Findora密码原语之chaum-pedersen协议

github: https://github.com/FindoraNetwork/zei/blob/develop/crypto/src/basic/chaum_pedersen.rs

chaum_pedersen是一种零知识证明协议，设G、H是椭圆曲线上的两点，$P=rG,Q=rH$且P、Q公开，证明者Alice在不透漏r的情况下向Bob证明P、Q具有的相同的r，证明过程如下：

在Findora中，chaum_pedersen用来证明两个pedersen承诺具有相同的承诺值，设G、H(H=zG,但z不知)是椭圆曲线上的两点，$P=vG+b_{1}H,Q=vG+b_{2}H,v,b_1,b_2\in F$，证明过程如下：

$Prov{e}_{chaum\_pedersen}(P,Q,v,b_1,b_2)\to (c_1,c_2,s_1,s_2,s_3):$

• $随机选取r_1,r_2,r_3\in F$
• $计算c_1=r_{1}G+r_{2}H,c_2=r_{1}G+r_{3}H$
• $通过Fiat-Shamir变换计算\beta =hash(G,H,P,Q,c_1,c_2)$
• $计算s_1=v\cdot \beta +r_1,s_2=b_1\cdot \beta +r_2,s_3=b_2\cdot \beta +r_3$

$Verif{y}_{chaum\_pedersen}(P,Q,c_1,c_2,s_1,s_2,s_3)\to b\in 0,1:$

• $通过Fiat-Shamir变换计算\beta =hash(G,H,P,Q,c_1,c_2)$
• $随机选取{\alpha }_0,{\alpha }_1\in F$
• $令k=[{\alpha }_1{s}_1+{\alpha }_0{s}_1,{\alpha }_1{s}_1+{\alpha }_0{s}_1,-{\alpha }_0\beta ,-{\alpha }_1\beta ,-{\alpha }_0,-{\alpha }_1]$
• $令l=[G,H,P,Q,c_1,c_2]$
• $验证{\sum }_{i=0}^5{k}_i\ast l_i?=0$
• $如果验证通过，则输出1，否则输出0$

这里Proof和Verify中的生成证明和验证证是通过matrix_sigma算法来实现的，matrix_sigma是可以看作一个通用证明算法，Zei库中一些算法会构造成matrix形式通过matrix_sigma算法来进行证明，关于matrix_sigma算法更多信息可参考github：https://github.com/FindoraNetwork/zei/blob/develop/crypto/src/basic/matrix_sigma.rs。

实际上在上述验证过程，我们只需要验证两点：

• $s_{1}G+s_{2}H?=\beta \cdot P+c_1$
• $s_{1}G+s_{3}H?=\beta \cdot Q+c_2$