学习笔记：RingCT 2.0-A Compact Accumulator-Based Protocol

Sun, SF., Au, M.H., Liu, J.K., Yuen, T.H. (2017). RingCT 2.0: A Compact Accumulator-Based (Linkable Ring Signature) Protocol for Blockchain Cryptocurrency Monero. In: ESORICS 2017（CCF-B）.https://doi.org/10.1007/978-3-319-66399-9_25

1. 对RingCT协议给出了严格的安全性定义和要求。
2. 减小RingCT协议的大小。

Preliminaries

Accumulators with One-Way Domain

$\mathrm{ACC}=(\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{E}\mathrm{v}\mathrm{a}\mathrm{l},\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{W}\mathrm{i}\mathrm{t})$
多个值累加成一个值，这样，对于每一个累加的值，都有证据证明它确实被累加了。
F = { F λ } \mathcal{F}=\{F_\lambda\} F={Fλ​}：函数族序列
X = { X λ } \mathcal{X}=\{X_\lambda\} X={Xλ​}：有限集序列
F λ = { f : U f × X f → U f }   X λ ⊆ X f F_\lambda=\{f:U_f\times X_f\rightarrow U_f\}~X_\lambda \subseteq X_f Fλ​={f:Uf​×Xf​→Uf​} Xλ​⊆Xf​
Accumulator family with one-way domain：$(\mathcal{F},\mathcal{X})$必须满足:

• quasi-commutativity(拟交换性): $f(f(u_{,}{x}_1),x_2)=f(f(u,x_2),x_1)$， { X λ } \{X_\lambda\} {Xλ​}被称为这个累加器的域。对于任意 X = { x 1 , x 2 ， ⋅ ⋅ ⋅ ， x n } ⊂ X λ X = \{x_1, x_2，···，x_n\}\subset X_\lambda X={x1​,x2​，⋅⋅⋅，xn​}⊂Xλ​，我们称$f(\cdot \cdot \cdot f(f(u,x_1),x_2)\cdot \cdot \cdot ),x_n)$为$Xoveru$的累加值，根据拟交换律，用$f(u,X)$表示。（意思就是序列$X$里的值以任意顺序做广义的加法）
• 抗碰撞性：敌手给出一个$\mathcal{A}(f,U_f,u)\to (\omega ,x,X)$使$f(\omega ,x)=f(u,X)$的优势可忽略。
• one-way domain：设 { Y λ } \{Y_\lambda\} {Yλ​} { R λ } \{R_\lambda\} {Rλ​}是与 { X λ } \{X_\lambda\} {Xλ​}有关的两个序列集合，其中 { R λ } \{R_\lambda\} {Rλ​}是$Y_{\lambda }\times R_{\lambda }$上有效的可验证，可采样的关系。敌手$\mathcal{A}$无法从随机采样的$x$中计算出有效的witness $y$。
• efficient generation：$\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{G}\mathrm{e}\mathrm{n}(\lambda )\to (\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},X)$。（$\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c}$是对$F_{\lambda }$中随机元素的描述，和一些辅助信息）。
• efficient evaluation：$\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{E}\mathrm{v}\mathrm{a}\mathrm{l}(\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},X)\to f(u,X)$计算累计值； $\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{W}\mathrm{i}\mathrm{t}(\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},x,X)\to y$计算$f(u,X)$中$x$的witness。

Signature of Knowledge

RingCT protocol

定义

$(\mathrm{S}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{p},\mathrm{K}\mathrm{e}\mathrm{y}\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{M}\mathrm{i}\mathrm{n}\mathrm{t},\mathrm{S}\mathrm{p}\mathrm{e}\mathrm{n}\mathrm{d},\mathrm{V}\mathrm{e}\mathrm{r}\mathrm{i}\mathrm{f}\mathrm{y})$

• $\mathrm{Setup}(1^{\lambda })\to pp$
• $\mathrm{KeyGen}(pp)\to (pk,sk)$. Monero 中$pk$通常为一次性地址。
• $\mathrm{Mint}(pk,a)\to (cn,ck)$. 数字$a$是$pk$账户的balance，输出coin $cn$ 和coin key $ck$. coin和地址组成一个账户$act=(pk,cn)$，对应的私钥$ask=(sk,ck)$.
• $\mathrm{Spend}(m,K_s,A_s,A,R)\to (tx,\pi ,S)$. 输入一组账户$A_s$和对应的账户私钥$K_s$，包含$A_s$的一组输入账户的任意集合$A$，输出地址集合$R$，交易串 m ∈ { 0 , 1 } ∗ m\in\{0,1\}^* m∈{0,1}∗.算法输出一个交易$tx$（包含$m,A,A_R$，$A_R$是$R$对应的输出账户），证明$\pi$，序列号集合$S$
• $\mathrm{Verify}(tx,\pi ,S)\to 0/1$.算法验证一组序列号为$S$的账户是否被正确地用于向地址$R$发送交易$tx$

安全性

• Perfect Correctness
• Balance：任何恶意用户都不能（1）花费不在其控制下的账户中的硬币；（2）在其可控的账户花费更大的数字。
• Anonymity
• Non-Slanderability：任何恶意用户都不可能产生与之前生成的真实消费共享至少一个序列号的有效消费。（涵盖了可链接性）

RingCT 2.0

$\mathrm{R}\mathrm{C}\mathrm{T}=(\mathrm{S}\mathrm{e}\mathrm{t}\mathrm{u}\mathrm{p},\mathrm{K}\mathrm{e}\mathrm{y}\mathrm{G}\mathrm{e}\mathrm{n},\mathrm{M}\mathrm{i}\mathrm{n}\mathrm{t},\mathrm{S}\mathrm{p}\mathrm{e}\mathrm{n}\mathrm{d},\mathrm{V}\mathrm{e}\mathrm{r}\mathrm{i}\mathrm{f}\mathrm{y})$

$\mathrm{Setup}(1^{\lambda })\to pp$

$\lambda$：security parameter.$\mathrm{Gen}(1^{\lambda })\to \mathrm{p}\mathrm{a}\mathrm{r}$
$f$：accumulator with one-way domain ${\mathbb{G}}_q,\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c}$，$\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{G}\mathrm{e}\mathrm{n}$.
$h_0,h_1,u\in {\mathbb{G}}_q$：Generator
$H$：hash function
$pp=(1^{\lambda },\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},\mathrm{p}\mathrm{a}\mathrm{r},h_0,h_1,u,H)$

$\mathrm{KeyGen}(pp)\to (pk,sk)$

• $(sk,pk):=(x,y=h_0^x)\in {\mathbb{Z}}_q\times {\mathbb{G}}_q$

$\mathrm{Mint}(pk,a)\to (cn,ck)$

• random choose $r\in {\mathbb{Z}}_q$,Commitment:$c=h_0^r{h}_1^a$
• $(cn,ck):=(c,(r,a))$, $act=(pk,cn)$,$ask=(sk,ck)$

$\mathrm{Spend}(m,K_s,A_s,A,R)\to (tx,\pi ,S)$

1. 输出balance $a_{out,j}\in {\mathbb{Z}}_q$ for $p{k}_{out,j}\in R$，输入输出balance满足${\sum }_{k=1}^m{a}_{in,s}^{(k)}={\sum }_{j=1}^t{a}_{out,j}$.
   选择随机数$r_{out,j}\in {\mathbb{Z}}_q$铸币：$c{n}_{out,j}=c_{out,j}=h_0^{r_{out,j}}{h}_1^{a_{out,j}}$.
   将账户$ac{t}_{out,j}=(p{k}_{out,j},c{n}_{out,j})$加入输出账户集合$A_R$，并将coin key $c{k}_{out,j}=(r_{out,j},a_{out,j})$发送给控制账户地址$p{k}_{out,j}$的用户.
2. 计算总体密钥：
   
   ${\widetilde{pk}}_i={\prod }_{k=1}^{m}p{k}_{in,i}^{(k)}\cdot {\prod }_{k=1}^{m}c{n}_{in,i}^{(k)}/{\prod }_{j=1}^{t}c{n}_{out,j}$
   其中，${\widetilde{pk}}_s=h_0^{{\widetilde{sk}}_s}$.
3. 生成一个证明$\pi$，证明一组硬币$A_s$被正确地花费于交易 t x : ( m , A , A R = { a c t o u t , j } ) tx:(m,A,A_R=\{act_{out,j}\}) tx:(m,A,AR​={actout,j​})（如下）
   （为了方便，将${\widetilde{pk}}_i$记为$y_i^{(m+1)}$，将${\widetilde{sk}}_s$记为$x_s^{(m+1)}$；将$s{k}_{in,s}^{(k)}$记为$x_s^{(k)},k\in [m]$. 将$p{k}_{in,i}^{(k)}$记为$y_i^{(k)},i\in [n]k\in [m]$.）
   （1）对每个$k\in [m+1]$，计算累加值 v k = ACC.Eval ⁡ ( d e s c , { y i ( k ) ⋅ u i } ) vk=\operatorname{ACC.Eval}({\rm desc},\{y_i^{(k)}\cdot u^i\}) vk=ACC.Eval(desc,{yi(k)​⋅ui})和witness w s ( k ) = ACC.Wit ⁡ ( d e s c , { y i ( k ) ⋅ u i ∣ i ≠ s } ) w_s^{(k)}=\operatorname{ACC.Wit}({\rm desc},\{y_i^{(k)}\cdot u^i|i\neq s\}) ws(k)​=ACC.Wit(desc,{yi(k)​⋅ui∣i​=s})给出一个事实($y_s^{(k)}\cdot u^s$已经被累加到$vk$中)的witness $w_s^{(k)}$，即计算witness $w_s^{(k)}$满足 $f(w_s^{(k)},y_s^{(k)}\cdot u^s)=vk$. 计算$sk=H(y_s^{(k)}{)}^{x_s^{(k)}}$ for all $k\in [m]$.
   记$z_s^{(k)}=y_s^{(k)}\cdot u^s$
   （2）用$\mathrm{S}\mathrm{o}\mathrm{K}.\mathrm{S}\mathrm{i}\mathrm{g}\mathrm{n}$生成$tx$的签名$\pi$：
   
   （3）返回 ( t x , π , S ) ,   S = { s 1 , s 2 , . . . , s m } (tx,\pi,S),~S=\{s_1,s_2,...,s_m\} (tx,π,S), S={s1​,s2​,...,sm​}. 序列号$s_k$由地址私钥$x_s^{(k)}$唯一确定，所以可用于防止double-spending.

$\mathrm{Verify}(tx,\pi ,S)\to 0/1$

$(m,A,A_R)\in tx$

1. 用 A = { p k i n , i ( k ) , c n i n , i ( k ) } i ∈ [ n ] , k ∈ [ m ] A=\{pk_{in,i}^{(k)},cn_{in,i}^{(k)}\}_{i\in[n],k\in[m]} A={pkin,i(k)​,cnin,i(k)​}i∈[n],k∈[m]​和 A R = { p k o u t , i , c n o u t , i } j ∈ [ t ] A_R=\{pk_{out,i},cn_{out,i}\}_{j\in[t]} AR​={pkout,i​,cnout,i​}j∈[t]​计算: ${\widetilde{pk}}_i={\prod }_{k=1}^{m}p{k}_{in,i}^{(k)}\cdot {\prod }_{k=1}^{m}c{n}_{in,i}^{(k)}/{\prod }_{j=1}^{t}c{n}_{out,j}$ for all $i\in [n]$.
   计算累加值 v k = ACC.Eval ⁡ ( d e s c , { p k i n , i ( k ) ⋅ u i } ) v_k=\operatorname{ACC.Eval}({\rm desc},\{pk_{in,i}^{(k)}\cdot u^i\}) vk​=ACC.Eval(desc,{pkin,i(k)​⋅ui}) for all $k\in [m]$， v m + 1 = ACC.Eval ⁡ ( d e s c , { p k ~ i ⋅ u i } ) v_{m+1}=\operatorname{ACC.Eval}({\rm desc},\{\widetilde{pk}_i\cdot u^i\}) vm+1​=ACC.Eval(desc,{pk ​i​⋅ui}).
2. $\mathrm{Verf}(tx,(v_1,...,v_{m+1},s_1,...,s_m),\pi )\stackrel{\text{?}}{=}1$

Instantiations

ACC的实例：

• $\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{G}\mathrm{e}\mathrm{n}(\lambda )\to (\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},X)$
  ${\mathbb{G}}_1=⟨g_0⟩$
  $g\circ f:{\mathbb{Z}}_p^{\ast }\times {\mathbb{Z}}_p^{\ast }\to {\mathbb{G}}_1$
  $f:{\mathbb{Z}}_p^{\ast }\times {\mathbb{Z}}_p^{\ast }\to {\mathbb{Z}}_p^{\ast }:(u,x)\to u(x+\alpha )$; $g:{\mathbb{Z}}_p^{\ast }\to {\mathbb{G}}_1:x\to g_0^x$
  ${\mathbb{G}}_q=⟨h⟩$
  ${\mathbb{G}}_q\subset {\mathbb{Z}}_p^{\ast }$：被累加的数的域
• $\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{E}\mathrm{v}\mathrm{a}\mathrm{l}(\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},X)\to f(u,X)$
  $g\circ f(1,X)=g_0^{{\prod }_{i=1}^n(x_i+\alpha )}={\prod }_{i=1}^n(g_0^{{\alpha }^i}{)}^{u_i}$，其中$u_i$是${\alpha }^i$的系数。
• $\mathrm{A}\mathrm{C}\mathrm{C}.\mathrm{W}\mathrm{i}\mathrm{t}(\mathrm{d}\mathrm{e}\mathrm{s}\mathrm{c},x_s,X)\to y$
  累加器被定义为关系$\Omega (w,x,v)=1$ 若满足$e(w,g_0^x{g}_0^{\alpha })=e(v,g_0)$，$w_s$是$x_s\in X$的witness，定义为 w s = g ∘ f ( 1 , X / { x s } ) = g 0 ∏ i = 1 , i ≠ s n ( x i + α ) = ∏ i = 1 , i ≠ s n ( g 0 α i ) u i w_s=g\circ f(1,X/\{x_s\})=g_0^{\prod_{i=1,i\neq s}^{n}(x_i+\alpha)}=\prod_{i=1,i\neq s}^{n}(g_0^{\alpha^i})^{u_i} ws​=g∘f(1,X/{xs​})=g0∏i=1,i​=sn​(xi​+α)​=∏i=1,i​=sn​(g0αi​)ui​
  注意双线性运算隐含的条件：$w_s^{x_s+\alpha }=(g_0^{{\prod }_{i=1,i\ne s}^n(x_i+\alpha )}{)}^{x_s+\alpha }=g_0^{{\prod }_{i=1}^n(x_i+\alpha )}=v_s$，所以若等式成立，则$w_s$是对应的witness.