基于Sigma protocol实现的零知识证明protocol集锦

1. 背景知识

Sigma protocols，又称为 3 phase protocols，用于证明knowledge of values in some relation，但是又不泄露values的具体值。

如用于证明knowledge of discrete log：given $g$ and $y$，prove knowledge of $x$ 满足 $g^x=y$ without revealing $x$。

本文将介绍如何构建Sigma protocols来证明各种关系，如：

• knowledge of discrete log
• equality of discrete log
• inequality of 2 given discrete logs
• knowledge of multiple discrete logs
• composition of many Sigma protocols
• knowledge of message and randomness in a Pedersen commitment
• equality of message in 2 Pedersen commitments

同时提供了Python 代码示例，用于说明在elliptic curves 上如何实现相应的构建。

1.1 零知识证明中的术语

• Witness：the value being proven knowledge of。待证明的信息，仅Prover知道，不对Verifier泄露。目的就是：在不将witness泄露给Verifier的情况下，Prover知道满足某关系的witness并提供相应的proof，使Verifier根据proof和instance信息确信“Prover确实知道满足指定关系的witness”。对adversary而言，由于其不知道相应的witness，由adversary提供的proof应总是被验证失败。
• Instance：描述关系中除witness外的所有其它元素，均统称为instance。instance为public information，对于Prover和Verifier均已知。
• Prover: the entity proving the knowledge of the witness。用于证明其知道witness的一方叫做Prover，Prover提供proof。
• Verifier：the other party that the prover needs to convince of the knowledge of witness。验证proof的一方叫做Verifier。

以proof of knowledge of discrete log 为例：($y=g^x$)
Witness：$x$
Instance：$y$和$g$

1.2 Sigma protocol

Sigma protocol可分三步描述：

• 1）Commitment：
  The prover generates a random number, creates a commitment to that randomness and sends the commitment to the verifier.

• 2）Challenge：
  After getting the commitment, the verifier generates a random number as a challenge and sends it to the prover. It is important that the verifier does not send the challenge before getting the commitment or else the prover can cheat.

• 3）Response：
  The prover takes the challenge and creates a response using the random number chosen in step 1), the challenge and the witness. The prover will then send the response to the verifier who will do some computation and will or will not be convinced of the knowledge of the witness.

以上描述的Sigma protocol为interactive protocol，要求Prover和Verifier必须同时在线，且能相互发送消息来完成整个流程。利用Fiat-Shamir heuristic，可将其转化为non-interactive：即不需要Verifier在第2步中发送challenge，Prover自己模拟一个challenge（by using a hash function to hash something specific to this protocol execution. 该hash函数的输入可为：如第1步中生成的commitment以及其它instance数据。）在non-interactive protocol中，Prover可以创建proof，而任意的Verifier都可以verify the proof。

仍以proof of knowledge of discrete log 为例：($y=g^x$)【该协议也可称为Schnorr identification protocol或Schnorr protocol。】

• 1）Commitment：
  Prover选择随机数$r$，创建commitment $t=g^r$，将$t$值发送给Verifier。

• 2）Challenge：
  Verifier存储$t$值，生成随机challenge $c$，将$c$值发送给Prover。

• 3）Response：
  Prover根据收到的challenge $c$值，创建response $s=r+x\ast c$，将$s$值发送给Verifier。

Verifier只需要验证$g^s=y^c\ast t$成立，即可相信Prover确实知道相应的$x$使得$y=g^x$成立。

1.2.1 注意事项一：Prover应每次使用新的随机数$r$

每次生成proof时，Prover都应选择不同的新的随机数$r$，否则会造成$x$泄露。
具体为：

• 1.1）Prover：选择随机数$r$，计算$t=g^r$，将$t$发送给Verifier；

• 1.2）Verifier：存储$t$，发送challenge $c_1$给Prover；

• 1.3）Prover：根据$r$和$c_1$，计算response $s_1=r+c_1\ast x$，将$s_1$发送给Verifier。

• 2.1）Prover：仍然选择相同的随机数$r$，计算$t=g^r$，将$t$发送给Verifier；

• 2.2）Verifier：存储$t$，发送challenge $c_2$给Prover；

• 2.3）Prover：根据$r$和$c_1$，计算response $s_2=r+c_2\ast x$，将$s_1$发送给Verifier。

若Prover采用了相同的随机数$r$，则Verifier根据收到的$s_1$和$s_2$，可计算出$x=(s_1-s_2)/(c_1-c_2)$，从而造成 witness $x$ 的泄露。

1.2.2 注意事项二：Prover应无法预测challenge $c$

Prover应无法预测challenge $c$，否则Prover可在不知道witness $x$的情况下，伪造证明使Verifier信服。
正常情况下，若Prover应无法预测challenge $c$，Verifier根据其收到的$s(=r+c\ast x)$，验证$g^s=y^c\ast t$成立，则可认为Prover确实知道witness $x$ 使得$y=g^x$成立。

但是，若Prover可预测到challenge $c$值，则其在构建$t$时不再是基于随机数$r$，而是可以直接计算$t=y^{-c}\ast g^s$（不需要$x$参与计算），使得$g^s=y^c\ast t$恒成立。

1.2.3 make the protocol non-interactive

利用Fiat-Shamir heuristic，Prover使用hash function Hash 来生成相应的challenge $c$（应保证Prover无法预测Hash函数的输出，否则如1.2.2节所示Prover可以作弊。）。
non-interactive protocol可让Verifier不再需要生成随机数$c$，使得Verifier的实现更简单。
non-interactive的详细实现为：

• 1）Prover：Prover生成随机数$r$，创建commitment $t=g^r$；Prover将$g,t,y$作为hash函数输入计算challenge $c(=Hash(g,y,t))$；Prover计算response $s=r+c\ast x$。Prover将$(t,s)$发送给Verifier。

Verifier根据收到的$t$和instance $g,y$，利用相同的Hash函数计算$c=Hash(g,y,t)$，再结合收到的$s$，验证$g^s=y^c\ast t$是否成立即可。

实际实现时，$t$的size可能要远远大于$c$和$s$的size（注意：$t$为group element，$c和s$ 为field element）。为了降低传输压力，Prover发送$(t,s)$可改为发送$(c,s)$。调整为：

• 1）Prover：Prover生成随机数$r$，创建commitment $t=g^r$；Prover将$g,t,y$作为hash函数输入计算challenge $c(=Hash(g,y,t))$；Prover计算response $s=r+c\ast x$。Prover将$(c,s)$发送给Verifier。

Verifier根据收到的$(c,s)$，假设$g^s=y^c\ast t$成立，计算$t(=g^s\ast y^{-c})$，利用$t,g,y$作为相同hash函数的输入，计算$c’=hash(g,y,t)$，验证$c=c’$是否成立即可。

以上non-interactive protocol即是Schnorr signatures的核心思想。可将Schnorr signature看作是proof of knowledge of secret key corresponding to a public key ($x$ in $g^x$)，而被签名的消息$m$增加作为hash函数的输入，以此来生成challenge。（the message being signed is just hashed in the challenge in addition to other stuff we saw above.）
（可参见博客 Schnorr signature (Schnorr 签名)数学原理）

2. 基于Sigma protocol实现基础协议

以下罗列了一些基于Sigma protocol实现的基础关系证明，主要针对的是non-interactive场景。

2.1 Protocol 1. Equality of discrete logs

证明Prover知道witness $x$，使得$g^x=y且h^x=z$。
Witness：$x$
Instance：$g,h,y,z$
Relation：$g^x=y$且$h^x=z$

具体实现可为：
1）Prover:

• 生成随机数$r$，采用相同的$r$创建2个commitment $t_1=g^r,t_2=h^r$；
• 以$g,h,y,z,t_1,t_2$为输入，生成challenge $c=Hash(g,h,y,z,t_1,t_2)$；
• 创建response $s=r+c\ast x$；
• 发送$(t_1,t_2,s)$ 给Verifier。

2）Verifier：

• 验证$g^s=y^c\ast t$和$h^s=z^c\ast t$是否同时成立即可。

2.2 Protocol 2. Conjunction (AND) of discrete logs

证明Prover知道witness $a,b$，使得$g^a=P且h^b=Q$。
Witness：$a,b$
Instance：$g,h,P,Q$
Relation：$g^a=P且h^b=Q$

具体实现可为：【相当于并行执行2个 ”knowledge of discrete log” protocol】
1）Prover:

• 生成随机数$r_1,r_2$，分别创建2个commitment $t_1=g^{r_1},t_2=h^{r_2}$；
• 以$g,h,P,Q,t_1,t_2$为输入，生成challenge $c=Hash(g,h,P,Q,t_1,t_2)$；
• 创建response $s_1=r_1+c\ast x,s_2=r_2+c\ast x$；
• 发送$(t_1,t_2,s_1,s_2)$ 给Verifier。

2）Verifier：

• 验证$g^{s_1}=y^c\ast t_1$和$h^{s_2}=z^c\ast t_2$是否同时成立即可。

2.3 Protocol 3. Disjunction (OR) of discrete logs

证明Prover知道witness $a$使得$g^a=P$，或者，知道witness $b$使得$h^b=Q$，但是，无法同时知道$a,b$使得$g^a=P且h^b=Q$同时成立。
不能暴露Prover到底知道的是$a$还是$b$。

假设Prover仅知道$a$使得$g^a=P$【<1>，可诚信证明】，而不知道$b$使得$h^b=Q$【<2>，需伪造证明】，具体实现可为：
1）Prover：

• 生成用于证明<1>随机数$r_1$，构建第1个commitment $t_1=g^{r_1}$；
• 生成用于证明<2>的challenge $c_2$和随机response $s_2$，（由于Prover由于不知道$b$，只能随机生成，采用1.2.2节中的方式来伪造证明），构建第2个commitment $t_2=h^{s_2}\ast Q^{-c_2}$；
• 计算hash值$c=Hash(g,h,P,Q,t_1,t_2)$，计算用于证明<1>的challenge $c_1=c-c_2$；
• 计算用于证明<1>的response $s_1=r_1+a\ast c_1$；
• 发送$((t_1,c_1,s_1),(t_2,c_2,s_2))$ 给Verifier。

2）Verifier:
可同时验证$g^{s_1}=P^{c_1}\ast t_1$和$h^{s_2}=Q^{c_2}\ast t_2$均成功，由于Verifier 可计算 $c=Hash(g,h,P,Q,t_1,t_2)$，其收到的$c_1,c_2$满足$c_1+c_2=c$，相比于2.2节的AND proof，Verifier可确信Prover确实知道$a$ OR $b$。

Jan Camenisc等人1997年论文《Proof Systems for General Statements about Discrete Logarithms》中，也有一些证明方案（参见博客 密码学中的sigma-protocol 第2节中提到的OR证明。），其中的OR证明【repsonse格式改为$s=r-c\ast x$格式】，Prover发送给Verifier的内容调整为了$(c_1,c_2,s_1,s_2)$；Verifier计算$t_1=g^{s_1}{P}^{c_1},t_2=h^{s_2}{Q}^{c_2}$，同时验证$c_1+c_2=H(g,h,P,Q,t_1,t_2)$是否成立即可。具体为：
1）Prover：

• 生成用于证明<1>随机数$r_1$，构建第1个commitment $t_1=g^{r_1}$；
• 生成用于证明<2>的challenge $c_2$和随机response $s_2$，（由于Prover由于不知道$b$，只能随机生成，采用1.2.2节中的方式来伪造证明），构建第2个commitment $t_2=h^{s_2}\ast Q^{c_2}$；
• 计算hash值$c=Hash(g,h,P,Q,t_1,t_2)$，计算用于证明<1>的challenge $c_1=c-c_2$；
• 计算用于证明<1>的response $s_1=r_1-a\ast c_1$；
• 发送$((c_1,s_1),(c_2,s_2))$ 给Verifier。

2）Verifier:
计算$t_1=g^{s_1}{P}^{c_1},t_2=h^{s_2}{Q}^{c_2}$，同时验证$c_1+c_2=H(g,h,P,Q,t_1,t_2)$是否成立即可。相比于2.2节的AND proof，Verifier可确信Prover确实知道$a$ OR $b$。

2.4 Protocol 4. Knowledge of the opening of Pedersen commitment

Pedersen commitment：$P=Com(m;r)=g^m{h}^r$，其中$(m,r)$称为the opening of the commitment。
证明Prover知道witness $(m,r)$，使得$P=g^m\ast h^r$。
Witness：$m,r$
Instance：$g,h,P$
Relation：$P=g^m\ast h^r$

具体实现可为：
1）Prover：

• 生成随机数$r1,r_2$，创建commitment $t=g^{r_1}\ast h^{r_2}$；
• 构建challenge $c=Hash(g,h,P,t)$；
• 计算response $s_1=r_1+m\ast c,s_2=r_2+r\ast c$；
• 将$(t,s_1,s_2)$发送给Verifier。

2）Verifier：

• 验证$t\ast P^c=g^{s_1}\ast h^{s_2}$是否成立即可。

若将上述流程用于证明vector Pedersen commitment $P=g_1^{m_1}\ast g_2^{m_2}\ast \cdots \ast g_n^{m_n}\ast h^r$，则相应Prover发送给Verifier的内容长度为$\Theta (n)$——$(t,s_1,s_2,\cdots ,s_n,s_{n+1})$。

2.5 Protocol 5. Equality of the opening of 2 Pedersen commitment

证明Prover知道witness $(a,b)$，使得$P=g_1^a\ast h_1^b且Q=g_2^a\ast h_2^b$。
Witness：$a,b$
Instance：$g_1,h_1,g_2,h_2,P,Q$
Relation：$P=g_1^a\ast h_1^b且Q=g_2^a\ast h_2^b$

具体实现可为：
1）Prover：

• 生成随机数$r1,r_2$，创建commitment $t_1=g_1^{r_1}\ast h_1^{r_2},t_2=g_2^{r_1}\ast h_2^{r_2}$；
• 构建challenge $c=Hash(g_1,h_1,g_2,h_2,P,Q,t_1,t_2)$；
• 计算response $s_1=r_1+a\ast c,s_2=r_2+b\ast c$；
• 将$(t_1,t_2,s_1,s_2)$发送给Verifier。

2）Verifier：

• 验证$t_1\ast P^c=g_1^{s_1}\ast h_1^{s_2}且t_2\ast Q^c=g_2^{s_1}\ast h_2^{s_2}$是否成立即可。

（？没想明白，咋用于vector Pedersen commitment或more than 2 Pedersen commitments呢？？）

2.6 Protocol 6. Equality of message in 2 Pedersen commitment

证明Prover知道witness $(a,b,d)$，使得$P=g_1^a\ast h_1^b且Q=g_2^a\ast h_2^d$。
Witness：$a,b,d$
Instance：$g_1,h_1,g_2,h_2,P,Q$
Relation：$P=g_1^a\ast h_1^b且Q=g_2^a\ast h_2^d$

具体实现可为：
1）Prover：

• 生成随机数$r1,r_2,r_3$，创建commitment $t_1=g_1^{r_1}\ast h_1^{r_2},t_2=g_2^{r_1}\ast h_2^{r_3}$；
• 构建challenge $c=Hash(g_1,h_1,g_2,h_2,P,Q,t_1,t_2)$；
• 计算response $s_1=r_1+a\ast c,s_2=r_2+b\ast c,s_3=r_3+d\ast c$；
• 将$(t_1,t_2,s_1,s_2,s_3)$发送给Verifier。

2）Verifier：

• 验证$t_1\ast P^c=g_1^{s_1}\ast h_1^{s_2}且t_2\ast Q^c=g_2^{s_1}\ast h_2^{s_3}$是否成立即可。

注意：whenever we prove some witness values are the same across different relations, the same random value is used in their corresponding commitments。如上，P和Q的$a$相同，则构建的commitment $t_1和t_2$中的$r_1$应相同。

可参看博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记 3.3节中的“proof of commitment to the same value”，所构建的证明算法proof size更小：

2.7 Protocol 7. Inequality of discrete logs

该协议首次在Jan Camenisch和Victor Shoup 2003年论文《Practical Verifiable Encryption and Decryption of Discrete Logarithms∗》中第6节提及。
证明Prover知道witness $(a)$，使得$P=g^a，Q=h^b，且a\ne b$。
Witness：$a$
Instance：$g,h,P,Q$
Relation：$P=g^a，Q=h^b，且a\ne b$

具体实现可为：
1）Prover：

• 生成随机数$r$，创建commitment $C=h^{a\ast r}\ast Q^{-r}=h^{\alpha }\ast Q^{\beta }$；【若$a\ne b$，Prover仅需证明$h^{\alpha }\ast Q^{\beta }=C，C\ne 1且g^{\alpha }\ast P^{\beta }=1$。可将$1$和$C$看成是Pedersen commitments to message $\alpha$和randomness $\beta$ with different generators $h,Q,g,P$。可参照2.5节的Protocol 5方式执行，获得相应的$(t_1,t_2,s_1,s_2)$】
• 将$(C,t_1,t_2,s_1,s_2)$发送给Verifier。

2）Verifier：

• 验证$C\ne 1$且按Protocol 5验证程序执行是否均成立即可。

在示例代码 中，采用的Elliptic curve，其中$1$对应的是the identity element (the point at infinity) on the curve。

def verify_discrete_log_inequality(g, h, P, Q, C, t1s1, t2s2):
	    if C.is_identity:
	        return False
	

	    # iden is the identity element so adding or subtracting it from something makes no difference
	    iden = C - C
	    return verify_knowledge_and_eq_of_opening_of_pedersen_commitments(g, P, h, Q, iden, C, t1s1, t2s2)

2.8 Argument of Knowledge of Commitment Openings

详情见Groth 2009年论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中附录A，
Witness：${\vec{x}}_1,\cdots ,{\vec{x}}_m\in {\mathbb{Z}}_p^n$和$r_1,\cdots ,r_m\in {\mathbb{Z}}_p$
Instance：$c_1,\cdots ,c_m\in \mathbb{G}$
Relation：$c_i=Com(x_i;r_i)$

具体实现为：

• Prover：生成随机数 ${\vec{x}}_0\leftarrow {\mathbb{Z}}_p^n,r_0\leftarrow {\mathbb{Z}}_p$，计算commitment $c_0=com({\vec{x}}_0;r_0)$，将$c_0\in \mathbb{G}$发送给Verifier。
• Verifier：给Prover发送random challenge $e\leftarrow {\mathbb{Z}}_p$。
• Prover：计算$\vec{z}={\sum }_{i=1}^m{e}^i{\vec{x}}_i$和$s={\sum }_{i=1}^m{e}^i{r}_i$，将$\vec{z}\in {\mathbb{Z}}_p^n$和$s\in {\mathbb{Z}}_p$发送给Verifier。
• Verifier：验证${\prod }_{i=0}^m{c}_i^{e^i}=com(\vec{z};s)$是否成立即可。

2.9 knowledge of commitment opening product relation or multiplication relation

参见博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记
Wahby 等人2018年论文《Hyrax: Doubly-efficient zkSNARKs without trusted setup》中Figure 5。
证明Prover 知道witness $x,y$使得$X=g^x,Y=g^y,Z=g^{xy}$
Witness：$x,y\in {\mathbb{Z}}_p$
Instance：$X,Y,Z,g\in \mathbb{G}$
Relation：$X=g^x\wedge Y=g^y\wedge Z=g^{xy}$

具体实现为：

• Prover：生成随机数$b_1,b_3{\in }_R{\mathbb{Z}}_p$,，计算commitment $\alpha =g^{b_1},\beta =g^{b_3},\delta =X^{b_3}$，将$\alpha ,\beta ,\delta \in \mathbb{G}$发送给Verifier。
• Verifier：给Prover 发送 random challenge $c{\in }_R{\mathbb{Z}}_p$。
• Prover：计算$z_1=b_1+cx,z_3=b_3+cy$，将$z_1,z_3\in {\mathbb{Z}}_p$发送给Verifier。
• Verifier：验证$\alpha \cdot X^c=g^{z_1}且\beta \cdot Y^c=g^{z_3}且\delta \cdot Z^c=X^{z_3}$ 成立即可。

2.10 batch schnorr 证明

Gennaro等人2004年论文[25]《Batching Schnorr identification scheme with applications to privacy-preserving authorization and low-bandwidth communication devices》：

2.11 $\sum$-protocol for commitment to 0 or 1

Groth和Kohlweiss 2015年论文《One-out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin》中关注的场景为：

• public info：commitment $c$。
• private info：$m,r$
• relation： m ∈ { 0 , 1 } m\in\{0,1\} m∈{0,1}

核心思想为：
若 m ∈ { 0 , 1 } m\in\{0,1\} m∈{0,1}，则$m(1-m)=0$成立。

相应的证明为：

2.12 $\sum$-protocol for one out of $N$ commitments containing 0

Groth和Kohlweiss 2015年论文《One-out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin》中针对的场景为：

• public info：$N$个commitments $c_0,\cdots ,c_{N-1}$
• private info： l ∈ { 0 , ⋯   , N − 1 } l\in\{0,\cdots,N-1\} l∈{0,⋯,N−1} 以及$r\in {\mathbb{Z}}_q$
• relation：$c_l=Co{m}_{ck}(0;r)$

核心思想为：
若one of the commitments contains 0，等价为 存在an index $l$ 使得${\prod }_{i=0}^{N-1}{c}_i^{{\delta }_{il}}$为a commitment to 0，其中${\delta }_{il}$为Kronecker’s delta，即${\delta }_{ll}=1$ and ${\delta }_{il}=0$ for $i\ne l$。

假设$N=2^n$，将$i,l$以二进制表示：$i=i_1\cdots i_n,l=l_1\cdots l_n$，则${\delta }_{il}$可表示为${\delta }_{il}={\prod }_{j=1}^n{\delta }_{i_j{l}_j}$，从而转换为证明${\prod }_{i=0}^{N-1}{c}_i^{{\prod }_{j=1}^n{\delta }_{i_j{l}_j}}$ 为 a commitment to 0：

• Prover：make commitments $c_{l_1},\cdots ,c_{l_n}$ to the bits $l_1,\cdots ,l_n$。
  然后执行图1的$n$ parallel $\sum$-protocol来 prove knowledge of openings of these commitments to values l j ∈ { 0 , 1 } l_j\in\{0,1\} lj​∈{0,1}。
  在证明 l j ∈ { 0 , 1 } l_j\in\{0,1\} lj​∈{0,1}的$\sum$-protocols中，Prover会reveal $f_1,\cdots ,f_n$ of the form $f_j=l_{j}x+a_j$。
  假设$f_{j,1}=f_j=l_{j}x+a_j={\delta }_{1l_j}x+a_j,f_{j,0}=x-f_j=(1-l_j)x-a_j={\delta }_{0l_j}x-a_j$，则对于每个$i$，the product ${\prod }_{j=1}^n{f}_{j,i_j}$可表示为如下多项式：
  ${\prod }_{j=1}^n{f}_{j,i_j}=p_i(x)={\prod }_{j=1}^n({\delta }_{i_j{l}_j}x)+{\sum }_{k=0}^{n-1}{p}_{i,k}{x}^k={\delta }_{il}{x}^n+{\sum }_{k=0}^{n-1}{p}_{i,k}{x}^k$ …… （1）
  其中$p_{i,k}$为Prover witness。
  以$c_i$为底，$p_i(x)$为幂，有：
  $c_i^{p_i(x)}=c_i^{{\prod }_{j=1}^n{f}_{j,i_j}}=(c_i^{{\delta }_{il}}{)}^{x^n}\cdot {\prod }_{k=0}^{n-1}(c_i^{p_{i,k}}{)}^{x^k}$
  再次转换为：
  ${\prod }_{i=0}^{N-1}{c}_i^{p_i(x)}={\prod }_{i=0}^{N-1}{c}_i^{{\prod }_{j=1}^n{f}_{j,i_j}}={\prod }_{i=0}^{N-1}(c_i^{{\delta }_{il}}{)}^{x^n}\cdot {\prod }_{k=0}^{n-1}{\prod }_{i=0}^{N-1}(c_i^{p_{i,k}}{)}^{x^k}$ …… （2）
  由于$p_{i,k}$为Prover witness，for $k=0,\cdots ,n-1$，Prover需计算$c_{d_k}={\prod }_{i=0}^{N-1}(c_i^{p_{i,k}})\cdot Co{m}_{ck}(0;{\rho }_k)$【其中${\rho }_k$用于blinding $p_{i,k}$】，并将$c_{d_0},\cdots ,c_{d_{n-1}}$发送给Verifier。

对公式（2）再次转换有：
${\prod }_{i=0}^{N-1}(c_i^{{\delta }_{il}}{)}^{x^n}=c_l^{x^n}={\prod }_{i=0}^{N-1}{c}_i^{{\prod }_{j=1}^n{f}_{j,i_j}}\cdot {\prod }_{k=0}^{n-1}(c_{d_k}{)}^{-x^k}$

即证明$c_l$为a commitment to 0，等价为证明${\prod }_{i=0}^{N-1}{c}_i^{{\prod }_{j=1}^n{f}_{j,i_j}}\cdot {\prod }_{k=0}^{n-1}(c_{d_k}{)}^{-x^k}$为a commitment to 0。Prover仅需将相应的blinding factor $z_d$发送给Verifier即可。
详细的“$\sum$-protocol for one out of $N$ commitments containing 0”证明为：

2.13 commitment to 0

参见博客 Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists 代码解析 中的membership argument 中的场景：

• public info：commitment $c_v$
• witness：$r$
• relation：$c_v=g^0{h}^r=h^r$

证明过程为：

• Prover：选择random $z$，计算$t=h^z$，将$t$发送给Verifier；
• Verifier：发送challenge $x$；
• Prover：发送$s=z+x\cdot r$
• Verifier：验证 $h^s=t\cdot c_v^x$ 是否成立即可。

2.14 commitment to 非0

参见博客 Zero-Knowledge Argument for Polynomial Evaluation with Application to Blacklists 代码解析 中的Non-membership argument 中的场景：

• public info：commitment $c_v$
• witness：$v,r$
• relation：$c_v=g^v{h}^r$且$v\ne 0$

核心思想为：
若$v\ne 0$，则$v^{-1}$ 值存在。

证明思路为：

• Prover：选择random $y,z$，计算$t=c_v^y{h}^{-z}$，将$t$发送给Verifier；
• Verifier：发送challenge $x$；
• Prover：计算$s_1=y+x\cdot v^{-1},s_2=z+v^{-1}\cdot x\cdot r$，将$s_1,s_2$发送给Verifier；
• Verifier：验证$c_v^{s_1}=t\cdot g^x\cdot h^{s_2}$ 即可。

2.15 commitment to multiple sequences of bits, exactly one 1 in each sequence

参见Bootle等人2015年论文《Short Accountable Ring Signatures Based on DDH》第5章内容，具体场景为：【$m$行$n$列，每行元素为0或1，每行元素之和为1。】

• public info：commitment $B$；
• witness：$b_{0,0},\cdots ,b_{m-1,n-1},r$；
• relation： ∀ i , j : b j , i ∈ { 0 , 1 } \forall i,j:b_{j,i}\in\{0,1\} ∀i,j:bj,i​∈{0,1} 且 $\forall j:{\sum }_{i=0}^{n-1}{b}_{j,i}=1$ 且 $B=Co{m}_{ck}(b_{0,0},\cdots ,b_{m-1,n-1};r)$

核心思想为证明：$b_{j,i}(1-b_{j,i})=0$ for all $i,j$ 以及 ${\sum }_{i=0}^{n-1}{b}_{j,i}=1$。

详细的证明思路为：

• Prover：选择随机数 $r_A,r_B,r_C,a_{j,1},\cdots ,a_{j,n-1}\leftarrow {\mathbb{Z}}_q$，对$\forall j$，设置$a_{j,0}=-{\sum }_{i=1}^{n-1}{a}_{j,i}$。计算 A = C o m c k ( a 0 , 0 , ⋯   , a m − 1 , n − 1 ; r A ) , B = C o m c k ( { a j , i ( 1 − 2 b j , i ) } j , i = 0 m − 1 , n − 1 ; r C ) , C = C o m c k ( − a 0 , 0 2 , ⋯   , − a m − 1 , n − 1 2 ; r D ) A=Com_{ck}(a_{0,0},\cdots,a_{m-1,n-1};r_A), B=Com_{ck}(\{a_{j,i}(1-2b_{j,i})\}_{j,i=0}^{m-1,n-1};r_C), C=Com_{ck}(-a_{0,0}^2,\cdots,-a_{m-1,n-1}^2;r_D) A=Comck​(a0,0​,⋯,am−1,n−1​;rA​),B=Comck​({aj,i​(1−2bj,i​)}j,i=0m−1,n−1​;rC​),C=Comck​(−a0,02​,⋯,−am−1,n−12​;rD​)，将$A,C,D$均发送给Verifier；
• Verifier：发送challenge $x$；
• Prover：计算 $\forall j,i:f_{j,i}=b_{j,i}x+a_{j,i}$ 以及 $z_A=rx+r_A,z_C=r_{C}x+r_D$，将$f_{0,1},f_{1,1},\cdots ,f_{m-1,n-1},z_A,z_C$ 发送给Verifier；
• Verifier：验证 $\forall j:f_{j,0}=x-{\sum }_{i=1}^{n-1}{f}_{j,i}$ 【证明 ${\sum }_{i=0}^{n-1}{b}_{j,i}=1$ 】以及 $B^{x}A=Co{m}_{ck}(f_{0,0},\cdots ,f_{m-1,n-1};z_A)$ 以及 C x D = C o m c k ( { f j , i ( x − f j , i ) } j , i = 0 m − 1 , n − 1 ; z C ) C^xD=Com_{ck}(\{f_{j,i}(x-f_{j,i})\}_{j,i=0}^{m-1,n-1};z_C) CxD=Comck​({fj,i​(x−fj,i​)}j,i=0m−1,n−1​;zC​)【证明 $b_{j,i}(1-b_{j,i})=0$ for all $i,j$ 】

2.16 a list EIGamal ciphertexts $c_0,\cdots ,c_{N-1}$ containing an encryption of 1

参见Bootle等人2015年论文《Short Accountable Ring Signatures Based on DDH》第5章内容。
采用的为EIGamal encryption机制为：【其中$gk$为the group description，$crs=(ck,ek)$为the common reference string，其中$ck\leftarrow CGen(gk),(ek,\tau )\leftarrow PKEGen(gk)$ and $ek=g^{\tau }$ for $\tau \leftarrow {\mathbb{Z}}_q^{\ast }$，$ck$用于Pedersen commitment scheme，$ek$用于EIGamal encryption scheme。】

EIGamal encryption具有乘法同态属性。
考虑的场景为：

• public info：a list of $N$ EIGamal ciphertexts $(c_0,\cdots ,c_{N-1})$
• witness：$l,r$
• relation：$\forall i,c_i\in {\mathbb{G}}^2$ 且 l ∈ { 0 , ⋯   , N − 1 } l\in\{0,\cdots,N-1\} l∈{0,⋯,N−1} 且 $c_l=En{c}_{ek}(1;r)$

【核心思想在于 $1^{x^m}=1$ 恒成立。】
由于可pad the list with copies of the last ciphertext (at little extra cost in the protocol)，因此可假设$N=n^m$。【不同的$n$取值，相应的实现效率有差别。】
核心思想为 prove knowledge of an index $l$ for which the product ${\prod }_{i=0}^{N-1}{c}_i^{{\delta }_{l,i}}$ is an encryption of $1$，where as usual ${\delta }_{l,i}=1$ when $i=l$ and ${\delta }_{l,i}=0$ otherwise。
有${\delta }_{l,i}={\prod }_{j=0}^{m-1}{\delta }_{l_j,i_j}$，其中$l={\sum }_{j=0}^{m-1}{l}_j{n}^j,i={\sum }_{j=0}^{m-1}{i}_j{n}^j$ 为 the $n$-ary representations of $l$ and $i$ respectively。

• Prover：首先commit to $m$ sequences of $n$ bits $({\delta }_{l_j,0},\cdots ,{\delta }_{l_j,n-1})$，然后运行 “2.15 commitment to multiple sequences of bits, exactly one 1 in each sequence” 中的协议以证明that the commitment is well-formed。
  当收到challenge $x$时，Prover发送$f_{j,i}={\delta }_{l_j,i}x+a_{j,i}$。注意for every i ∈ { 0 , ⋯   , N − 1 } i\in\{0,\cdots,N-1\} i∈{0,⋯,N−1}, the product ${\prod }_{j=0}^{m-1}{f}_{j,i_j}$ is the evaluation at $x$ of the polynomial $p_i(x)={\prod }_{j=0}^{m-1}({\delta }_{l_j,i}x+a_{j,i})$。For $0\le i\le N-1$，有：
  $p_i(x)={\prod }_{j=0}^{m-1}({\delta }_{l_j,i_j}x)+{\sum }_{k=0}^{m-1}{p}_{i,k}{x}^k={\delta }_{l,i}{x}^m+{\sum }_{k=0}^{m-1}{p}_{i,k}{x}^k$ …… （1）
  其中的系数$p_{i,k}$ 取决于$l$和$a_{j,i}$。注意，系数$p_{i,k}$可由Prover独立计算与$x$值无关，且$p_l(x)$为the only degree $m$ polynomial amongst $p_0(x),\cdots ,p_{N-1}(x)$。
  根据这些系数和some random noise values ${\rho }_k$，Prover可计算ciphertexts $G_k={\prod }_{i=0}^{N-1}{c}_i^{p_{i,k}}\cdot En{c}_{ek}(1;{\rho }_k)$，并将这些$G_0,\cdots ,G_{m-1}$值发送给Verifier。这些$G_0,\cdots ,G_{m-1}$值可用于公式（1）中cancel out the low degree terms。若$c_l$为an encryption of 1，则如下product也为an encryption of 1 for any $x$：
  ${\prod }_{i=0}^{N-1}{c}_i^{{\prod }_{j=0}^{m-1}{f}_{j,i_j}}\cdot {\prod }_{k=0}^{m-1}{G}_k^{-x^k}=({\prod }_{i=0}^{N-1}{c}_i^{{\delta }_{l,i}}{)}^{x^m}$

2.17 correct EIGamal signature

参见Bootle等人2015年论文《Short Accountable Ring Signatures Based on DDH》第5章内容。
采用的为EIGamal encryption机制为：【其中$gk$为the group description，$crs=(ck,ek)$为the common reference string，其中$ck\leftarrow CGen(gk),(ek,\tau )\leftarrow PKEGen(gk)$ and $ek=g^{\tau }$ for $\tau \leftarrow {\mathbb{Z}}_q^{\ast }$，$ck$用于Pedersen commitment scheme，$ek$用于EIGamal encryption scheme。】

EIGamal encryption具有乘法同态属性。
考虑的场景为：

• public info： e k , p k , m , R = { v k 0 , ⋯   , v k N − 1 } , c ek,pk,m,R=\{vk_0,\cdots,vk_{N-1}\},c ek,pk,m,R={vk0​,⋯,vkN−1​},c
• witness：$sk,r$
• relation：$sk\in {\mathbb{Z}}_q$ 且 $vk=g^{sk}\in R\subset {\mathbb{G}}^{\ast }$ 且 $c=En{c}_{pk}(vk;r)$

核心思想为：Prover构建$d=En{c}_{ek}(g^{sk};t)$，将$d$发送给Verifier，Prover和Verifier都构建$c_0=d\cdot En{c}_{ek}(v{k}_0^{-1};0),\cdots ,c_{N-1}=d\cdot En{c}_{ek}(v{k}_{N-1}^{-1};0)$，这样就转换为“## 2.16 a list EIGamal ciphertexts $c_0,\cdots ,c_{N-1}$ containing an encryption of 1” 的证明。
详细实现为：

2.18 correct EIGamal encryption opening

参见Bootle等人2015年论文《Short Accountable Ring Signatures Based on DDH》第5章内容。
采用的为EIGamal encryption机制为：【其中$gk$为the group description，$crs=(ck,ek)$为the common reference string，其中$ck\leftarrow CGen(gk),(ek,\tau )\leftarrow PKEGen(gk)$ and $ek=g^{\tau }$ for $\tau \leftarrow {\mathbb{Z}}_q^{\ast }$，$ck$用于Pedersen commitment scheme，$ek$用于EIGamal encryption scheme。】

针对的场景为：

相应的证明为：

3. Generalization of Sigma protocols

Dan Boneh 的视频解说 Discrete Log based Zero-Knowledge Proofs 中提到，可将Sigma protocol看成是prove knowledge of a homomorphism pre-image （其中$pre-image$为函数输入，$image$为函数输出）。
homomorphism同态性，如$g^{a+b}=g^a\ast g_b$可认为具有加法同态性。

homomorphism可定义为a function $f$，where $f(a)=g^a$. To prove the knowledge of $a$, given common input $f(a)$（如$g^a$），则具体的protocol可描述为：
1）Prover：生成随机数$r$，发送$f(r)=g^r$给Verifier；
2）Verifier：发送challenge $c$给Prover；
3）Prover：发送response $s=r+c\ast a$；
4）Verifier：计算$f(s)=g^s$，验证$f(s)=f(r)\ast f(a{)}^c$是否成立即可。

3.1 Protocol 8. Equality of discrete logs

定义homomorphism函数为$f(a)=(g^a,h^a)$。
证明Prover知道witness $x$，使得$g^x=y且h^x=z$。
Witness：$x$
Instance：$g,h,y,z$
Relation：$g^x=y$且$h^x=z$

具体实现可为：
1）Prover：生成随机数$r$，发送 $f(r)=(g^r,h^r)$ 给Verifier；
2）Verifier：发送challenge $c$给Prover；
3）Prover：发送response $s=r+c\ast a$；
4）Verifier：计算$f(s)=(g^s,h^s)$，验证$f(s)=f(r)\ast f(a{)}^c$是否成立即可。

3.2 Protocol 9. Conjunction (AND) of discrete logs

定义homomorphism函数为$f(a,b)=(g^a,h^b)$。
证明Prover知道witness $a,b$，使得$g^a=P且h^b=Q$。
Witness：$a,b$
Instance：$g,h,P,Q$
Relation：$g^a=P且h^b=Q$

具体实现可为：【相当于并行执行2个 ”knowledge of discrete log” protocol】
1）Prover：生成2个随机数$r_1,r_2$，发送$f(r_1,r_2)=(g^{r_1},h^{r_2})$给Verifier；
2）Verifier：发送challenge $c$给Prover；
3）Prover：发送response $(s_1,s_2)$，其中$s_1=r_1+c\ast a,s_2=r_2+c\ast b$；
4）Verifier：计算$f(s_1,s_2)=(g^{s_1},h^{s_2})$，验证$f(s_1,s_2)=f(r_1,r_2)\ast f(a,b{)}^c$是否成立即可。

3.3 Protocol 10. Knowledge of opening of Pedersen commitment

定义homomorphism函数为$f(m,r)=g^m\ast h^r$。
证明Prover知道witness $(m,r)$，使得$P=g^m\ast h^r$。
Witness：$m,r$
Instance：$g,h,P$
Relation：$P=g^m\ast h^r$

具体实现可为：
1）Prover：生成2个随机数$r1,r_2$，发送$f(r_1,r_2)=g^{r_1}\ast h^{r_2}$给Verifier；
2）Verifier：发送challenge $c$给Prover；
3）Prover：发送response $(s_1,s_2)$，其中$s_1=r_1+c\ast m,s_2=r_2+c\ast r$；
4）Verifier：计算$f(s_1,s_2)=g^{s_1}\ast h^{s_2}$，验证$f(s_1,s_2)=f(r_1,r_2)\ast f(m,r{)}^c$是否成立即可。

3.4 Homomorphism preimage proof for R1CS

3.5 Schnorr in a group of unkown order

Dan Boneh 在2019年 2nd ZKProof Workshop 上的视频解说 Discrete Log based Zero-Knowledge Proofs

参考资料：

[1] Lovesh Harchandani 在medium的博客Zero Knowledge Proofs with Sigma Protocols
[2] Dan Boneh 的视频解说 Discrete Log based Zero-Knowledge Proofs