Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）

Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》中提出了shuffle argument算法，该算法主要由Multi-exponentiation Argument和product argument两部分组成。
在博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1）中介绍了Shuffle argument总体算法以及Multi-exponentiation Argument算法，在本博客中，将重点介绍product argument算法。

1. 背景知识

Witness 向量 A = { a i j } i , j = 1 n , m A=\{a_{ij}\}_{i,j=1}^{n,m} A={aij​}i,j=1n,m​，以矩阵方式表示：
$A=\left(\begin{array}{cccc}{a}_{11}& a_{12}& \cdots & a_{1m}\\ a_{21}& a_{22}& \cdots & a_{2m}\\ \cdots & \cdots & \cdots & \cdots \\ a_{n1}& a_{n2}& \cdots & a_{nm}\end{array}\right)=({\vec{a}}_1,{\vec{a}}_2,\cdots ,{\vec{a}}_m)$

Public info for both Prover AND Verifier，对$A$的每列向量$\overrightarrow{a_i}$分别进行commit：
${\vec{c}}_A=co{m}_{ck}(A;\vec{r})=(co{m}_{ck}({\vec{a}}_1;r_1),\cdots ,co{m}_{ck}({\vec{a}}_m;r_m))$
需证明$b={\prod }_{i=1}^n{\prod }_{j=1}^m{a}_{ij}={\prod }_{i=1}^n({\prod }_{j=1}^m{a}_{ij})$。

思路如下：
构建新的向量$\vec{b}=({\prod }_{j=1}^m{a}_{1j},\cdots ,{\prod }_{j=1}^m{a}_{nj})=(b_1,\cdots ,b_n)$，对该向量进行commit：$c_b=co{m}_{ck}(b_1,\cdots ,b_n;s)$。从而将证明$b={\prod }_{i=1}^n{\prod }_{j=1}^m{a}_{ij}={\prod }_{i=1}^n({\prod }_{j=1}^m{a}_{ij})$拆分为了两组证明：
1）证明Prover知道相应的witness $a_{11},\cdots ,a_{nm}$，使得$c_b=co{m}_{ck}(b_1,\cdots ,b_n;s)=co{m}_{ck}({\prod }_{j=1}^m{a}_{1j},\cdots ,{\prod }_{j=1}^m{a}_{nj};s)$成立。【使用后续要介绍的Hadamard product argument及zero argument实现】
2）当$c_b=co{m}_{ck}(b_1,\cdots ,b_n;s)$，证明$b={\prod }_{i=1}^n{b}_i$成立。【使用后续要介绍的Single value product argument实现】

2. Hadamard product argument

证明Prover知道相应的witness $a_{11},\cdots ,a_{nm}$，使得$c_b=co{m}_{ck}(b_1,\cdots ,b_n;s)=co{m}_{ck}({\prod }_{j=1}^m{a}_{1j},\cdots ,{\prod }_{j=1}^m{a}_{nj};s)$成立。
可进一步转换为：
（1）Witness：
$a_{11},\cdots ,a_{nm}$以及$b_1,\cdots ,b_n$。

（2）Public info for both Prover AND Verifier：

• 对$A$的每列向量$\overrightarrow{a_i}$分别进行commit：
  ${\vec{c}}_A=co{m}_{ck}(A;\vec{r})=(co{m}_{ck}({\vec{a}}_1;r_1),\cdots ,co{m}_{ck}({\vec{a}}_m;r_m))$
• $c_b=co{m}_{ck}(\vec{b};s)=co{m}_{ck}(b_1,\cdots ,b_n;s)$

（3）待证明：
$b_i={\prod }_{j=1}^m{a}_{ij}$或$\vec{b}=(b_1,\cdots ,b_n)={\prod }_{i=1}^m{\vec{a}}_i$，其中${\prod }_{i=1}^m$代表的即为entry-wise multiplication，即对应为Hadamard product证明。

思路如下：

• Prover构建新的矩阵$B=({\vec{b}}_1,\cdots ,{\vec{b}}_m)$，其中${\vec{b}}_1={\vec{a}}_1,{\vec{b}}_2={\prod }_{i=1}^2{\vec{a}}_i,\cdots ,{\vec{b}}_{m-1}={\prod }_{i=1}^{m-1}{\vec{a}}_i,{\vec{b}}_m={\prod }_{i=1}^m{\vec{a}}_i$。
  Prover对矩阵$B$的每一列进行commit：
  ${\vec{c}}_B=co{m}_{ck}(B;\vec{s})=(co{m}_{ck}({\vec{b}}_1;s_1),\cdots ,co{m}_{ck}({\vec{b}}_m;s_m))=(c_{B_1},\cdots ,c_{B_m})$
  同时要求$c_{B_1}=c_{A_1}$且$c_b=c_{B_m}$，使得${\vec{b}}_1={\vec{a}}_1$及${\vec{b}}_m=\vec{b}$成立。
  这样Prover的证明内容就改为证明：for each $i=1,\cdots ,m-1$，${\vec{b}}_{i+1}={\vec{a}}_{i+1}{\vec{b}}_i$成立，因为有${\vec{b}}_1={\vec{a}}_1$及${\vec{b}}_m=\vec{b}$，从而可证明$\vec{b}={\prod }_{i=1}^m{\vec{a}}_i$成立。

• Verifier->Prover: challenge $x$；

• 改为证明：${\vec{b}}_{i+1}={\vec{a}}_{i+1}{\vec{b}}_i\Rightarrow {\sum }_{i=1}^{m-1}{x}^i{\vec{b}}_{i+1}={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}(x^i{\vec{b}}_i)$。
  收到challenge $x$后，Prover构建新的矩阵$D^{{}^{\prime }}=({\vec{d}}_1,{\vec{d}}_2,\cdots ,{\vec{d}}_{m-1},\vec{d})=(x{\vec{b}}_1,x^2{\vec{b}}_2,\cdots ,x^{m-1}{\vec{b}}_{m-1},{\sum }_{i=1}^{m-1}{x}^i{\vec{b}}_{i+1})$，其中$\vec{d}={\sum }_{i=1}^{m-1}{x}^i{\vec{b}}_{i+1}$。
  Prover对矩阵$D^{{}^{\prime }}$的每列进行commit，可根据矩阵$B$ commit的同态属性获得：
  for $i=1,\cdots ,m-1$，有$c_{D_i}=c_{B_i}^{x^i}$。$i=m$时对应有$c_D={\prod }_{i=1}^{m-1}{c}_{B_{i+1}}^{x^i}$

• 使用如上committed值，改为证明$\vec{d}={\sum }_{i=1}^{m-1}{x}^i{\vec{b}}_{i+1}={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}(x^i{\vec{b}}_i)={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}{\vec{d}}_i$成立。

• Verifier->Prover: challenge $y$；

• 改为证明：$\vec{d}={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}{\vec{d}}_i\Rightarrow 0={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}\ast {\vec{d}}_i-\vec{1}\ast \vec{d}$【此时需要使用后续将介绍的zero argument来证明】，其中$\ast$操作符代表的是bilinear map：
  
  总的算法思路如下：
  

---

注意：为了证明$0={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}\ast {\vec{d}}_i-\vec{1}\ast \vec{d}={\sum }_{i=1}^{m-1}{\vec{a}}_{i+1}\ast {\vec{d}}_i-\vec{1}\ast {\vec{d}}_m$【因为构建的矩阵$D^{{}^{\prime }}$中有${\vec{d}}_m=\vec{d}={\sum }_{i=1}^{m-1}{x}^i{\vec{b}}_{i+1}$】
所以，可借助下一节zero argument的思路，按如下方式构建：
引入随机向量${\vec{d}}_{m+1}\leftarrow {\mathbb{Z}}_q^n$，commitment to ${\vec{d}}_{m+1}$：
$\begin{array}{ccc}& \left(\begin{array}{ccccc}{\vec{a}}_1& {\vec{a}}_2& \cdots & {\vec{a}}_m& -\vec{1}\end{array}\right)& \\ \left(\begin{array}{c}\overrightarrow{d_1}\\ \overrightarrow{d_2}\\ ⋮\\ {\vec{d}}_m\\ {\vec{d}}_{m+1}\end{array}\right)& \left(\begin{array}{ccccc}{\vec{a}}_1\ast {\vec{d}}_1& {\vec{a}}_2\ast {\vec{d}}_1& \ddots & {\vec{a}}_m\ast {\vec{d}}_1& -\vec{1}\ast {\vec{d}}_1\\ {\vec{a}}_1\ast {\vec{d}}_2& {\vec{a}}_2\ast {\vec{d}}_2& \ddots & {\vec{a}}_m\ast {\vec{d}}_2& -\vec{1}\ast {\vec{d}}_2\\ \ddots & \ddots & \ddots & \ddots & \ddots \\ {\vec{a}}_1\ast {\vec{d}}_m& {\vec{a}}_2\ast {\vec{d}}_m& \ddots & {\vec{a}}_m\ast {\vec{d}}_m& -\vec{1}\ast {\vec{d}}_m\\ {\vec{a}}_1\ast {\vec{d}}_{m+1}& {\vec{a}}_2\ast {\vec{d}}_{m+1}& \ddots & {\vec{a}}_m\ast {\vec{d}}_{m+1}& -\vec{1}\ast {\vec{d}}_{m+1}\end{array}\right)& \begin{array}{c}\\ d_{2m}\\ d_{2m-1}\\ ⋮\\ d_{m+1}\\ d_m\end{array}\\ & \begin{array}{ccccc}{d}_0& d_1& \cdots & d_{m-1}& d_m\end{array}& \end{array}$

详细的实现参见https://github.com/3for/verifiable-shuffle中的round_7a()和round_9b()中的代码。

---

3. zero argument

Witness: ${\vec{a}}_1,{\vec{b}}_0,\cdots ,{\vec{a}}_m,{\vec{b}}_{m-1}$。
Public info: commitment to ${\vec{a}}_1,{\vec{b}}_0,\cdots ,{\vec{a}}_m,{\vec{b}}_{m-1}$。
证明：$0={\sum }_{i=1}^m{\vec{a}}_i\ast {\vec{b}}_{i-1}$

• Prover： 随机选择${\vec{a}}_0,{\vec{b}}_m\leftarrow {\mathbb{Z}}_q^n$，commitment to ${\vec{a}}_0$和${\vec{b}}_m$。

$\begin{array}{ccc}& \left(\begin{array}{ccccc}{\vec{a}}_0& {\vec{a}}_1& \cdots & {\vec{a}}_{m-1}& {\vec{a}}_m\end{array}\right)& \\ \left(\begin{array}{c}\overrightarrow{b_0}\\ \overrightarrow{b_1}\\ ⋮\\ {\vec{b}}_{m-1}\\ {\vec{b}}_m\end{array}\right)& \left(\begin{array}{ccccc}{\vec{a}}_0\ast {\vec{b}}_0& {\vec{a}}_1\ast {\vec{b}}_0& \ddots & {\vec{a}}_{m-1}\ast {\vec{b}}_0& {\vec{a}}_m\ast {\vec{b}}_0\\ {\vec{a}}_0\ast {\vec{b}}_1& {\vec{a}}_1\ast {\vec{b}}_1& \ddots & {\vec{a}}_{m-1}\ast {\vec{b}}_1& {\vec{a}}_m\ast {\vec{b}}_1\\ \ddots & \ddots & \ddots & \ddots & \ddots \\ {\vec{a}}_0\ast {\vec{b}}_{m-1}& {\vec{a}}_1\ast {\vec{b}}_{m-1}& \ddots & {\vec{a}}_{m-1}\ast {\vec{b}}_{m-1}& {\vec{a}}_m\ast {\vec{b}}_{m-1}\\ {\vec{a}}_0\ast {\vec{b}}_m& {\vec{a}}_1\ast {\vec{b}}_m& \ddots & {\vec{a}}_{m-1}\ast {\vec{b}}_m& {\vec{a}}_m\ast {\vec{b}}_m\end{array}\right)& \begin{array}{c}\\ d_{2m}\\ d_{2m-1}\\ ⋮\\ d_{m+1}\\ d_m\end{array}\\ & \begin{array}{ccccc}{d}_0& d_1& \cdots & d_{m-1}& d_m\end{array}& \end{array}$

有：for $k=0,\cdots ,2m$， $d_k={\sum }_{0\le i,j\le m;j=(m-k)+i}{\vec{a}}_i\ast {\vec{b}}_j$，从而转为证明$d_{m+1}={\sum }_{i=1}^m{\vec{a}}_i\ast {\vec{b}}_{i-1}=0$。

• Prover：commit to $d_k$为$c_{D_k}$，其中$c_{D_{m+1}}=co{m}_{ck}(0;0)$从而让verifier可确定$d_{m+1}=0$。

• Verifier给Prover：challenge $x$

因为：${\sum }_{k=0}^{2m}{d}_k{x}^k=({\sum }_{i=0}^m{x}^i{\vec{a}}_i)\ast ({\sum }_{j=0}^m{x}^{m-j}{\vec{b}}_j)$

• Prover：计算 $\vec{a}={\sum }_{i=0}^m{x}^i{\vec{a}}_i$和$\vec{b}={\sum }_{j=0}^m{x}^{m-j}{\vec{b}}_j$，将$\vec{a}$和$\vec{b}$发送给Verifier。

• Verifier：利用commitment的同态性，只需验证${\prod }_{k=0}^{2m}{c}_{D_k}^{x^k}=co{m}_{ck}(\vec{a}\ast \vec{b};t)$成立。由于$d_{m+1}=0$，则相应地基于$x$的多项式其$x^{m+1}$系数为0，则可证明$0={\sum }_{i=1}^m{\vec{a}}_i\ast {\vec{b}}_{i-1}$。

整个zero argument算法流程如下：

4. Single value product argument

采用的是 J.Groth 2010年论文《A verifiable secret shuffle of homomorphic encryptions》中的算法实现。（结合博客A Verifiable Secret Shuffle of Homomorphic Encryptions学习笔记 中第2节“shuffle of known contents 明文shuffle证明”思路来理解。）
Common input: commit key $ck$, $b,c_a$
Witness: $a_1,\cdots ,a_n,r$
证明：$c_a=co{m}_{ck}(a_1,\cdots ,a_n;r)$且$b={\prod }_{i=1}^n{a}_i$

主要分为两层证明：
1）证明knowledge of opening $a_1,\cdots ,a_n,r$ of $c_a$。借助sigma-protocol思路：

• Prove：commit to random $d_1,\cdots ,d_n$，$c_d=co{m}_{ck}(d_1,\cdots ,d_n;r_d)$。Prover将$c_d$发送给Verifier。
• Verifier：Challenge $x$。
• Prover：for $i=1,\cdots ,n$，计算${\tilde{a}}_i=x{a}_i+d_i$，$\tilde{r}=xr+r_d$。Prover将${\tilde{a}}_1,\cdots ,{\tilde{a}}_n,\tilde{r}$ 发送给Verifier。
• Verifier：验证$c_a^x{c}_d=co{m}_{ck}({\tilde{a}}_1,\cdots ,{\tilde{a}}_n;\tilde{r})$成立，即完成证明knowledge of opening $a_1,\cdots ,a_n,r$ of $c_a$。

2）为证明$b={\prod }_{i=1}^n{a}_i$，构建向量$b_1=a_1,b_2=a_1{a}_2,\cdots ,b_n={\prod }_{i=1}^n{a}_i$，转为在不暴露$b_1,\cdots ,b_n$和$a_1,\cdots ,a_n$的基础上，证明$b_{i+1}=b_i{a}_{i+1}$。不暴露$b_1,\cdots ,b_n$可采用与不暴露$a_1,\cdots ,a_n$类似的方法：Prover引入随机值${\delta }_1,\cdots ,{\delta }_n$，计算${\tilde{b}}_i=x{b}_i+{\delta }_i$，限定${\delta }_1=d_1,{\delta }_n=0$，从而有${\tilde{b}}_1={\tilde{a}}_1,{\tilde{b}}_n=xb$。然后转为证明，for $i=1,\cdots ,n-1$ Prover知道$x{\tilde{b}}_{i+1}-{\tilde{b}}_i{\tilde{a}}_{i+1}$的差值。由于 $x{\tilde{b}}_{i+1}-{\tilde{b}}_i{\tilde{a}}_{i+1}=(b_{i+1}-b_i{a}_{i+1})x^2+({\delta }_{i+1}-a_{i+1}{\delta }_i-b_i{d}_{i+1})x-{\delta }_i{d}_{i+1}$，若$b_{i+1}=b_i{a}_{i+1}$成立，则该多项式的二阶系数为0，仅需分别对一阶系数和常量仅需commit，然后Verifier利用commitment加法同态性仅需验证即可。具体思路为：

• Prover：引入随机值${\delta }_1,\cdots ,{\delta }_n$，限定${\delta }_1=d_1,{\delta }_n=0$对多项式常量commit $c_{\delta }=co{m}_{ck}(-{\delta }_1{d}_2,\cdots ,-{\delta }_{n-1}{d}_n;s_1)$，对一阶系数commit $c_{\Delta }=co{m}_{ck}({\delta }_2-a_2{\delta }_1-b_1{d}_2,\cdots ,{\delta }_n-a_n{\delta }_{n-1}-b_{n-1}{d}_n;s_x)$ 。Prover给Verifier发送$c_{\delta }和c_{\Delta }$。
• Verifier：Challenge $x$。
• Prover：计算${\tilde{b}}_i=x{b}_i+{\delta }_i$，同时计算$\tilde{s}=x{s}_x+s_1$。Prover给Verifier发送${\tilde{b}}_1,\cdots ,{\tilde{b}}_n,\tilde{s}$。
• Verifier：验证${\tilde{b}}_1={\tilde{a}}_1和{\tilde{b}}_n=xb$成立以及$c_{\Delta }^x{c}_{\delta }=co{m}_{ck}(x{\tilde{b}}_2-{\tilde{b}}_1{\tilde{a}}_2,\cdots ,x{\tilde{b}}_n-{\tilde{b}}_{n-1}{\tilde{a}}_n;\tilde{s})$成立即可。