密码学中的sigma-protocol

1. sigma-protocol的定义

在论文《On Σ-protocols》中，有如下定义：

• relation DL，其中的$w$可称为a witness for $x$:
  D L = { ( x , w ) ∣ x = ( p , q , g , h ) , o r d ( g ) = o r d ( h ) = q , h = g w } DL=\{(x,w)|x=(p,q,g,h), ord(g)=ord(h)=q,h=g^w\} DL={(x,w)∣x=(p,q,g,h),ord(g)=ord(h)=q,h=gw}

其中，$p,q$为素数，$g,h\in Z_p^{\ast },w\in Z_q$，R为二进制relation，R表示为 { 0 , 1 } ∗ × { 0 , 1 } ∗ \{0,1\}^*\times \{0,1\}^* {0,1}∗×{0,1}∗。
满足上面条件的$(x,w)\in R$成立。

以上，$x$对于Prover P和Verifier V均可见，为public input，而满足$(x,w)\in R$的$w$为Prover P的private input，对Verifier V不可见。
场景描述为，$p$为素数，$q$为$p-1$的最大素数因子，$g为Z_p^{\ast }$中order为$q$的元素，某$w$仅P可知，$h=g^{w}modp$，$x=(p,q,g,h)$对P/V均可见，为public input。在实际应用时，$p,q$通常长时间固定不变，关于$p,q$的素数性V可以鉴定一次即可，不需要每次都鉴定。

详细的流程分为三大步：

• 1） P选择随机数$r\in Z_q$，$r$仅P知，对V不可见，P计算$a=g^{r}modp$，P将$a$值发送给V；
• 2） V选择$t-bit$的随机数challenge $e\in Z_{2^t}$（此处的$t$为固定的，且$2^t<q$），V将$e$值发送给P；
• 3） P计算$z=r+ewmodq$，P将$z$值发送给V，V判断$g^z?=a{h}^{e}modp$是否成立，若成立，则V接受认为P确实知道正确的$w$值（满足$h=g^{w}modp$）。

以上流程错误判断的概率为$\frac{1}{2^t}=2^{-t}$。

Sigma-protocol的定义如下：

上面定义的第二条，指的是：若Prover P*对于两个不同的challenges $e,e^{\prime },e!=e^{\prime }$，则有相应的$g^{z^{\prime }}=a{h}^{e^{\prime }},g^z=a{h}^e$，两者相除有$g^{z-z^{\prime }}=h^{e-e^{\prime }}modp$，当$e-e^{\prime }!=0$时，有$h=g^{(z-z^{\prime })(e-e^{\prime }{)}^{-1}}=g^{w}modp$，从而有$w=(z-z^{\prime })(e-e^{\prime }{)}^{-1}modq$。

上面定义的第三条，指的是：仿真时，可选择随机数$z\in Z_p^{\ast },e\in Z_q$，计算$a=g^z{h}^{-e}modp$，从而使得流程中第三步Verifier的验证可通过。

2. sigma-protocol的作用

sigma-protocol可用于知识证明及OR证明（OR-proof）。

关于OR证明，在论文《Proof Systems for General Statements about Discrete Logarithms》中的Example 3是一个OR-proof举例，设计巧妙。

参考资料：
[1] 论文《On Σ-protocols》
[2] https://en.wikipedia.org/wiki/Sigma_Protocol
[3] https://www.youtube.com/watch?v=nwsmG3S9wIc