Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists 学习笔记

1. 引言

Bayer和Groth 2013年论文《Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists》，发表于EuroCrypt 2013。

相应的代码实现参见：

• https://github.com/lovesh/bg_poly_eval

---

要点：
1）基于DL assumption，实现了证明commitments $c_1,c_2,\cdots ,c_d$ to $u^{2^1},u^{2^2},\cdots ,u^{2^d}$ are well formed，Prover发送commitments $c_{f{u}_j}=Com(f_j{u}^{2^j})$给Verifier。【而不需要借助pairing】
Verifier：
验证：
$c_{j+1}^x{c}_j^{-{\bar{f}}_j}{c}_{f{u}_j}=Com(x{u}^{2^{j+1}}-(x{u}^{2^j}+f_j)u^{2^j}+f_j{u}^{2^j})=Com(0)$
即可。

2）最大亮点：将序号$i$以二进制形式表示，即$i=i_d\cdots i_0$，其中 i j ∈ { 0 , 1 } i_j\in\{0,1\} ij​∈{ 0,1}。
可将term $U^i$表示为$U^i=U^{{\sum }_{j=0}^d{i}_j{2}^j}={\prod }_{j=0}^d(U^{2^j}{)}^{i_j}$，将其替换进多项式中有：
$P(U)={\sum }_{i=0}^D{a}_i{U}^i={\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(U^{2^j}{)}^{i_j}$
证明 the committed powers of $u$ in $c_0,c_1,\cdots ,c_d$ evaluate to the committed $v$，Prover引入随机值$f_0,\cdots ,f_d\leftarrow {\mathbb{Z}}_p$，构建新的多项式：
$Q(X)={\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(X{u}^{2^j}+f_j{)}^{i_j}{X}^{1-i_j}=X^{d+1}P(u)+X^d{\delta }_d+\cdots +X{\delta }_1+{\delta }_0$

3）基于DL assumption，构建了polynomial evaluation argument，针对的场景为：【communication cost 为$O(\log D)$，其中$D$为polynomial degree。】

• public info：polynomial $P(X)$ of degree $D$，commitments $c_0$和$c_v$
• private info：$u$和$v$
• relation：$P(u)=v$ 且 $c_0=co{m}_{ck}(u)=co{m}_{ck}(u^{2^0})$ 且 $c_v=co{m}_{ck}(v)$

4）基于本文的polynomial evaluation argument实现了membership proof和non-membership proof。要点为构建多项式$P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$。

---

[4] Brands等人2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》
[14] Fujisaki和Okamoto 1997年论文《Statistical zero knowledge protocols to prove modular polynomial relations》
[15] Groth 2009年论文《Linear algebra with sub-linear zero-knowledge arguments》

verification of a polynomial’s evaluation in a secret committed value可用于non-membership proof或membership proof。

• 构建了a novel special honest verifier zero-knowledge argument for correct polynomial evaluation，该argument communication cost 为$O(\log N)$，其中$N$为the polynomial degree，相比于之前的$O(N^{\frac{1}{3}})$ communication complexity有了大幅改进。
• polynomial evaluation argument为 3-move structure，基于 discrete logarithm assumption。
• 该polynomial evaluation argument可用于构建zero-knowledge membership and non-membership arguments with communication that is logarithmic in the size of the blacklist。
  non-membership proofs可用于design anonymous blacklisting schemes allowing online services to block misbehaving users without learning the identity of the user，同时支持blocking of single users of anonymization networks without blocking the whole network。

与普通的polynomial commitment 中的evaluation point $u$为public info不同，本文针对的场景为：（其中evaluation point $u$为secret info）

• public info：polynomial $P(X)$ of degree $D$，commitments to $u$和$v$
• private info：$u$和$v$
• relation：$P(u)=v$

针对以上场景，本文构建的polynomial evaluation argument具有如下特性：

• 基于discrete logarithm assumption in a prime order group。
• 标准的3-round public coin structure，且 common reference string仅有少量group elements。
• communication 随着polynomial degree 对数增长。
• Prover和Verifier都是computationally efficient的。
• 使用了真实数据做了相应实现。

polynomial evaluation argument 可用于blacklisting anonymous users。
维基百科允许匿名postings，支持阻止IP address of misbehaving users，但是直接阻止IP的方案过于crude，存在以下问题：
若one user of 匿名网络Tor abuses Wikipedia，则all users whose traffic comes out of the same Tor relay with this IP-address are blocked。因此one misbehaving user causes many innocent users to be punished。
Johnson等人 2007年论文《Nymble: Anonymous ip-address blocking》中提出了使用Nymble system来解决该问题。

• 相比于直接禁用IP地址，可要求每个用户anonymously proves that she has not been blacklisted。借助本文的polynomial evaluation argument，可构建a non-membership proof，使得a user to efficiently prove that she has not been blacklisted。
• 也可使用本文的polynomial evaluation argument来构建efficient membership proofs。Membership proofs可广泛用于白名单访问控制系统，或者如e-voting或e-auction应用中where users want to prove that their votes are valid or their bids belong to a set of approved values。

使用prime order $p$ group $\mathbb{G}$和Pedersen commitment scheme。
polynomial $P(X)={\sum }_{i=1}^D{a}_i{X}^i$的系数为public info。
已知a list of values L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​} 和a Pedersen commitment $c$，membership proof对应为证明$c$ is a commitment to $u\in \mathcal{L}$，non-membership proof对应为证明$c$ is a commitment to $u\notin \mathcal{L}$：
根据Brands等人2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》中的思路，可构建多项式$P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，membership proof对应为证明$P(u)=0$，non-membership proof对应为证明$P(u)\ne 0$。相应的communication cost为$O(\log D)$。

1.1 polynomial evaluation argument相关研究

• Cramer 和Damg°ard 1998年论文《Zero-knowledge proofs for finite field arithmetic; or: Can zero-knowledge be for free?》的communication complexity为linear。
• Groth 2009年论文《Linear algebra with sub-linear zero-knowledge arguments》的communication complexity为$O(\sqrt{D})$个group elements。
• Groth 2011年论文《Efficient zero-knowledge arguments from two-tiered homomorphic commitments》中使用了stronger assumption构建了pairing-based argument，相应的communication complexity为$O(D^{\frac{1}{3}})$个group elements。
• Fujisaki 和Okamoto 1997年论文《Statistical zero knowledge protocols to prove modular polynomial relations》中考虑的是polynomial evaluation in RSA-based context，但是其zero-knowledge argument具有linear complexity。
• Brands 等人2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》中与本文类似，也是基于discrete logarithm assumption，且相应的communication complexity为$O(\sqrt{D})$个group elements。
  

1.2 membership proof和non-membership proof相关研究

针对a committed $u\in \mathcal{L}$ or $u\notin \mathcal{L}$ where L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}
直观的证明方式是：

• 对于non-membership proof，相当于证明${\lambda }_1\ne u_1\wedge \cdots \wedge {\lambda }_D\ne u$。
• 对于membership proof，相当于证明${\lambda }_1=u\vee \cdots \vee {\lambda }_D=u$。

membership proof和non-membership proof相关研究有：

• Bresson and Stern 2001年论文《Efficient revocation in group signatures》在context of revoking members of group signature schemes中提出了a solution based on the strong RSA assumption。
• Peng和Bao 2010年论文《Improving applicability, efficiency and security of non-membership proof》中实现了a general discrete logarithm based zero-knowledge arguments of non-membership with linear complexity。
• Brands 等人2007年论文《A practical system for globally revoking the unlinkable pseudonyms of unknown users》改进实现了communication complexity为$O(\sqrt{D})$ group elements。
• Peng 2011年论文《A general, flexible and efficient proof of inclusion and exclusion》中实现了与Brands类似的non-membership proof with the same complexity。

累加器[2, 9, 37, 29, 8, 38] 可提供另一种实现membership proof的机制。
non-membership 累加器在[22,39]等论文中提出。
大多数的累加器都依赖a trusted party to maintain the accumulator。
目前密码学累加器多基于strong RSA assumption或pairing-based $q$-SDH assumption，而不是discrete logarithm assumption。

2. polynomial evaluation argument

针对的场景为：

• public info：polynomial $P(X)$ of degree $D$，commitments $c_0$和$c_v$
• private info：$u$和$v$
• relation：$P(u)=v$ 且 $c_0=co{m}_{ck}(u)=co{m}_{ck}(u^{2^0})$ 且 $c_v=co{m}_{ck}(v)$

通过附加zero-coefficients策略，可假设$D=2^{d+1}-1$。
基本思路为：

• 1）将序号$i$以二进制形式表示，即$i=i_d\cdots i_0$，其中 i j ∈ { 0 , 1 } i_j\in\{0,1\} ij​∈{ 0,1}。
  可将term $U^i$表示为$U^i=U^{{\sum }_{j=0}^d{i}_j{2}^j}={\prod }_{j=0}^d(U^{2^j}{)}^{i_j}$，将其替换进多项式中有：
  $P(U)={\sum }_{i=0}^D{a}_i{U}^i={\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(U^{2^j}{)}^{i_j}$

• 2）Prover将make commitments $c_1,c_2,\cdots ,c_d$ to $u^{2^1},u^{2^2},\cdots ,u^{2^d}$，然后采用stantdard techniques来证明they are well-formed【见后续第8)步】，然后证明${\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(u^{2^j}{)}^{i_j}=v$。由于$d=\lfloor \log D\rfloor$，prover仅需make a logarithmic number of commitments，将有助于keep communication low。

• 3）为了证明 the committed powers of $u$ in $c_0,c_1,\cdots ,c_d$ evaluate to the committed $v$，Prover引入随机值$f_0,\cdots ,f_d\leftarrow {\mathbb{Z}}_p$，构建新的多项式：
  $Q(X)={\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(X{u}^{2^j}+f_j{)}^{i_j}{X}^{1-i_j}=X^{d+1}P(u)+X^d{\delta }_d+\cdots +X{\delta }_1+{\delta }_0$

• 4）为了证明the coefficient of $X^{d+1}$ in the secret $Q(X)$ is the same as $v$ in a way that cancels out the ${\delta }_0,\cdots ,{\delta }_d$ coefficients。
  Prover 发送给 Verifier commitments $c_{f_0},\cdots ,c_{f_d}$ to $f_0,\cdots ,f_d$ 以及 commitments $c_{{\delta }_0},\cdots ,c_{{\delta }_d}$ to ${\delta }_0,\cdots ,{\delta }_d$。

• 5）Verifier：发送random challenge $x\leftarrow {\mathbb{Z}}_p$。

• 6）Prover：需要证明$Q(x)=x^{d+1}v+x^d{\delta }_d+\cdots +{\delta }_0$。
  由于Pedersen commitment具有同态属性：
  即对于$c_a=Com(a),c_b=Com(b)$，满足：$c_a\cdot c_b=Com(a+b)$ 以及 $c_a^x\cdot c_b=Com(ax+b)$。
  于是有，Prover可open each product $c_j^x{c}_{f_j}$ to ${\bar{f}}_j=x{u}^{2^j}+f_j$。
  Prover将${\bar{f}}_j$ for $j=0,\cdots ,d$ 发送给Verifier。

• 7）Verifier：根据收到的${\bar{f}}_j$，计算相应的$\bar{\delta }={\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d{\bar{f}}_j^{i_j}{x}^{1-i_j}$，验证：
  $Com({\bar{f}}_j)=c_j^x{c}_{f_j}$
  和
  $Com(\bar{\delta })=c_v^{x^{d+1}}{\prod }_{j=0}^d{c}_{{\delta }_j}^{x^j}$
  是否成立即可。

• 8）为了证明commitments $c_1,c_2,\cdots ,c_d$ to $u^{2^1},u^{2^2},\cdots ,u^{2^d}$ are well formed，Prover发送commitments $c_{f{u}_j}=Com(f_j{u}^{2^j})$给Verifier。

• 9）Verifier：
  验证：$c_{j+1}^x{c}_j^{-{\bar{f}}_j}{c}_{f{u}_j}=Com(x{u}^{2^{j+1}}-(x{u}^{2^j}+f_j)u^{2^j}+f_j{u}^{2^j})=Com(0)$
  即可。

添加blinding randomness，完整的zero-knowledge polynomial evaluation argument为：
【

• communication cost约为$4d$ group elements和$3d$ field elements。
• Prover computation为：$8d$ exponentiations in $\mathbb{G}$ 来计算the commitments，以及需要计算满足${\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d(X{u}^{2^j}+f_j{)}^{i_j}{X}^{1-i_j}=X^{d+1}P(u)+X^d{\delta }_d+\cdots +X{\delta }_1+{\delta }_0$的 ${\delta }_0,\cdots ,{\delta }_d$，需要$2dD$ multiplications in ${\mathbb{Z}}_p$。
• Verifier computation为：由于verification中使用了2次$x$，Verifier需要$6d$ exponentiations in $\mathbb{G}$。同时为了计算${\sum }_{i_0,\cdots ,id=0}^1{a}_{i_d\cdots i_0}{\prod }_{j=0}^d{\bar{f}}_j^{i_j}{x}^{1-i_j}$ 需要$2D$ multiplications in ${\mathbb{Z}}_p$。
• 借助multi-exponentiation 技术可进一步reduce Prover和Verifier的计算量。
  】

3. Non-membership argument

针对的场景为：

• Public info: $P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，以及set L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}，commitment $c_u$
• private info：$u$
• relation：$u\notin \mathcal{L}$ 且 $c_u=Com(u)$

可转换为：

• Public info: $P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，以及set L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}，commitment $c_u$ 和 commitment $c_v$
• private info：$u,v$
• relation：$P(u)=v$ 且 $c_u=Com(u)$ 且 $v\ne 0$ 且 $c_v=Com(v)$

进一步转换为：

• Public info: $P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，以及set L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}，commitment $c_u$ 和 commitment $c_v$以及commitment $c_w$
• private info：$u,v,w$
• relation：$P(u)=v$ 且 $w=v^{-1}$ 且 $c_v=Com(v)$ 且 $c_u=Com(u)$ 且 $c_w=Com(w)$

non-membership argument可拆分为2部分并行执行：
1）借助以上polynomial evaluation argument证明“$P(u)=v$ 且 $c_v=Com(v)$ 且 $c_u=Com(u)$“；

2）借助 Chaum和Pedersen 1992年论文《Wallet databases with observers》中的思路来证明 “$w=v^{-1}$ 且 $c_v=Com(v)$ 且$c_w=Com(w)$ “：
具体的场景为：

• public info：generator $g$, commitment $c_v,c_w$
• private info：$v,w$
• relation：$v\cdot w=1$ 且 $c_v=Com(v)$ 且$c_w=Com(w)$

证明思路为：【multiplication argument】（具体可参见Hyrax论文中的proof of product 证明）
Wahby 等人2018年论文《Hyrax: Doubly-efficient zkSNARKs without trusted setup》中Figure 5。
证明Prover 知道witness $x,y$使得$X=g^x,Y=g^y,Z=g^{xy}$
Witness：$x,y\in {\mathbb{Z}}_p$
Instance：$X,Y,Z,g\in \mathbb{G}$
Relation：$X=g^x\wedge Y=g^y\wedge Z=g^{xy}$

具体实现为：

• Prover：生成随机数$b_1,b_3{\in }_R{\mathbb{Z}}_p$,，计算commitment $\alpha =g^{b_1},\beta =g^{b_3},\delta =X^{b_3}$，将$\alpha ,\beta ,\delta \in \mathbb{G}$发送给Verifier。
• Verifier：给Prover 发送 random challenge $c{\in }_R{\mathbb{Z}}_p$。
• Prover：计算$z_1=b_1+cx,z_3=b_3+cy$，将$z_1,z_3\in {\mathbb{Z}}_p$发送给Verifier。
• Verifier：验证$\alpha \cdot X^c=g^{z_1}且\beta \cdot Y^c=g^{z_3}且\delta \cdot Z^c=X^{z_3}$ 成立即可。

参见博客 Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists 代码解析 中的Non-membership argument 中的场景：

• public info：commitment $c_v$
• witness：$v,r$
• relation：$c_v=g^v{h}^r$且$v\ne 0$

核心思想为：
若$v\ne 0$，则$v^{-1}$ 值存在。

证明思路为：

• Prover：选择random $y,z$，计算$t=c_v^y{h}^{-z}$，将$t$发送给Verifier；
• Verifier：发送challenge $x$；
• Prover：计算$s_1=y+x\cdot v^{-1},s_2=z+v^{-1}\cdot x\cdot r$，将$s_1,s_2$发送给Verifier；
• Verifier：验证$c_v^{s_1}=t\cdot g^x\cdot h^{s_2}$ 即可。

4. membership argument

针对的场景为：

• Public info: $P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，以及set L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}，commitment $c_u$
• private info：$u$
• relation：$u\in \mathcal{L}$ 且 $c_u=Com(u)$

可转换为：

• Public info: $P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$，以及set L = { λ 1 , ⋯   , λ D } \mathcal{L}=\{\lambda_1,\cdots,\lambda_D\} L={ λ1​,⋯,λD​}，commitment $c_u$和commitment $c_v$
• private info：$u,v$
• relation：$P(u)=v$ 且 $c_u=Com(u)$ 且 $c_v=Com(v)=Com(0)$

membership argument可拆分为2部分并行执行：
1）借助以上polynomial evaluation argument证明“$P(u)=v$ 且 $c_v=Com(v)$ 且 $c_u=Com(u)$“；

2）借助 Schnorr 1991年论文《Efficient signature generation by smart cards》中的思路，证明$c_v=Com(v)=Com(0)$。

多项式$P(X)={\prod }_{i=1}^D(X-{\lambda }_i)$的系数可computed in a binary tree fashion with the linear functions $X-{\lambda }_i$ as leaves。
当$p$为an FFT friendly prime时，借助FFT，两个degree 为$n$的多项式乘积仅需$O(n\log n)$ multiplications in ${\mathbb{Z}}_p$。
若list为固定的，则多项式的系数仅需计算一次。
single element additions or deletions can be done using $D$ multiplications。
若multiple elements are added or deleted at the same time，the per element cost can be reduced by using fast polynomial multiplication and division techniques。