学习笔记：DualRing (2)：About proof

上一篇博文中，为了简化理解，省略了原文中关于证明的部分，现在来把这部分补上

Proof of Type-T AOS Ring Signature

AOS Ring Signature from Canonical Identification T

Type-T AOS ring signature 的安全性未被证明，用Canonical Identification 代替type-T签名定义AOS环签名：
（1）

（2）

Proof of unforgeability

KR-KOA：在唯密钥攻击（攻击者只知道公钥）下的密钥（私钥）恢复安全性-DLP assumption。
Special Soundness：一个canonical identification被称作是Special Soundness的，如果如果存在一个抽取器算法$\mathrm{E}\mathrm{x}\mathrm{t}$，对于所有的$(pk,sk)\in KeyGen(\cdot )$，给定任意两个可接受的文本$(R,c,z),(R,c^{\prime },z^{\prime })$（其中$c\ne c^{\prime }$），有$Pr[(s{k}^{\ast },pk)\in KeyGen(\cdot )|s{k}^{\ast }\leftarrow Ext(pk,R,c,z,c^{\prime },z^{\prime })]=1$

证明：如果canonical identification满足Special Soundness，则可证明AOS RS在KR-KOA下的不可伪造性安全性
（逆反命题：可伪造$\to$break KR-KOA）
（再通俗一点，就是敌手已知公钥，（并且可以任意查询签名和其他hash,sk）如果可以伪造新签名，则可（在SS的抽取器帮助下）恢复出私钥，打破KR）

证明：$\mathcal{A}:$打破AOS环签名的不可伪造性的PPT敌手，构建一个算法$\mathcal{B}$来破解Type-T签名的KR-KOA。假设$\mathcal{B}$从挑战者${\mathcal{C}}_T$得到公共参数$param$和公钥$p{k}^{\ast }$

Setup.

1. $\mathcal{B}$ 随机选择index $i^{\ast }\in [1,q_k]$.
2. $\mathcal{B}$运行$KeyGen()\to (p{k}_i,s{k}_i),i\in [1,q_k],i\ne i^{\ast }$. $p{k}_{i^{\ast }}=p{k}^{\ast }$.
3. $\mathcal{C}$将$param$和 S : = { p k i } i = 1 q k S:=\{pk_i\}_{i=1}^{q_k} S:={pki​}i=1qk​​发送给$\mathcal{A}$.
4. $\mathcal{B}$维护一个初始化为空的表$\mathcal{H}$.

Oracle Simulation. $\mathcal{B}$回答查询：

• $H:\mathcal{B}$将$H$模拟为一个random oracle. 对第k个不同的查询with输入$(m,\mathrm{p}\mathrm{k},R)$，选择一个随机的$c\in {\Delta }_c$.将$(k,m,\mathrm{p}\mathrm{k},R,c)$放入$\mathcal{H}$，返回$c$.
• $\mathcal{C}\mathcal{O}:$输入$i$，返回$s{k}_i$(如果$i=i^{\ast }$，终止)
• $\mathcal{S}\mathcal{O}:$输入消息$m$,公钥集$\mathrm{p}\mathrm{k}$其中签名者的index 是$j$.
  如果$j\ne i^{\ast }$，返回签名$\sigma \leftarrow \mathrm{S}\mathrm{I}\mathrm{G}\mathrm{N}(param,m,\mathrm{p}\mathrm{k},s{k}_j)$.
  如果$j=i^{\ast }$, $\mathcal{B}$:
  (1)随机选择$c_1,z_1,...,z_n\in {\mathbb{Z}}_p$.
  (2) 对于$i=1,...,n$计算$R_i=V(p{k}_i,z_i,c_i),c_{i+1}=H(m,\mathrm{p}\mathrm{k},R_i)$.（如果$(\cdot ,m,\mathrm{p}\mathrm{k},R_n,\cdot )$在$\mathcal{H}$中已存在，重新选取$c_1,z_1,...,z_n\in {\mathbb{Z}}_p$）.
  返回$\sigma =(c_1,z_1,...,z_n)$.
  （$\mathcal{B}$ simulate hash, corrupt secret key, sign可回答$\mathcal{A}$的任意查询，但$\mathcal{B}$无法获得$s{k}_{i^{\ast }}$）

Challenge.

• $\mathcal{A}$返回一个伪造$(m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },{\sigma }^{\ast }=(c_1^{\ast },z_1^{\ast },...,z_n^{\ast }))$. 定义 p k ∗ = { p k 1 , . . . , p k n } {\rm pk}^*=\{pk_1,...,pk_n\} pk∗={pk1​,...,pkn​}.如果$p{k}^{\ast }\ne p{k}_{j^{\ast }}$，终止；否则有$p{k}^{\ast }=p{k}_{j^{\ast }}$.
• $\mathcal{B}$：
  (1) 对$i=1,...,n$，计算$R_i^{\ast }=V(p{k}_i,z_i^{\ast },c_i^{\ast }),c_{i+1}^{\ast }=H(m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_i^{\ast })$
  (2) 注意对于任意$i\in [1,n],(\cdot ,m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_i^{\ast },c_{i+1}^{\ast })\notin \mathcal{H}$的概率是$\frac{1}{|{\Delta }_c|}$。 所有的$i$都满足$(\cdot ,m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_i^{\ast },c_{i+1}^{\ast })\in \mathcal{H}$的概率至少为$(1-\frac{1}{|{\Delta }_c|}{)}^n\ge 1-\frac{n}{|{\Delta }_c|}$。
  (3)在这种情况下，存在至少一个index $i$令$(k_i,m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_{i-1}^{\ast },c_i)\in \mathcal{H}$和$(k_{i+1},m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_i^{\ast },c_{i+1})\in \mathcal{H}$，$k_i>k_{i+1}$. 称这种索引为reverse index。 reverse index存在是因为这些H查询形成了一个环，以至少$1/n$的概率，index $j^{\ast }$是一个reverse index。
  (4) $\mathcal{B}$ rewind回到查询$H(m^{\ast },{\mathrm{p}\mathrm{k}}^{\ast },R_{j^{\ast }-1}^{\ast })$的点并得到一个不一样的$c_{j^{\ast }}^{\prime }$，$\mathcal{A}$返回另一个签名${\sigma }^{\prime }=(c_1^{\prime },z_1^{\prime },...,z_n^{\prime })$.
  (5) 因为$j^{\ast }$是reverse index，$R_{j^{\ast }}^{\ast }$对$\sigma$和${\sigma }^{\prime }$保持不变。因为$\sigma$和${\sigma }^{\prime }$都是有效签名，有：
  $R_{j^{\ast }}^{\ast }=V(p{k}_{j^{\ast }},z_{j^{\ast }}^{\ast },c_{j^{\ast }}^{\ast })=V(p{k}_{j^{\ast }},z_{j^{\ast }}^{\prime },c_{j^{\ast }}^{\prime })$.
  因此，有两个有效的文本$(R_{j^{\ast }}^{\ast },c_{j^{\ast }}^{\ast },z_{j^{\ast }}^{\ast }),(R_{j^{\ast }}^{\ast },c_{j^{\ast }}^{\prime },z_{j^{\ast }}^{\prime }),c_{j^{\ast }}^{\ast }\ne c_{j^{\ast }}^{\prime }$.
  (6) 因为$T$的special soundness属性，存在一个extractor $\mathrm{E}\mathrm{x}\mathrm{t}$可以输出$p{k}^{\ast }$对应的$s{k}^{\ast }$. $\mathcal{B}$用$s{k}^{\ast }$攻破key recovery under key only attack（KR-KOA）.

问题：证明中用的simulate-rewind是什么原理？

1. 参考从「模拟」理解零知识证明，其中关于模拟器与理想世界的解释：
2. 参考读心术：从零知识证明中提取「知识」，安全的交互协议的三个性质分别是完备性、可靠性与零知识。其中完备性（Prover在没有知识的情况下不能通过Verifier的验证）表示：
   如何检验Prover的知识？：借助理想世界中的超能力，可以把对面的Prover 的知识「抽取」出来，而在现实世界中没有超能力，所以还是零知识的。这个超能力就是rewind

Proof of anonymous

Challenge.

• ${\mathcal{A}}_1$给$\mathcal{B}$:$m,\mathrm{p}\mathrm{k}$和$i_0,i_1$
• $\mathcal{B}$随机选择$c_1,z_1,...,z_n\in {\mathbb{Z}}_p$，对于$i=1,...,n$，计算$R_i=V(p{k}_i,z_i,c_i),c_{i+1}=H(m,\mathrm{p}\mathrm{k},R_i)$，令$H(m,\mathrm{p}\mathrm{k},R_n)=c_1$
  （如果哈希值已经被$H$Oracle查询过，重新选取$c_1,z_1,...,z_n\in {\mathbb{Z}}_p$）
• 返回$\sigma =(c_1,z_1,...,z_n)$和 { ω i } i = 1 q k \{\omega_i \}_{i=1}^{q_k} {ωi​}i=1qk​​给${\mathcal{A}}_2$. $\mathcal{B}$随机选择一个bit $b$.
  Output.
  ${\mathcal{A}}_2$输出一个bit $b^{\prime }$，注意在生成签名$\sigma$中没用到$b$，所以${\mathcal{A}}_2$仅可以1/2的概率赢。

Proof of DualRing

为Canonical Identification定义了新的安全性模型：special impersonation under key only attack，是impersonation attack和 special soundness的结合，敌手通过输出两个具有相同承诺的有效文本而获胜。

用这个代替special soundness together with key recovery under key only attack的原因：DualRing-LB有效的lattice-based identification不满足标准的special soundness定义，这起源于有效格基ZKP的knowledge gap. 方法中的知识抽取器不能保证恢复给定pk的sk,而是恢复一个与公私钥对的关系密切相关的放松关系的近似见证。