学习笔记：Bulletproofs & Frozen Heart

学习整理
B. Bünz, J. Bootle, D. Boneh, A. Poelstra, P. Wuille and G. Maxwell, “Bulletproofs: Short Proofs for Confidential Transactions and More,” 2018 IEEE Symposium on Security and Privacy (SP), 2018, pp. 315-334, doi: 10.1109/SP.2018.00020.
https://ieeexplore.ieee.org/document/8418611
（除算数电路部分以外的3,4章，省略了Perfectly Binding等性质证明）
并且回顾了Jim Miller新提出的Fiat-Shamir转换的严重漏洞及对Bulletproofs的破坏：
https://blog.trailofbits.com/2022/04/13/part-1-coordinated-disclosure-of-vulnerabilities-affecting-girault-bulletproofs-and-plonk/

https://blog.trailofbits.com/2022/04/15/the-frozen-heart-vulnerability-in-bulletproofs/
关于这个漏洞原理较简单的介绍，可以先看这一篇
https://blog.csdn.net/jiongxv/article/details/124267364

改进的内积证明

内积证明要证明关系（1）：

Notations

简化的范例

内积证明

前面的范例可以给出一个向量$\mathrm{a}$满足关系$P={\mathrm{g}}^{\mathrm{a}}$的证明（标量），改进的内积证明协议可以同时进行两个向量的证明，并证明关系（1）。
Protocol 1
（$u$是相对于$\mathrm{g},\mathrm{h}$具有未知离散对数的固定群元）

要证明的关系（1）等价变换为关系（2）：
Protocol 2
注意Protocol 1对Protocol 2的调用，Protocol 2中所使用的$u$其实是$u^x$.

$n=1$是递归算法终止的条件，此时输入的"向量" $a,b$和群元 $g,h$都是一维的（实际上是标量）。
递归的循环部分$n>1$，采用了一种"二分法"思路：
①②③④分别对应简化的标量实例中的相应步骤

（为了简化表示，把$[:n^{\prime }]$表示为$l$，$[n^{\prime }:]$表示为$r$，即一个向量分成的左右两半）
则每次循环计算：

所以，

对数大小的范围证明

零知识范围证明

证明范围关系转化证明内积关系

用改进的内积证明构造一个范围证明，这个证明使验证者确信承诺$V$中包含一个数字$v$，它在一定范围内，而没有揭示$v$：

证明者：
把$v$转换成包含它的位的向量 a L = ( a 1 , . . . , a n ) ∈ { 0 , 1 } n {\rm a}_L=(a_1,...,a_n)\in \{0,1\}^n aL​=(a1​,...,an​)∈{0,1}n，有$⟨{\mathrm{a}}_L,2^n⟩=v$; 并将${\mathrm{a}}_L$委托给常数规模的承诺$A\in \mathbb{G}$；
将证明$v\in [0,2^n-1]$关系转换成使验证者相信证明者知道： 承诺$A$对应的向量${\mathrm{a}}_L\in {\mathbb{Z}}_p^n$满足以下关系：

下面要将证明这$2n+1$个约束转换成证明一个内积关系，以便使用内积证明。为了做到这一点，取约束的随机线性组合(由验证者选择)。如果原始约束不满足，那么在挑战空间中，组合约束不可能成立。

1. 证明委托的向量$\mathrm{b}$满足$\mathrm{b}=0^n$，验证者需要向证明者发送一个随机的$y\in {\mathbb{Z}}_p$，而证明者需要证明$⟨\mathrm{b},{\mathrm{y}}^n⟩=0$（这种情况下$\mathrm{b}\ne 0^n$的概率可忽略）

2. 证明上面的关系又可变换为证明（这是为简化下一步组合将向量式转换为标量式）：
   

3. 将三个等式合并（随机线性组合），使用一个由验证者发送的随机$y\in {\mathbb{Z}}_p$，证明者证明：
   

4. 整理等式（合并内积，分离与$\mathrm{a}$独立无关的项）：
   
   
   因此要证明的原关系转化为了证明单个的内积关系。如果将内积中的两个向量作为证明发送给验证者，验证者只需要用$v$的承诺$V$（以及他自己选择的挑战$y,z$）即可验证关系。

5. 但是，这两个向量并不是零知识的，它们揭示了${\mathrm{a}}_L$的知识，所以不能直接发送。所以引入两个盲化向量${\mathrm{s}}_L,{\mathrm{s}}_R$.

零知识证明协议

Setup:

构造证明：
按照上文所述原理，构造两个1次向量多项式和一个2次多项式：

(注意:多项式内积的定义:

)
为了证明关系成立，证明者需要说服验证者0次系数$t_0$满足：

证明者还需向验证者提交其他系数（即$t_1,t_2$）的的委托$T_i$，然后通过检查$t(X)$在随机点$x$上的值，使验证者相信它对$t(X)$的系数有承诺：

验证：
为了构造一个${\mathrm{a}}_R\circ {\mathrm{y}}^n$的承诺，验证者将承诺的生成元从$\mathrm{h}$变为${\mathrm{h}}^{\prime }={\mathrm{h}}^{({\mathrm{y}}^{-n})}$。这产生了了这样的效果：$A$现在是$({\mathrm{a}}_L,{\mathrm{a}}_R\circ {\mathrm{y}}^n)$相对于新的生成元$(\mathrm{g},{\mathrm{h}}^{\prime },h)$的向量承诺；类似地，$S$是$({\mathrm{s}}_L,{\mathrm{s}}_R\circ {\mathrm{y}}^n)$的向量承诺。
验证过程：

(上文提到,等式右边是多项式系数$t_0,t_1,t_2$的承诺，所以验证时还需要等式右边的承诺（line 67），即$l(x),r(x)$，而$r(x)$有两个hadamard product的承诺需构造。
line 66:$A\cdot S^x$构造$l(x),r(x)$中与${\mathrm{a}}_L,{\mathrm{a}}_R,{\mathrm{s}}_L,{\mathrm{s}}_R$有关的项（line 58-59绿色部分），其余的是其他项的承诺
)

对数范围证明

上面给出的范围证明的规模是$O(n)$，可利用改进的内积证明将其降到$O(\mathrm{l}\mathrm{o}\mathrm{g}n)$，即，证明中用内积证明代替传递$\mathrm{l},\mathrm{r}$。
(67-68）等同于验证关系（2），Protocol 2的输入：$(\mathrm{g},{\mathrm{h}}^{\prime },P{h}^{-\mu },\hat{t})$，内积证明仅传递$2\cdot \lceil {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n)\rceil +2$个元素(每轮一对$L,R\in \mathbb{G}$，最后一轮传递$a,b\in {\mathbb{Z}}_p$)，整个range proof共传递$2\cdot \lceil {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n)\rceil +4$个群元素($T_1,T_2,A,S\in \mathbb{G}$)和5个${\mathbb{Z}}_p$元素(${\tau }_x,\mu ,\hat{t}$)。

聚合对数证明

即将多个range proof聚合为一个证明。关系：

调整证明：

1. （line 41）:${\mathrm{a}}_L\in {\mathbb{Z}}_p^{n\cdot m},⟨2^n,{\mathrm{a}}_{L[(j-1)\cdot n:j\cdot n-1]}⟩=v_j,j\in [1,m]$，故而${\mathrm{a}}_L$是每个$v_j$的按位连接。
2. 调整$l(X),r(X)$：
   
3. 计算${\tau }_x$
   
   
4. (line 65)：需包含所有的$V_j$承诺：
   
5. $P$的定义：
   
   整个聚合的range proof共传递$2\cdot \lceil {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n\cdot m)\rceil +4$个群元素和5个${\mathbb{Z}}_p$元素。相比于m个独立的范围证明，聚合的范围证明仅增加一个$2\cdot {\mathrm{l}\mathrm{o}\mathrm{g}}_2(m)$大小的附加项:

• $2\cdot {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n\cdot m)+4=2\cdot {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n)+4+2\cdot {\mathrm{l}\mathrm{o}\mathrm{g}}_2(m)$
• $[2\cdot {\mathrm{l}\mathrm{o}\mathrm{g}}_2(n)+4]\cdot m$.

通过Fiat-Shamir转换成非交互证明

即所有挑战都被hash取代。例如，可以设$y=\mathrm{H}(\mathrm{s}\mathrm{t},A,S),z=\mathrm{H}(A,S,y)$，$\mathrm{s}\mathrm{t}$是statement，对于范围证明，$\mathrm{s}\mathrm{t}$是 { V , n } \{V,n\} {V,n}. 必须将statement包含在hash的输入中，否则敌手可能会证明statement无效.

Frozen Heart

Trail of Bits公开披露了一些关键的漏洞（“Frozen Heart”），这些漏洞破坏了零知识证明系统的多个实现的可靠性（包括BulletProofs），是由不安全的Fiat-Shamir转换实现造成的，该转换允许恶意用户伪造随机statement的证明。
Fiat-Shamir转换应用于这样结构的证明系统：

1. Prover: commitment
2. Verifier: challenge
3. Prover: response(proof)

对于这种结构的证明系统，一个非常重要的假设是，验证者产生的挑战值是被证明者完全无法预测和控制的。在高层次上，原因是证明者生成的零知识证明只有在满足非常具体的数学关系时才被认为是有效的，证明者通过以下两种之一的方式满足这个关系：

• 他实际上拥有满足关系所需的秘密数据，并以诚实的方式生成零知识证明。
• 他没有必要的秘密数据，但他猜测随机值，并且很幸运。

对于一个安全的证明系统，只要随机挑战是完全不可预测的，恶意证明者就不可能出现第二种情况；但如果恶意的证明者能以某种方式预测出这个值，只要找到符合数学关系的随机值，就很容易伪造证明。这就是Frozen Heart漏洞工作的原理。

防止Frozen Heart

严格遵守Fiat-Shamir转换的法则：hash计算必须包括来自零知识证明statement的所有公共值和证明中计算的所有公共值(即所有随机承诺值)。

这个漏洞直接威胁到几乎所有使用Fiat-Shamir变换的证明系统，着实非常严重。Jim Miller分析出现这个问题的原因：大多数学术论文只提供交互版本的协议，然后顺便提到，可以使用Fiat-Shamir转换使其非交互，但很少说明应该如何使用这种技术!（这部分很有意思，建议直接看原文）

BulletProofs中的Frozen Heart漏洞

BulletProofs给出了交互式证明，而Frozen Heart的影响它转换为非交互证明的Fiat-Shamir转换:在line(49-50)(55-56)中，生成三个不同的Fiat-Shamir challenges $x,y,z$，在BulletProofs的原始版本中，$y=\mathrm{H}(A,S),z=\mathrm{H}(A,S,y),x=(A,S,y,z,T_1,T_2)$（这个是根据算法推出的，包括了挑战$x$之前所有公共传递的随机承诺，挑战值），在Jim Miller的提示下，Bulletproofs的作者已在最新的 full version中进行了改正。

漏洞：没有包含所有的公共值（尤其是随机承诺$V$），故而它允许恶意证明者伪造实际位于预定义范围之外的值的证明。
恶意的证明者可以利用这个漏洞：

• 设$v$等于范围内的任意值。假设$v=3$。（假设预定义的范围为$v\in [0,2^{32})$.）
• 选择一个随机的$\gamma$值。
• 使用$v,\gamma$按照预期(根据(41)，(42)，(44)，(47))生成${\mathrm{a}}_L,{\mathrm{a}}_{\mathrm{R}},A,S$.
• 按照要求计算$t_1,t_2$，并通过随机采样取$t_1^{\prime },t_2^{\prime }$，在计算$T_1,T_2$时，用$t_1^{\prime },t_2^{\prime }$分别代替$t_1,t_2$，即$T_i=(g^{t_i^{\prime }})(h^{{\tau }_i})$。
• 根据协议计算剩余的值$(\mathrm{l},\mathrm{r},\hat{t},{\tau }_x,\mu )$。
• 最后，计算一个新的$V$，使用相同的$\gamma$，但有一个新的$v^{\prime }$值:$v^{\prime }=3+(t_1-t_1^{\prime })(x/z^2)+(t_2-t_2^{\prime })(x^2/z^2)$，其中$v=3$.

回顾这个计算过程：

1. 计算出的与预期不同的值只有$T_1,T_2,v$。由于我们按预期计算了其他值，所有检查都将自动通过，但检查(65)除外，它依赖于$T_1,T_2,v$。
2. 但是，由于$x,y,z$的计算独立于$V$，我们可以计算依赖于这些值的恶意$V$值，并通过检查(65)：
   
   ①等式左边：$LHS=(g^{\hat{t}})(h^{{\tau }_x})=(g^{[t_0+t_{1}x+t_2{x}^2]})(h^{[{\tau }_2{x}^2+{\tau }_{1}x+z^2\gamma ]})$.
   ②等式右边：$RHS=(V^{z^2})(g^{\delta (y,z)})(T_1^x)(T_2^{x^2})=(V^{z^2})(g^{\delta (y,z)})[(g^{t_1^{\prime }})(h^{{\tau }_1}){]}^x[(g^{t_2^{\prime }})(h^{{\tau }_2}){]}^{x^2}$.
   ③现在，如果你看我们为$V$取的$v^{\prime }$值，你会发现$T_1$和$T_2$中$g$的指数会消掉$V$中$g$的指数（消掉关于$t_i^{\prime }$的）：
   $RHS=[(h^{\gamma }{g}^{3+(t_1-t_1^{\prime })(x/z^2)+(t_2-t_2^{\prime })(x^2/z^2)}{)}^{z^2}](g^{\delta (y,z)})[(g^{t_1^{\prime }})(h^{{\tau }_1}){]}^x[(g^{t_2^{\prime }})(h^{{\tau }_2}){]}^{x^2}$
   $=[g^{[3+(t_1-t_1^{\prime })(x/z^2)+(t_2-t_2^{\prime })(x^2/z^2)]\cdot z^2+t_1^{\prime }x+t_2^{\prime }{x}^2}][h^{\gamma z^2+{\tau }_{1}x+{\tau }_2{x}^2}]$
   $=[g^{[3z^2+t_{1}x+t_2{x}^2+\delta (y,z)]}][h^{\gamma z^2+{\tau }_{1}x+{\tau }_2{x}^2}]$.
   ④等式左边有$t_0+t_{1}x+t_2{x}^2$，而等式右边有$3z^2+t_{1}x+t_2{x}^2+\delta (y,z)$作为$g$的指数。$t_0$在原文中的定义为:
   
   完全正确，也就是说成功伪造了证明。

注意，这是一个新提交的$V$的证明，其中$v$被设为$v^{\prime }=3+(t_1-t_1^{\prime })(x/z^2)+(t_2-t_2^{\prime })(x^2/z^2)$，因为$y,z$是随机Fiat-Shamir挑战，所以$v^{\prime }$最终会在区间$[0,\mathrm{g}\mathrm{r}\mathrm{o}\mathrm{u}\mathrm{p}\mathrm{o}\mathrm{r}\mathrm{d}\mathrm{e}\mathrm{r})$中，而group order通常会比要证明的区间大得多，所以$v^{\prime }$会以压倒性的优势处于要证明的区间之外而证明仍然通过。而如果$v^{\prime }$在这个区间内，则恶意证明者可以重新选择一些随机值再运行这个过程，直到获得他想要的$v^{\prime }$值。