多项式承诺：KZG

参考文献：

1. Merkle, R. ”Protocols for Public Key Cryptosystems.” Proc. 1980 Symp. on Security and Privacy, IEEE Computer Society (April 1980), 122-133.
2. Benaloh J, Mare M. One-way accumulators: A decentralized alternative to digital signatures[C]//Workshop on the Theory and Application of of Cryptographic Techniques. Springer, Berlin, Heidelberg, 1993: 274-285.
3. Kate A, Zaverucha G M, Goldberg I. Constant-size commitments to polynomials and their applications[C]//International conference on the theory and application of cryptology and information security. Springer, Berlin, Heidelberg, 2010: 177-194.

One-way accumulators（1993）

定义

我们说函数 $f:X\times Y\to X$ 是准交换的（quasi-commutative），如果对于任意的 $x\in X$，以及任意的 $y_1,y_2\in Y$，有
$$f(f(x,y_1),y_2)=f(f(x,y_2),y_1)$$

单向累加器（One-way accumulators）是一种准交换的单向哈希函数（OWHF），即 $y_1,\cdots ,y_m$ 的累积哈希（accumulated hash）
$$z=h(h(\cdots h(x,y_1),\cdots ),y_m)$$

不会因为 $y_i$ 的顺序改变而改变。

实例化：

• 安全素数（safe prime）：$p=2p^{\prime }+1$，其中 $p^{\prime }$ 是奇素数
• 刚性整数（rigid integer）：$n=pq$，其中素数 $p,q$ 是安全的，且 $|p|=|q|$
• 基于 RSA 假设的 Hash 函数：$e_n(x,y)=x^y(\mathrm{m}\mathrm{o}\mathrm{d}n)$

应用

使用 $e_n(x,y)=x^y(\mathrm{m}\mathrm{o}\mathrm{d}n)$ 作为单向累加器，其中的 $n$ 是 CRS，没人知道它的因子 $p,q$，可以利用 MPC 来生成。花费大代价生成后，它可以被任意重用。

1. 时间戳（Time Stamping）：一群人需要对自己的实时文档打时间戳，并在一段时间后，让其他人相信这个时间戳的有效性。

   • 假设某一轮里，有 $y_1,\cdots ,y_m$ 个（被常规哈希过的）文件需要打时间戳。

   • 首先对当前时间 $t$ 做共识，设置初始 $x=t^2(\mathrm{m}\mathrm{o}\mathrm{d}n)$。

   • 各参与者 $P_j$ 公布自己的 $y_j$，各自收集后计算 $Y={\prod }_j{y}_j$ 和 $y_j^{\prime }=Y/y_j$，然后计算 $z_j=x^{y_j^{\prime }}$ 和 $z=x^Y$

   • 易知 $z=h(z_j,y_j)$，因此 $P_j$ 保留二元组 $(z_j,y_j)$ 作为证据。

   • 当向他人证明 $y_j$ 对应文档的时间戳时，只需同时提供这个二元组即可。

2. 隶属证明（Membership Testing）：一群人组成一个匿名团体，想要向成员或非成员证明自己真的属于这个团体。

   • 首先对团体的初值 $x$（比如团体的描述）做共识。

   • 各参与者 $P_j$ 选择自己的 $y_j$（比如自己的假名），然后公布。

   • 各自收集后计算 $Y={\prod }_j{y}_j$ 和 $y_j^{\prime }=Y/y_j$，然后计算 $z_j=x^{y_j^{\prime }}$ 和 $z=x^Y$

   • 易知 $z=h(z_j,y_j)$，因此 $P_j$ 保留二元组 $(z_j,y_j)$ 作为证据。

   • 向成员证明时，向他展示这个二元组，验证 $h(z_i,y_i)=h(z_j,y_j)$（因为 $z$ 可被成员所重构，因此不必存储）

   • 向非成员证明时，他从公开资料中获取 $z,n$，然后向他展示这个二元组，验证 $z=h(z_j,y_j)$

   • Merkle Tree（1980）也可以完成隶属证明，但它的复杂度是路径长度 $O(\log n)$，而单向累加器仅为 $O(1)$

KZG（2010）

多项式承诺

KZG 将 ${\mathbb{Z}}_p$ 上的 $O(t)$ 个数值 $m_1,\cdots ,m_t$，打包进一个多项式 $\varphi (x)\in {\mathbb{Z}}_p[x]$ 中，$\mathrm{deg}\varphi =t$，仅需对多项式 $\varphi (x)$ 做大小为 $O(1)$ 的承诺即可。

KZG 基于离散对数问题，以及它的一系列变体，

多项式承诺协议（polynomial commitment scheme）抽象为算法六元组，

我们说一个多项式承诺协议 $(Setup,Commit,Open,VerifyPoly,CreateWitness,VerifyEval)$ 是安全的（secure），如果满足以下性质：

KZG 给出了两种构造方案，第一种是计算隐藏的，第二种是无条件隐藏的。

Computationally hiding

对于一个多项式 $\varphi (x)$，为了证明在点 $i$ 处的值为 $\varphi (i)$，只需证明
$$(x-i)\mid (\varphi (x)-\varphi (i))$$

也就是说，存在多项式 $\psi (x)$，满足
$${\psi }_i(x)=\frac{\varphi (x)-\varphi (i)}{x-i}$$

基于 DL 假设、t-SDH 假设，构造的承诺方案 $PolyCommi{t}_{DL}$ 如下：

Unconditionally hiding

为了实现无条件隐藏的性质，添加一个随机多项式 $\hat{\varphi }(x){\in }_R{\mathbb{Z}}_p[x]$

利用 $PolyCommi{t}_{DL}$ 的同态性质，有

• 多项式承诺的同态：$\varphi ={\varphi }_1+{\varphi }_2⟺C_{\varphi }=C_{{\varphi }_1}{C}_{{\varphi }_2}$
• 函数值证据的同态：$\varphi (i)={\varphi }_1(i)+{\varphi }_2(i)⟺w_{\varphi (i)}=w_{{\varphi }_1(i)}{w}_{{\varphi }_2(i)}$

基于 t-SDH 假设，构造的承诺方案 $PolyCommi{t}_{Ped}$ 如下：

Batch Opening

有时候，需要打开多个位置的函数值，即 $B\subset {\mathbb{Z}}_p$，其中 $|B|<t$

对于 $PolyCommi{t}_{DL}$ 方案，计算一批证据
$$w_B=g^{{\psi }_B(\alpha )}$$

其中
$${\psi }_B(x)=\frac{\varphi (x)-r(x)}{{\prod }_{i\in B}(x-i)}$$

这里的 $r(x)$ 是多项式除法的余数。

• 批算法 $CreateWitnessBatch(PK,\varphi (x),B)$ 输出 $<B,r(x),w_B>$

• 批算法 $VerifyEvalBatch(PK,C,B,r(x),w_B)$ 验证
  $$e(C,g)\stackrel{?}{=}e(g^{{\prod }_{i\in B}(\alpha -i)},w_B)\cdot e(g^{r(\alpha )},g)$$

对于 $PolyCommi{t}_{Ped}$ 方案，也类似。

应用

高效 VSS

Strong Correctness：除了满足正确性，还不能够承诺次数大于 $t$ 的多项式。

如果双线性群 $G$ 上有 t-polyDH 假设，那么 $PolyCommi{t}_{DL}$ 和 $PolyCommi{t}_{Ped}$ 都是强正确的。

基于 t-SDH 假设、t-polyDH 假设，构造的 VSS 如下：

原始的 Feldman 的 VSS 方案，在承诺阶段需要分别对多项式的 $t$ 个系数做承诺，$O(t)$ 的复杂度。新的 eVSS 方案在承诺阶段仅需 $O(1)$ 次广播。

ZKS

zero-knowledge sets（ZKS）：首先承诺一个集合 $S$，零知识的证明两种声明，$k_j\in S$ 或者 $k_j\notin S$

由于很多应用中，集合 $S$ 的大小不影响安全性，因此可以减弱为可以泄露 $|S|$ 的信息，叫做 nearly ZKS。

假设 $|S|\le t$，令多项式 $\varphi (k_j)=0,\forall x_j\in S$，而 $\varphi (k_j)\ne 0,\forall x_j\notin S$

基于 $PolyCommi{t}_{Ped}$，nearly ZKS 的构造如下：

其中的 ZKPP ，用于证明 Prover 真的知道关于 $z_j$ 的函数值 $\varphi (k_j)$ 和 $\hat{\varphi }(k_j)$ 的知识，且有 $\varphi (k_j)\ne 0$

ZK-EDB

zero-knowledge elementary databases（ZK-EDB）：数据库 EDB 是一个键值对的列表，首先承诺这个数据库，然后回应 key 的查询，并零知识的证明 value 是正确对应的。

由于很多应用中，数据集 $D=(K,V)$ 的大小不影响安全性，因此可以减弱为可以泄露 $|D|$ 的信息，叫做 nearly ZK-EDB。

基于 $PolyCommi{t}_{DL}$，nearly ZK-EDB 的构造如下：

CES

Content Extraction Signatures（CES）：Alice 有数组 $(m_1,\cdots ,m_t)$，需要 Trent 签名。Alice 不希望泄露 $m_j$ 的信息给 Trent，同时希望向 Bob 证明 Trent 对某个消息 $m_j$ 签名了。

构造如下：

1. Alice 用 $(i,\varphi (i)=m_i)$ 插值出多项式 $\varphi (x)$，做承诺 $C=Commit(PK,\varphi (x))$
2. Trent 对承诺值 $C$ 签名 $\sigma$
3. Alice 将 $m_j$ 打开，发送 $(C,\sigma ,j,m_j,w_j)$ 给 Bob
4. Bob 验证 $m_j$ 确实在承诺值 $C$ 里，并且 $\sigma$ 确实是 Trent 对 $C$ 的合法签名