安全多方计算之四：比特承诺

1. 简介

比特承诺方案是密码协议的重要成分，广泛应用于电子拍卖、商业谈判、电子投票、电子现金和在线游戏等领域，还可以用于零知识证明、身份认证和安全多方计算协议等。

比特承诺方案（Bit Commitment Scheme）解决这样的问题：Alice向Bob承诺一个预测（比特值），直到一段时间之后才揭示着预测（比特值）；在这期间，Alice不能改变自己的预测（比特值）。

比特承诺的一个直观例子：Alice 把消息$M$(承诺)放在一个箱子里(只有Alice有钥匙)并将它锁住送给Bob，等到 Alice 决定向 Bob证实消息$M$时，Alice把消息$M$及钥匙给 Bob，Bob 能够打开箱子并验证箱子里的消息同 Alice出示的消息是否相同，且Bob 确信箱子里的消息在他保管期间没有被篡改。

比特承诺包括两个阶段：

• 承诺阶段：Alice选择一个要承诺的比特或比特序列$b$，并把能表示该比特的消息$c$发送至Bob。
• 打开阶段：Alice把打开承诺的消息$d$与承诺$b$，发送至Bob；Bob用$d$打开消息$c$，验证$b$是否为A承诺的比特。

一个安全的比特承诺方案需满足以下两个性质：

• 隐藏性：承诺阶段，接收方Bob不能得到发送方Alice承诺的比特值。一个承诺方案是完善隐蔽的，如果接收方不能从发送的消息中得到关于承诺的任何消息。
• 绑定性：给定承诺阶段的交互信息，接收者只能接受一个合法的承诺。即发送方不能在打开承诺的阶段改变自己承诺的比特。

常见的比特承诺方案有基于对称密码算法的，基于单向函数的以及基于数学难解问题的，包括基于大数分解的与基于离散对数的等。

2. 基于对称密码算法的比特承诺方案

承诺者Alice要向检验者Bob承诺$b$，基于对称密码算法的比特承诺方案如下:

Alice 和 Bob 共同选定某种对称加密算法$E$

承诺阶段：

• Bob产生一个随机比特串$r$并发送给 Alice
• Alice 随机选择一个密钥$k$，利用对称加密算法$E$对$r$和需承诺的比特$b$加密得$c=E(r,b)$，最后将加密后的结果$c$发送给验证者 Bob

打开阶段：

• 当需要 Alice 公开承诺时,她将密钥$k$和承诺的比特$b$发送给 Bob
• Bob利用密钥$k$解密$c$，并利用他的随机串$r$检验比特$b$的有效性。

3. 基于单向函数的比特承诺方案

承诺者Alice要向检验者Bob承诺$b$（或消息串$M$），基于单向函数的比特承诺方案如下:

Alice和Bob共同选定一个单向函数$H(\cdot )$，如Hash函数

承诺阶段：

• Alice生成两个随机数$r_1,r_2$，计算单向函数值$h=H(r_1,r_2,b)$，并将散列结果$h$和其中一个随机数，如$r_1$发送给Bob

打开阶段：

• 当Alice向Bob出示承诺$b$时，把承诺$b$和另一个随机数$r_2$一起发送给Bob
• Bob计算$H(r_1,r_2,b)$的值，并与第（2）步收到的$h$值做比较，验证承诺$b$的有效性。

Alice通过发送随机数$r_1$对$b$做出承诺，也就是说散列值$h$和随机数$r_1$构成了Alice向Bob承诺的证据。

该协议的优点是Bob不必发送任何消息。

4. Pederson承诺协议

承诺者Alice要向检验者Bob承诺$m$，Pederson的比特承诺方案如下:

系统参数:$p、q$是大素数，且$q/p-1$ , 满足$Z_p$中离散对数问题是难解的, $g$ 是$Z_p^{\ast }$ 的 本原元，随机数$y\in Z_p^{\ast }$

承诺阶段:

Alice 选择需要承诺的消息比特串$m\in Z_q$, 并生成随机数$r\in Z_q^{\ast }$; 计算$c=g^r{y}^m\mathrm{mod}p$ 作为对消息$m$的承诺，将$c$发送至 Bob。

打开阶段：

Alice将$m$与$r$发送至Bob；Bob通过收到的$r$打开承诺，验证$c$的计算是否与收到的承诺一致。如果一致，则认为承诺有效，否则无效。