com_{ck}(f_1,\cdots,f_n;s)$ 。

接下来，赋值 $矩阵A=矩阵E，\vec{b}=\vec{f}，b=f$ ，就可以结合博客Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）来理解了。

4. Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的permutation argument

在博客Short Pairing-based Non-interactive Zero-Knowledge Arguments中介绍了Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的permutation argument，与以上2和3中的permutation argument不同，相应的permutation $\rho$ 为public known。
在这里插入图片描述
Witness： $a_1,\cdots,a_n$ 及 $b_1,\cdots,b_n$
Public info：permutation $\rho$
Prover：计算 $c=com_{ck}( a_1,\cdots,a_n;r_a)$ 和 $d=com_{ck}(b_1,\cdots,b_n;r_b)$