学习笔记：Ring CT 3.0 for Blockchain Confidential Transaction: Shorter Size and Stronger Security

Yuen, T.H. et al. (2020). RingCT 3.0 for Blockchain Confidential Transaction: Shorter Size and Stronger Security. In: Financial Cryptography and Data Security. FC 2020(CCF-C). https://doi.org/10.1007/978-3-030-51280-4_25

Ring CT 3.0 construction

其中用到的range proof 来自于bulletproof： $(\mathrm{RSetup},\mathrm{RProof},\mathrm{RVerify})$，证明陈述：

$\mathrm{Setup}(1^{\lambda },n_{max})$

• group $\mathbb{G}$: order $p$, generators $g_c,h_c,g,u\in \mathbb{G},\vec{g}=(g_1,...,g_{n_{max}}),\vec{h}=(h_1,...,h_{n_{max}}\in {\mathbb{G}}^{n_{max}}$
• H j : { 0 , 1 } ∗ → Z p , j = 1 , 2 , 4 , 5 , H 3 : { 0 , 1 } ∗ → G , H 6 : G → Z p H_j:\{0,1\}^*\rightarrow\mathbb{Z}_p,j=1,2,4,5,H_3:\{0,1\}^*\rightarrow\mathbb{G},H_6:\mathbb{G}\rightarrow\mathbb{Z}_p Hj​:{0,1}∗→Zp​,j=1,2,4,5,H3​:{0,1}∗→G,H6​:G→Zp​
• Run $\mathrm{RSetup}$

$\mathrm{KeyGen}$

LongTermKeyGen
$ltsk:=(x_1,x_2)\in {\mathbb{Z}}_p^2,ltpk:=(g^{x_1},g^{x_2})$
OneTimePKGen$(ltpk)\to (pk,R_{ot})$

• random $r_{ot}$
• $pk:=g^{x_1}\cdot g^{H_6((g^{x_2}{)}^{r_{ot}})},R_{ot}:=g^{r_{ot}}$

OneTimeSKGen$(pk,R_{ot},ltsk)\to sk$

• check $pk\stackrel{\text{?}}{=}{g}^{x_1}\cdot g^{H_6(R_{ot}^{x_2})}$
• $sk=x_1+H_6(R_{ot}^{x_2})$

$\mathrm{Mint}(pk,\mathbf{a}\in {\mathbb{Z}}_p)\to (C,ck)$

• random $\kappa \in {\mathbb{Z}}_p,ck:=\kappa$
• $C=g_c^{\kappa }{h}_c^{\mathbf{a}}$（$\mathbf{a}$是amount）

$\mathrm{AccountGen}((sk,pk),C,ck,\mathbf{a})\to (act,ask)$

• check $C\stackrel{\text{?}}{=}{g}_c^{\kappa }{h}_c^{\mathbf{a}}$
• $act:=(pk,C),ask:=(sk,ck,a)$

Spend ⁡ ( A S , { a s k k = ( s k k , κ i n , k , a i n , k ) } k ∈ [ 1 , M ] , A i n , { a o u t , j } j ∈ [ 1 , N ] , m ) → ( A o u t , π = ( π r a n g e , σ r i n g ) , S , C k o u t ) \operatorname{Spend}(\mathbb{A}_S,\{ask_k=(sk_k,\kappa_{in,k},{\bf a_{in,k}})\}_{k\in[1,M]},\mathbb{A}_{in},\{{\bf a}_{out,j}\}_{j\in[1,N]},m)\rightarrow(\mathbb{A}_{out},\pi=(\pi_{range},\sigma_{ring}),\mathbb{S},\mathbb{C}k_{out}) Spend(AS​,{askk​=(skk​,κin,k​,ain,k​)}k∈[1,M]​,Ain​,{aout,j​}j∈[1,N]​,m)→(Aout​,π=(πrange​,σring​),S,Ckout​)

Input:

• M 个signer的输入账户:${\mathbb{A}}_S$，账户的私钥集合： K S = { a s k k = ( s k k , κ i n , k , a i n , k ) } k ∈ [ 1 , M ] \mathbb{K}_S=\{ask_k=(sk_k,\kappa_{in,k},{\bf a_{in,k}})\}_{k\in[1,M]} KS​={askk​=(skk​,κin,k​,ain,k​)}k∈[1,M]​
• nM个输入账户集合：${\mathbb{A}}_{in}$，注意${\mathbb{A}}_S\subset {\mathbb{A}}_{in}$
• N个输出数字的集合 O = { a o u t , j } \mathbb{O}=\{{\bf a}_{out,j}\} O={aout,j​}对应于N个接收者的公钥 { p k o u t , j } j ∈ [ 1 , N ] \{pk_{out,j}\}_{j\in[1,N]} {pkout,j​}j∈[1,N]​
  交易消息$m$

先验证balance：${\sum }_{k=1}^M{a}_{in,k}\stackrel{\text{?}}{=}{\sum }_{j=1}^N{a}_{out,j}$，若不成立则交易数不正确，返回终止。
将${\mathbb{A}}_{in}$排列成一个$M\times n$的矩阵，每一行只包含一个${\mathbb{A}}_S$中的账户。定义列索引$in{d}_k$：${\mathbb{A}}_S$中第k个元素在矩阵第k行第$in{d}_k$的位置：

关于spend交易最主要解决的是两个问题：1交易的balance合法性；2发送方匿名（环签名），所以这里用到两个sub-protocol.

sub-protocol:Balance property

1. 生成一次性公钥：发送方通过OneTimePKGen将所有接收方的长期公钥转换为一次性公钥
2. 生成输出的硬币：
   • 运行$\mathrm{Mint}({\mathbf{a}}_{out,j})\to (C_{out,j},{\kappa }_{out,j})$ for all $j\in [1,N]$
   • 生成N个输出账户： A o u t = { ( p k o u t , j , C o u t , j ) } j ∈ [ 1 , N ] \mathbb{A}_{out}=\{(pk_{out,j},C_{out,j})\}_{j\in[1,N]} Aout​={(pkout,j​,Cout,j​)}j∈[1,N]​
     （发送方可以秘密地将输出硬币的数量和coin key发送给每个$p{k}_{out,j}$对应的私钥的拥有者；将所有coin key的集合定义为：$\mathbb{C}{k}_{out}$）
3. 生成范围证明：为所有的${\mathbf{a}}_{out,j},j\in [1,N]$运行$\mathrm{RProof}$.定义证明输出的集合为${\pi }_{range}$
4. 准备balance proof：
   • 定义$ac{t}_k^{(in{d}_k)}$账户中的硬币为$C_{in,k}^{(in{d}_k)}$
   • 输入金额等于输出金额:${\prod }_{k=1}^M{C}_{in,k}^{(in{d}_k)}/{\prod }_{j=1}^N{C}_{out,j}=g_c^{{\sum }_{k=1}^M{\kappa }_{in,k}-{\sum }_{j=1}^N{\kappa }_{out,j}}$
   • 定义$\Delta :={\sum }_{k=1}^M{\kappa }_{in,k}-{\sum }_{j=1}^N{\kappa }_{out,j}$

sub-protocol:Ring signature

定义$ac{t}_k^{(i)}=(p{k}_{in,k}^{(i)},C_{in,k}^{(i)}),i\in [1,n]$ ，其中signer的索引是$in{d}_k$，sender运行如下：

1. 生成One-Time Secret Key：调用OneTimeSKGen
2. 生成Key Images：定义$(s{k}_k,\cdot ,\cdot )$作为账户$ac{t}_k^{(in{d}_k)}$的私钥; key image $U_k=u^{\frac{1}{s{k}_k}}$
3. 成环Ring Formation：
   • 定义连接字符串$str$是 { a c t k ( 1 ) ∣ ∣ . . . ∣ ∣ a c t k ( n ) } k ∈ [ 1 , M ] \{act_k^{(1)}||...||act_k^{(n)}\}_{k\in [1,M]} {actk(1)​∣∣...∣∣actk(n)​}k∈[1,M]​的连接.
   • 计算$d_0=H_2(0,str),d_1=H_2(1,str),d_2=H_2(2,str)$
   • 定义$\vec{Y}={\vec{Y}}_1||....||{\vec{Y}}_M$，其中
     
4. 准备Signer index：
   • 生成二进制向量$\overrightarrow{b_{L,k}}=(b_{k,1},...,b_{k,n}),k\in [1,M]$，其中当$i=in{d}_k,b_{k,i}=1$；否则，$b_{k,i}=0$
   • 定义$\overrightarrow{b_L}=\overrightarrow{b_{L,1}}||...||\overrightarrow{b_{L,M}},\overrightarrow{b_R}=\overrightarrow{b_L}-\overrightarrow{1^n}$.
   • 零知识证明$\overrightarrow{b_{L,k}}$是仅有1位是1的二进制向量。相当于：对$k\in [1,M]:\overrightarrow{b_L}\circ \overrightarrow{b_R}=\overrightarrow{0^n},\overrightarrow{b_L}-\overrightarrow{b_R}=\overrightarrow{1^n},⟨\overrightarrow{b_{L,k}},\overrightarrow{1^n}⟩=1$
5. 生成签名：
   • Commit 1: $h=H_3(\vec{Y})$，随机选取${\alpha }_1,{\alpha }_2,\beta ,\rho ,r_{{\alpha }_1},r_{{\alpha }_2},r_{s{k}_1},...,r_{s{k}_M},r_{\Delta }\in {\mathbb{Z}}_p,\overrightarrow{s_L},\overrightarrow{s_R}\in {\mathbb{Z}}_p^{nM}$，并计算：
     
     观察$B_1=h^{{\alpha }_1}{\vec{Y}}^{\overrightarrow{b_L}}$
   • Challenge 1:
     • 定义连接字符串$st{r}^{\prime }=\vec{Y}||B_1||B_2||A||S_1||S_2||S_3||U_1||...||U_M$
     • 计算$y=H_4(1,st{r}^{\prime }),z=H_4(2,st{r}^{\prime }),w=H_4(3,st{r}^{\prime })$
   • Commit 2:
     • 定义两个变量$X$的degree 1多项式：
       
       定义degree 2多项式$⟨l(X),r(X)⟩$，可整理成形式：$t(X)=t_0+t_{1}X+t_2{X}^2$，其中$t_0,t_1,t_2$可用$(\overrightarrow{b_L},\overrightarrow{b_R},\overrightarrow{s_L},\overrightarrow{s_R},w,y,z)$，具体地：
       
       随机选取${\tau }_1,{\tau }_2\in {\mathbb{Z}}_p$，计算：$T_1=g^{t_1}{h}^{{\tau }_1},T_2=g^{t_2}{h}^{{\tau }_2}$
   • Challenge 2：计算$x=H_5(w,y,z,T_1,T_2,m)$
   • Response：计算
     
     输出签名：${\sigma }_{ring}=(B_1,B_2,A,S_1,S_2,S_3,T_1,T_2,{\tau }_x,\mu ,z_{{\alpha }_1},z_{{\alpha }_2},z_{sk,1},...,z_{sk,M},z_{\Delta },\vec{l},\vec{r},t)$和key image $(U_1,...,U_M)$

Output:
定义$\mathbb{S}$为一组序列号 { U 1 , . . . , U M } \{U_1,...,U_M\} {U1​,...,UM​}，Spend算法输出$({\mathbb{A}}_{out},\pi =({\pi }_{range},{\sigma }_{ring}),\mathbb{S},\mathbb{C}{k}_{out})$

$\mathrm{Verify}(m,{\mathbb{A}}_{in},{\mathbb{A}}_{out},\pi ,\mathbb{S},\mathbb{U})\to 0/1$

$\mathbb{S}$是一组序列号，$\mathbb{U}$是过去用过的序列号集合
查验：

1. 如果有任何$U$在$\mathbb{S},\mathbb{U}$中都存在，返回$-1$（双花）；可在$\mathbb{U}$上使用布隆过滤器来加速这个侦察。
2. 调用RVerify验证范围证明，输入${\pi }_{range}$，输出${\mathbb{A}}_{out}$的硬币。
3. 验证环签名${\sigma }_{ring}$和 key image $U_k\in \mathbb{S}$ for $k\in [1,M]$；
   • 按照Spend-Ring Formation部分计算$d_0,d_1,d_2,\vec{Y}$，用${\mathbb{A}}_{in}$.
   • 定义连接字符串$st{r}^{\prime }=\vec{Y}||B_1||B_2||A||S_1||S_2||S_3||U_1||...||U_M$.
   • 计算$h=H_3(\vec{Y}),y=H_4(1,st{r}^{\prime }),z=H_4(2,st{r}^{\prime }),w=H_4(3,st{r}^{\prime }),x=H_5(w,y,z,T_1,T_2,m)$
   • 定义$\overrightarrow{h^{\prime }}=(h_1^{\prime },....,h_{nM}^{\prime })\in {\mathbb{G}}^{nM}$,有$h_i^{\prime }=h_i^{-i+1},i\in [1,nM]$；
   • 如果以下条件符合则返回1，否则返回0：
     
     分析：
     条件（1）保证了$t$是$\vec{l},\vec{r}$的内积；
     条件（2）：
     $$\begin{array}{rl}{g}^t{h}^{{\tau }_x}& =g^{⟨\vec{l},\vec{r}⟩}{h}^{{\tau }_{1}x+{\tau }_2{x}^2}\\ (if{\tau }_x={\tau }_{1}x+{\tau }_2{x}^2)& =g^{t_0+t_{1}x+t_2{x}^2}{h}^{{\tau }_{1}x+{\tau }_2{x}^2}\\ (if{T}_1=g^{t_1}{h}^{{\tau }_1},T_2=g^{t_2}{h}^{{\tau }_2})& =g^{{\sum }_{k=1}^M{z}^{1+k}+w(z-z^2)⟨{\vec{1}}^{nM},{\vec{y}}^{nM}⟩-{\sum }_{k=1}^{M}n{z}^{2+k}}{T}_1^x{T}_2^{x^2}\end{array}$$
     条件（3）：
     $$\begin{array}{rl}{h}^{\mu }{\vec{Y}}^{\vec{l}}{\overrightarrow{h^{\prime }}}^{\vec{r}}& =h^{{\alpha }_1+\beta \cdot w+\rho \cdot x}{\vec{Y}}^{\overrightarrow{b_L}-z\cdot {\vec{1}}^{nM}+\overrightarrow{s_L}\cdot x}{\overrightarrow{h^{\prime }}}^{{\vec{y}}^{nM}\circ (w\overrightarrow{b_R}+wz{\vec{1}}^{nM}+\overrightarrow{s_R}\cdot x)+{\sum }_{k=1}^M{z}^{1+k}\cdot ({\vec{0}}^{(k-1)n}||{\vec{1}}^n||{\vec{0}}^{(M-k)n})}\\ & =(h^{{\alpha }_1}{\vec{Y}}^{\overrightarrow{b_L}})(h^{\beta }{\vec{h}}^{\overrightarrow{b_R}}{)}^w(h^{\rho }{\vec{Y}}^{\overrightarrow{s_L}}{\vec{h}}^{\overrightarrow{s_R}}{)}^x{\vec{Y}}^{-z\cdot {\vec{1}}^{nM}}{\overrightarrow{h^{\prime }}}^{wz\cdot {\vec{y}}^{nM}+{\sum }_{k=1}^M{z}^{1+k}\cdot ({\vec{0}}^{(k-1)n}||{\vec{1}}^n||{\vec{0}}^{(M-k)n})}\\ & =B_1{A}^w{S}_2^x{\vec{Y}}^{-z\cdot {\vec{1}}^{nM}}{\overrightarrow{h^{\prime }}}^{wz\cdot {\vec{y}}^{nM}+{\sum }_{k=1}^M{z}^{1+k}\cdot ({\vec{0}}^{(k-1)n}||{\vec{1}}^n||{\vec{0}}^{(M-k)n})}\end{array}$$
     推导成立的前提是：$\mu ={\alpha }_1+\beta \cdot w+\rho \cdot x,\vec{l}=...,\vec{r}=...$
     $$\begin{array}{rl}{\overrightarrow{h^{\prime }}}^{{\vec{y}}^{nM}}& =(h_1^{\prime },h_2^{\prime },...,h_{nM}^{\prime }{)}^{{\vec{y}}^{nM}}\\ & =(h_1^{y^0},h_2^{y^{-1}},...,h_{nM}^{y^{1-nM}}{)}^{(1,y^1,...,y^{nM-1})}\\ & =(h_1,h_2,...,h_{nM})=\vec{h}\end{array}$$
     条件（4）：
     $$\begin{array}{rl}& h^{z_{{\alpha }_1}-d_2{z}_{{\alpha }_2}}{g}^{{\sum }_{k=1}^M{z}_{sk,k}{d}_0^{k-1}}{g}_c^{d_1{z}_{\Delta }}=h^{r_{{\alpha }_1}+{\alpha }_1\cdot x-d_2(r_{{\alpha }_2}+{\alpha }_2\cdot x)}{g}^{{\sum }_{k=1}^M(r_{sk,k}+s{k}_k\cdot x)d_0^{k-1}}{g}_c^{d_1(r_{\Delta }+\Delta \cdot x)}\\ & =(h^{r_{{\alpha }_1}-d_2{r}_{{\alpha }_2}}{g}^{{\sum }_{k=1}^M{r}_{sk,k}{d}_0^{k-1}}{g}_c^{d_1{r}_{\Delta }})(h^{{\alpha }_1}\prod _{k=1}^M{g}^{s{k}_k{d}_0^{k-1}}(\prod _{k=1}^M{C}_{in,k}^{(in{d}_k)}/\prod _{j=1}^N{C}_{out,j}{)}^{d_1}{h}^{-d_2{\alpha }_2}{)}^x\\ & =S_1((h^{{\alpha }_1}\prod _{k=1}^M{g}^{s{k}_k{d}_0^{k-1}}(C_{in,k}^{(in{d}_k)}{)}^{d_1}{g}_{in{d}_k}^{d_2})(\prod _{j=1}^N(C_{out,j}{)}^{-d_1}{g}_{in{d}_k}^{-d_2}{h}^{-d_2{\alpha }_2}{)}^x\\ & =S_1(B_1\cdot \prod _{j=1}^N{C}_{out,j}^{-d_1}\cdot B_2^{-d_2}{)}^x\end{array}$$
     推导成立的条件是：
     $z_{{\alpha }_1}=r_{{\alpha }_1}+{\alpha }_1\cdot x,z_{{\alpha }_2}=r_{{\alpha }_2}+{\alpha }_2\cdot x,z_{sk,k}=r_{sk,k}+s{k}_k\cdot x,z_{\Delta }=r_{\Delta }+\Delta \cdot x$
     $S_1=...,B_1=...,B_2=...$
     $\Delta =({\prod }_{k=1}^M{C}_{in,k}^{(in{d}_k)}/{\prod }_{j=1}^N{C}_{out,j})$
     条件（5）：
     $$\begin{array}{rl}\prod _{k=1}^N{U}_k^{z_{sk,k}{d}_0^{k-1}}& =\prod _{k=1}^N{U}_k^{(r_{sk,k}+s{k}_k\cdot x)d_0^{k-1}}\\ & =\prod _{k=1}^N{U}_k^{r_{sk,k}{d}_0^{k-1}}\cdot \prod _{k=1}^N(u^{\frac{1}{s{k}_k}}{)}^{s{k}_k\cdot x{d}_0^{k-1}}\\ & =S_3\cdot u^{x{\sum }_{k=1}^N{d}_0^{k-1}}\end{array}$$
     推导成立的条件是：
     $z_{sk,k}=r_{sk,k}+s{k}_k\cdot x,U_k=u^{\frac{1}{s{k}_k}},S_3=...,$

读到这里是不是觉得用了太多符号量云里雾里？（我就是这种感觉…）来尝试分析一下每个量的作用和作者的设计思路吧！
$U_k$：key image，包含交易的账户私钥，用于检测双花。

Ring Formation

• $str$是 { a c t k ( 1 ) ∣ ∣ . . . ∣ ∣ a c t k ( n ) } k ∈ [ 1 , M ] \{act_k^{(1)}||...||act_k^{(n)}\}_{k\in [1,M]} {actk(1)​∣∣...∣∣actk(n)​}k∈[1,M]​的连接，包含交易所用所有输入账户的信息，用来做hash生成$d_0,d_1,d_2$的根；
• ${\vec{Y}}_k$是为每个交易真实输入账户生成一个（承诺）环，每个环由一组n个账户的承诺组成， $d_0,d_1,d_2$用作承诺中使用的随机值。M个${\vec{Y}}_k$连接成$\vec{Y}$

Signer index

• 上一步生成了M个环，用一组M个向量$\overrightarrow{b_{L,k}}$记录环中真实签名者账户的位置（index）；准备向量用于（类似于BulletProof改进的内积证明）零知识证明二进制向量的性质。

生成签名

1. Commit 1：

• 将交易环信息$\vec{Y}$hash到一个群元素$h\in \mathbb{G}$,用作群运算的元
• 采样所有需要的随机值
• 生成一组承诺
  $B_1$：signer的所有真实账户对应的环中元素；也可以看做$\overrightarrow{b_L}$的承诺（因为$\overrightarrow{b_L}$即表示账户矩阵中真实账户的位置）
  $B_2$：signer的所有生成元
  $A$：$\overrightarrow{b_R}$
  $S_1$：对$d_0,d_1,d_2$的承诺；$S_3$中$r_{s{k}_k}$；$r_{\Delta }$
  $S_2$：$\overrightarrow{s_L},\overrightarrow{s_R}$
  $S_3$：所有$U_k$（$S_3$不是承诺）

2. Challenge 1

• 接收方将所有收到的公共承诺\参数连接到一起生成一个公共信息串$st{r}^{\prime }$
• 用$st{r}^{\prime }$hash生成挑战$y,z,w$

3. Commit 2

• 构造类似于bulletproof的内积证明所用的$l(X),r(R),t(X)$并整理成二次多项式
• 整理零次系数$t_0$
• 将1,2次系数承诺到$T_1,T_2$

4. Challenge 2

• 接收方将收到的承诺，上一轮的挑战值以及签名的消息$m$打包hash生成新挑战$x$

5. Response

• 用$x$整合所有盲化参数：${\tau }_x,\mu ,z_{{\alpha }_1},z_{{\alpha }_2},z_{\Delta },z_{s{k}_k}$
• 用$x$代入计算$l,r,t$
  最终形成的签名中包含：所有承诺+所有整合盲化参数+$\vec{l},\vec{r},\vec{t}$
  Spend算法输出：交易输出账户+（交易输出的范围证明，交易签名）+keyimage序列号集合+输出账户的硬币密钥集合

验证签名

• 用${\mathbb{A}}_{in}$中的账户集信息可还原出$str\to d_0,d_1,d_2\to \vec{Y}\to h,st{r}^{\prime }\to y,z,w\to x$
• 与bulletproof类似地，构造生成元$\overrightarrow{h^{\prime }}$
• 条件（1）：内积关系$\vec{t}$正确
• 条件（2）：二次多项式关系
• 条件（3）：$\vec{l},\vec{r}$正确
• 条件（4）：交易的输入输出关系$\Delta$正确
• 条件（5）：key image $U_k$正确

更有效的构造

BulletProof中提出了一种有效压缩规模的构造Spend’：

1. 运行Spend生成签名
2. 计算$P={\vec{Y}}^{\vec{l}}{\vec{h}}^{\prime \vec{r}}$
3. 运行内积证明$\mathrm{IPProve}(\vec{Y},{\vec{h}}^{\prime },t,P,\vec{l},\vec{r})\to (\vec{L},\vec{R},a,b)$，注意$\vec{l},\vec{r}$
4. 签名：${\sigma }_{ring}^{\prime }=(B_1,B_2,A,S_1,S_2,S_3,T_1,T_2,{\tau }_x,\mu ,z_{{\alpha }_1},z_{{\alpha }_2},z_{sk,1},...,z_{sk,M},z_{\Delta },t,P,\vec{L},\vec{R},a,b)$，用这个签名代替原来签名在Spend输出中的位置。

对应的Verify’：

1. 运行内积证明$\mathrm{IPVerify}(\vec{Y},{\vec{h}}^{\prime },t,P,(\vec{L},\vec{R},a,b))\to 0/1$.
2. 运行Verify算法，除了将条件（3）替换为：（其实就是把等式左边用P等价替换了）
   

性能

Size

$O(M+logn)$
和 Ring CT 1.0的对比：

Time