Permutation $\pi$ 零知识证明

1. 背景知识

Prover 需要在不reveal permutation $\pi$的基础上，证明其确实知道$\pi$，且在收到Verifier challenge信息后，Prover对challenge 信息采用相同的$\pi$处理并将处理后的消息发送给Verifier，Verifier应可验证所收到的消息确实是采用了相同的permutation $\pi$处理，尽管其并不知道具体的permutation $\pi$内容。
在Jens Groth 2010年论文《A Verifiable Secret Shuffle of Homomorphic Encryptions》和Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》中，均有对permutation $\pi$证明算法实现，具体也可结合这两篇博客来看：

• 博客Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1） 第2节内容。
• 博客A Verifiable Secret Shuffle of Homomorphic Encryptions学习笔记 第3节内容。

假设均针对长度为$N=nm$的Permutation $\pi$进行证明，且均采用Pedersen commitment规则：

2. Groth2010的permutation $\pi$零知识证明

Jens Groth 2010年论文《A Verifiable Secret Shuffle of Homomorphic Encryptions》的思路为：
Common Input: public commitment key $ck$。【length为$N+1$】
Prover’s witness: permutation $\pi \in {\sum }_N$。
证明：在不暴露permutation $\pi$的前提下，Verifier给challenge(s)，Prover respond，Verifier需验证：Prover确实知道某permutation $\pi$；Prover respond的消息内采用了相同的permutation $\pi$。

1）Prover：对permutation $\pi$进行commit $c=co{m}_{ck}=(\pi (1),\cdots ,\pi (N);r)$，其实就是对数字$1,\cdots ,N$的permutation commit。只需证明$c$为a commit to a permutation of the numbers $1,\cdots ,N$，这样就可以保证the prover is bound to some permutation he knows, but the permutation remains hidden.
同时选$N$个随机数$-d_1,\cdots ,-d_N$用于保护permutation $\pi$不被reveal，对这些随机数进行commit $c_d=co{m}_{ck}(-d_1,\cdots ,-d_N;r_d)$。
将$c$和$c_d$发送给Verifier。
2）Verifier：Challenges $t_1,\cdots ,t_N$。【length为$N$】
3）Prover：对收到的$t_1,\cdots ,t_N$按相同的permutation $\pi$进行permute，计算$s_i=t_{\pi (i)}+d_i$。Prover给Verifier发送$s_1,\cdots ,s_N$。【length为$N$】
4）Prover：提供证明$s_i$ have been formed correctly, using the same permutation $\pi$ that used to form $c$。
Common Input: $ck$、$c$、$c_d$、$(s_1,\cdots ,s_N)$以及$t_1,\cdots ,t_N$。
Prover’s witness: permutation $\pi \in {\sum }_N$。
证明：$s_1,\cdots ,s_N$中的permutation $\pi$和commitment $c$中的permutation $\pi$是相同的。

• Verifier：challenge $\lambda$
• Common input：构建向量$(m_1,\cdots ,m_N)=(\lambda \cdot 1+t_1,\cdots ,\lambda \cdot N+t_N)$（构建依据为$c$为a commit to a permutation of the numbers $1,\cdots ,N$）。
• Prover：
  （1）利用witness permutation $\pi$构建向量$(m_{\pi (1)},\cdots ,m_{\pi (N)})=(\lambda \pi (1)+t_{\pi (1)},\cdots ,\lambda \pi (N)+t_{\pi (N)})$，引入随机值$\rho =r\lambda +r_d$，Prover可计算$c_{\lambda }=co{m}_{ck}(\lambda \pi (1)+t_{\pi (1)},\cdots ,\lambda \pi (N)+t_{\pi (N)};\rho )=co{m}_{ck}(m_{\pi (1)},\cdots ,m_{\pi (N)};\rho )$。
  实际上，利用commitment的加法同态性，Verifier和Prover均可获得$c_{\lambda }=c^{\lambda }{c}_{d}co{m}_{ck}(s_1,\cdots ,s_N;0)$。
  从而$c_{\lambda }$为common input，无需传递。
  （2）已知$c_{\lambda }=co{m}_{ck}(m_{\pi (1)},\cdots ,m_{\pi (N)};\rho )$和$(m_1,\cdots ,m_N)$，证明Prover知道相应的permutation $\pi$和randomizer $\rho$：（显然地，可以借助博客博客A Verifiable Secret Shuffle of Homomorphic Encryptions学习笔记第二节的“shuffle of known contents 明文shuffle证明”来实现。同时注意，其中的challenge $x$可复用以上（1）中的challenge $\lambda$）
• Prover和Verifier：均计算$c_{\lambda }=c^{\lambda }{c}_{d}co{m}_{ck}(s_1,\cdots ,s_N;0)$。
• Prover：复用$x=\lambda$，复用之前的$c_d=-c_d,c=c_{\lambda }$，从而有：
  

由此，即完成整个permutation $\pi$零知识证明。

3. Groth2012的permutation $\pi$零知识证明

Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》的思路为：
Prover’s witness: permutation $\pi \in {\sum }_N$。
Common Input: public commitment key $ck$。【length为$n+1$】（将$(\pi (1),\cdots ,\pi (N))$向量以$n$行$m$列的矩阵表示，减少$ck$的长度减少$m$倍。）
证明：在不暴露permutation $\pi$的前提下，Verifier给challenge(s)，Prover respond，Verifier需验证：Prover确实知道某permutation $\pi$；Prover respond的消息内采用了相同的permutation $\pi$。

1）Prover：将$(\pi (1),\cdots ,\pi (N))$向量以$n$行$m$列的矩阵表示 A = a ⃗ = ( a ⃗ 1 , ⋯   , a ⃗ m ) = { π ( i ) } i = 1 N A=\vec{a}=(\vec{a}_1,\cdots,\vec{a}_m)=\{\pi(i)\}_{i=1}^N A=a =(a 1​,⋯,a m​)={π(i)}i=1N​，逐列进行commit ${\vec{c}}_A=co{m}_{ck}(A;\vec{r})=co{m}_{ck}(\vec{a};\vec{r})=(co{m}_{ck}({\vec{a}}_1;r_1),\cdots ,co{m}_{ck}({\vec{a}}_m;r_m))$，其实就是对数字$1,\cdots ,N$的permutation commit。
将${\vec{c}}_A$发送给Verifier。【length为$m$】【第一组commitment】
2）Verifier：Challenges $x$。【length为$1$】
3）Prover：采用相同的permutation $\pi$构建$n$行$m$列的矩阵 B = b ⃗ = ( b ⃗ 1 , ⋯   , b ⃗ m ) = { x π ( i ) } i = 1 N B=\vec{b}=(\vec{b}_1,\cdots,\vec{b}_m)=\{x^{\pi(i)}\}_{i=1}^N B=b =(b 1​,⋯,b m​)={xπ(i)}i=1N​，逐列进行commit ${\vec{c}}_B=co{m}_{ck}(B;\vec{s})=co{m}_{ck}(\vec{b};\vec{s})=(co{m}_{ck}({\vec{b}}_1;s_1),\cdots ,co{m}_{ck}({\vec{b}}_m;s_m))$
Prover给Verifier发送${\vec{c}}_B$。【length为$m$】【第二组commitment】
4）Prover：提供证明${\vec{c}}_B$ have been formed correctly, using the same permutation $\pi$ that used to form ${\vec{c}}_A$。
Prover提供argument，证明其知道相应的openings of the commitments to permutations of respectively $1,\dots ,N$和$x^1,\dots ,x^N$，同时证明这两组commitment采用的是相同的permutation。【即第二组commitment是对$x^1,\dots ,x^N$ permuted in an order that was fixed before the prover saw $x$】。

• 4.1 为了证明两组commitment采用的是相同的permutation，Verifier给Prover random challenges $y$和$z$。
• 4.2 Prover commit to 一系列 $d_1-z=y\pi (1)+x^{\pi (1)}-z,\dots ,d_N-z=y\pi (N)+x^{\pi (N)}-z$。使用product argument，即可证明${\prod }_{i=1}^N(d_i-z)={\prod }_{i=1}^N(yi+x^i-z)$等式成立。【想象其为$z$的N阶多项式，$d_i$是对其root根$yi+x^i$的permute，基于Schwartz-Zippel lemma可知，针对特定的$z$值Prover伪造找到相应$d_i$值使该等式成立的概率不高于$\frac{N}{q-1}$，可忽略。同理，针对$y$值，Prover伪造两组commitment使等式成立的概率也可忽略。】
  方法一：
  直接将 { d i − z } i = 1 N \{d_i-z\}_{i=1}^N {di​−z}i=1N​发送给Verifier，Verifier验证等式成立即可。但由于$d_i-z=y\pi (i)+x^{\pi (i)}-z$，Verifier对$x,y,z$均已知，其可以直接猜测出相应的$\pi (i)$，相当于$\pi$被reveal了，违背了$\pi$的零知识要求。
  方法二：
  构建$n$行$m$列矩阵 E = { d i − z } i = 1 N = ( e 11 , ⋯   , e n m ) = ( e ⃗ 1 , ⋯   , e ⃗ m ) E=\{d_i-z\}_{i=1}^N=(e_{11},\cdots,e_{nm})=(\vec{e}_1,\cdots,\vec{e}_m) E={di​−z}i=1N​=(e11​,⋯,enm​)=(e 1​,⋯,e m​)， 这样${\prod }_{i=1}^N(d_i-z)$可理解为矩阵$F$中所有元素的乘积，亦可再次理解为每行乘积之后所有行的乘积。$\Rightarrow$对矩阵$E$逐行乘积形成新的向量$\vec{f}=({\prod }_{j=1}^m{e}_{1j},\cdots ,{\prod }_{j=1}^m{e}_{nj})=(f_1,\cdots ,f_n)$，这样${\prod }_{i=1}^N(d_i-z)={\prod }_{i=1}^n{\prod }_{j=1}^m{e}_{ij}={\prod }_{i=1}^n({\prod }_{j=1}^m{e}_{ij})={\prod }_{i=1}^n{f}_i$
  Verifier对${\prod }_{i=1}^N(yi+x^i-z)$中的$x,y,z$均已知，可将其理解为某常量值$f$。
  构建$n$行$m$列矩阵$-z$并对其逐列进行commit有${\vec{c}}_{-z}=co{m}_{ck}(-z,\cdots ,-z;\vec{0})$。
  基本思路为：
  <1>利用commitment的加法同态性，对矩阵$E$逐列commit值为${\vec{c}}_E={\vec{c}}_A^y{\vec{c}}_B{\vec{c}}_{-z}$。Verifier可直接计算该值。
  <2> 对向量$f$ commit $c_f=co{m}_{ck}(\vec{f};s)=co{m}_{ck}(f_1,\cdots ,f_n;s)$。

接下来，赋值$矩阵A=矩阵E，\vec{b}=\vec{f}，b=f$，就可以结合博客Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）来理解了。

4. Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的permutation argument

在博客Short Pairing-based Non-interactive Zero-Knowledge Arguments中介绍了Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的permutation argument，与以上2和3中的permutation argument不同，相应的permutation $\rho$为public known。

Witness：$a_1,\cdots ,a_n$及$b_1,\cdots ,b_n$
Public info：permutation $\rho$
Prover：计算$c=co{m}_{ck}(a_1,\cdots ,a_n;r_a)$和$d=co{m}_{ck}(b_1,\cdots ,b_n;r_b)$