隐私交易基本原则

1. 引言

ZCash, Monero, 以及所有基于CryptoNote的coins，都支持confidential transactions 隐私交易。

1.1 Bitcoin transaction

Bitcoin transaction的结构为： ( { a i } , { b i } , { v i } ) (\{a_i\},\{b_i\},\{v_i\}) ({ai​},{bi​},{vi​})，其中 { a i } \{a_i\} {ai​}为input addresses， { b i } \{b_i\} {bi​}为output addresses， { v i } \{v_i\} {vi​}为the amounts that go to each output。

在Bitcoin中，each transaction appears unencrypted for the whole world to see in the public ledger，使得比特币中的交易容易被跟踪，even when the coins go through multiple owners。解决交易跟踪问题的方式可为：

• 使用tumbler：takes in Bitcoin from many sources, mixes them around, and hands back some fresh uncorrelated coins。（类似于money laundering）
• confidential transaction：仅允许交易的参与方看见$v_i$ values，而对于其他非参与方均隐藏不可见。同时要求非参与方能够发现伪造的交易的。（don’t want a user to be able to print money by spending more than they actually have.）对于非参与方，account contents和output values都是保密的secret，怎么来验证交易是有效的呢？$\Rightarrow$ 需要用到的技术主要有：
  ** Schnorr Signature。
  ** AOS Ring Signature。
  ** Borromean Ring Signatures。
  ** Pedersen Commitments。
  ** Hiding Transaction Amounts。
  ** Rangeproofs。

2. Schnorr Signature

详细可参见博客 ECDSA VS Schnorr signature VS BLS signature 第2节内容。

主要内容为：

• an abelian group $\mathbb{G}$ of prime order $q$ with generator $G$.
• public key $P=xG$, where $x\in {\mathbb{Z}}_q$ is secret key。
• hash function H : { 0 , 1 } ∗ → Z q H:\{0,1\}^*\rightarrow \mathbb{Z}_q H:{0,1}∗→Zq​.
• message to be signed M ∈ { 0 , 1 } ∗ M\in\{0,1\}^* M∈{0,1}∗

Schnorr 签名过程为：

• 选择随机数$a\leftarrow {\mathbb{Z}}_q$，设置$Q=aG$;
• 计算$e=H(Q||M)$
• 计算$s=a-ex$
• 发送Schnorr signature $\sigma =(s,e)$

Schnorr验签过程为：

• 计算$Q=sG+eP$
• 验证$e=H(Q||M)$是否成立。

3. AOS Ring Signatures

confindential transactions底层使用的签名机制为ring signatures。ring signature 与普通签名类似，除了：
a ring signature of the message $m$ over the public keys { P 1 , P 2 , ⋯   , P n } \{P_1,P_2,\cdots,P_n\} {P1​,P2​,⋯,Pn​} proves that someone with knowledge of one of the private keys { x 1 , x 2 , ⋯   , x n } \{x_1,x_2,\cdots,x_n\} {x1​,x2​,⋯,xn​} has seen the message $m$。
普通签名为ring signature $n=1$的特例。

ring signature的主要目的是：
隐藏实际进行签名的private key，具有signer ambiguity特性。（not reveal which private key it was that performed the signature.）

Abe,Okhubo,Suzuki 2002年论文《1-out-of-n Signatures from a Variety of Keys》中所构建的ring signature是Schnorr Signautre的generalization。

3.1 AOS Ring Signatures签名过程

假设$n$ 个 public keys { P 0 , P 1 , P 2 , ⋯   , P n − 1 } \{P_0,P_1,P_2,\cdots,P_{n-1}\} {P0​,P1​,P2​,⋯,Pn−1​} 中，签名方实际仅知道$P_j$的私钥$x_j$，即该签名方实际仅能用$x_j$对消息 M ∈ { 0 , 1 } ∗ M\in\{0,1\}^* M∈{0,1}∗进行签名。具体的AOS签名流程为：【注意下面的$j+1,i+1$等计算均做modulus $n$运算，保证实际下标不超过$n$。】

• 随机数$a\leftarrow {\mathbb{Z}}_q$，计算$Q=aG,e_{j+1}=H(Q||M)$；
• $i$的取值从$(j+1\mathrm{m}\mathrm{o}\mathrm{d}n)$开始，$for(i=(j+1\mathrm{m}\mathrm{o}\mathrm{d}n);0\le i<n,i\ne j;i++)$，依次选择随机数$s_i\leftarrow {\mathbb{Z}}_q$，依次计算$e_{i+1}=H(s_{i}G+e_i{P}_i||M)$。
• 设置$s_j=a-e_j{x}_j$。
• 最终的AOS signature为$\sigma =(e_0,s_0,s_1,\cdots ,s_{n-1})$。

举例：
已知$n=3$个 public keys { P 0 , P 1 , P 2 } \{P_0,P_1,P_2\} {P0​,P1​,P2​}，签名者（我，I）的拥有的私钥为$x_1$满足$P_1=x_{1}G$，进行AOS signature流程为：

• start making the ring at index 2: $a\leftarrow {\mathbb{Z}}_q,e_2=H(aG||M)$；
• continue making the ring: $s_2\leftarrow {\mathbb{Z}}_q,e_0=H(s_{2}G+e_2{P}_2||M)$；
• continue making the ring: $s_0\leftarrow {\mathbb{Z}}_q,e_1=H(s_{0}G+e_0{P}_0||M)$；
• Now notice that $e_2$ has been determined in two ways: from before, $e_2=H(\alpha G||M)$, and also from the property which must hold for every $e$ value: $e_2=H(s_{1}G+e_1{P}_1||M)$. The only $s_1$ that satisfies these constraints is $s_1=\alpha -e_1{x}_1$, which I can easily compute, since I know $x_1$.
• 最终的AOS ring signature为：$\sigma =(e_0,s_0,s_1,s_2)$。

3.2 AOS Ring Signatures验签过程

对AOS ring signature $\sigma =(e_0,s_0,s_1,s_2)$的验签过程为：

• 计算$e_1=H(s_{0}G+e_0{P}_0||M)$；
• 计算$e_2=H(s_{1}G+e_1{P}_1||M)$；
• 计算$e_0=H(s_{2}G+e_2{P}_2||M)$；
• 验证$e_0=e_0$是否成立。

验签者无法知道哪个$s_i$值是真正的随机值，从而实现混淆签名者的作用。
【其实即为博客 基于Sigma protocol实现的零知识证明protocol集锦中2.3节的OR证明，或者博客 Proof Systems for General Statements about Discrete Logarithms 学习笔记中2.3和3节中的generalized OR证明】

实际实现时，在签名和验签过程中，没必要在计算每个$e_i$时都hash $M$，可以调整为：$e_0=H(s_{n-1}G+e_{n-1}{P}_{n-1}|M)$，而每个除$e_0$之外的$e_{i+1}=H(s_{i}G+e_i{P}_i)$。

4. Borromean Ring Signatures

针对的场景为：
有multiple sets of public keys ${\vec{A}}_1,{\vec{A}}_2,{\vec{A}}_3$，签名者（我，I）拥有one private key in each ${\vec{A}}_i$，然后需要sign a message $M$ in each of these rings. In doing so, I am proving "Some key in ${\vec{A}}_1$ signed $M$ AND Some key in ${\vec{A}}_2$ signed $M$ AND Some key in ${\vec{A}}_3$ signed $M$"。

最直观的实现方式是：
make a separate AOS signature for each set of public keys, giving us a final signature of $\sigma =({\sigma }_1,{\sigma }_2,{\sigma }_3)$。
但是以上方式的签名长度过长，Gregory Maxwell，Andrew Poelstra 2015年论文《Borromean Ring Signatures》对此做了优化：

• pinning $e_0$ as a shared $e$ value for all rings ${\vec{A}}_i$，该论文中$e_0=H(R_0||R_1||\cdots ||R_{n-1}||M)$，其中$R_i=s_{i,m_i-1}G+e_{i,m_i-1}{P}_{i,m_i-1}$ when $j_i\ne m_i-1$, and $R_i=a_{i}G$ otherwise。$m_i$表示第$i$个ring的public key数量，$j_i$表示在第$i$个ring中所知道的private key的序号。
  该算法的要点为：每个ring 的 the last $e$和$s$值（其实对应index为$m_i-1$，无论是否对应为the known private key）都包含在$e_0$值中。
  
  最终的Borromean Ring Signatures为：
  $\sigma =(e_0,(s_{0,0},s_{0,1},\cdots ,s_{1,m_0-1}),\cdots ,(s_{n-1,0},\cdots ,s_{n-1,m_{n-1}-1}))$

Borreomean ring signature的总长度为${\sum }_{}{m}_i+1$，相比于separate AOS signature for each set of public keys方案，可以节约$n-1$个数值。

5. Pedersen Commitments

A commitment is a value that is published prior to the revealing of some information. The commitment proves that you knew that information before it was revealed.

Pedersen commitment具有Hash函数所不具有的一些特性。

Pedersen commitment 要素有：

• an abelian group $\mathbb{G}$ of prime order $q$;
• two public and unrelated generators $G$ and $H$。（即无法找到$a$，使得$aG=H$成立。）

commit to value $v\in {\mathbb{Z}}_q$的流程为：

• 选择随机blinding factor $\alpha \leftarrow {\mathbb{Z}}_q$；
• 计算$Q=\alpha G+vH$。

若存在不同的$({\alpha }^{\prime },v^{\prime })$使得其commitment也为$Q$，则有：
$\alpha G+vH={\alpha }^{\prime }G+v^{\prime }H\Rightarrow (\alpha -{\alpha }^{\prime })G=(v^{\prime }-v)H\Rightarrow G=\frac{v^{\prime }-v}{\alpha -{\alpha }^{\prime }}H$，违背了之前的$G$和$H$ unrelated假设。

Pedersen commitment具有binding和hiding属性。同时具有加法同态属性：
$Q+Q^{\prime }=Com(v;\alpha )+Com(v^{\prime };{\alpha }^{\prime })=Com(v+v^{\prime };\alpha +{\alpha }^{\prime })$

6. Hiding Transaction Amounts隐藏交易金额

交易内金额主要有：（都$\in {\mathbb{Z}}_q$）

• input amount $a$；
• output amount $b$；
• transaction fee $f$。

交易内金额要满足公式$a=b+f$，total input equals total output, so no money appears out of thin air and no money disappears into nothingess.
该公式可借助Pedersen commitment来实现 without revealing any of the values：

• 选择随机数${\alpha }_a\leftarrow {\mathbb{Z}}_q,{\alpha }_b\leftarrow {\mathbb{Z}}_q$，计算${\alpha }_f={\alpha }_a-{\alpha }_b$；
• 计算Pedersen commitments $P={\alpha }_{a}G+aH,Q={\alpha }_{b}G+bH,R={\alpha }_{f}G+fH$。在交易中发送$(P,Q,R)$。
• 注意，仅仅验证$P-Q-R=({\alpha }_a-{\alpha }_b-{\alpha }_f)G+(a-b-f)H=0G+0H=\mathcal{O}$成立，只能证明$a-b-f\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}q)$成立，而不是$a-b-f=0$成立。
  举例为：若$q=13$，input为1，output为9，transaction fee 5时，$a-b-f=1-9-5=-13\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}13)$仍然成立，$P-Q-R=\mathcal{O}$验证也会通过。
  但是存在溢出问题overflowed and ended up wrapping around the modulus。可借助Rangeproofs来解决。

7. Rangeproofs

为了overflowed and ended up wrapping around the modulus问题，且避免考虑负数情况，验证等式$a-b-f=0$成立改为验证$a=b+f$成立。同时要求$b+f<q$。

将$b$和$f$以$k$ bit二进制形式表示，则有$b,f<2^k$，$2^k+2^k=2^{k+1}<q$。
对于$b和f$，分别计算$k$个Pedersen commitments，其中每个$v$ value 要么为0要么为power of 2，这$k$个commitments之和即为the commitment of $b$ or $f$。【——Michael Rosenberg博文 Confidential Transactions from Basic Principles写于2017年，其实可以考虑采用bulletproofs方案来做range proof。】

为证明vallue $v$表示为$k$ bits二进制：

• 取随机数$\alpha \leftarrow {\mathbb{Z}}_q$，构建commitment $P=aG+vH$。
• 将$v$以$k$ bits 二进制表示为：$v=b_0+2b_1+\cdots +2^{k-1}{b}_{k-1}$。
• $\forall 0\le i<k-1$：选择随机数${\alpha }_i\leftarrow {\mathbb{Z}}_q$，设置${\alpha }_{k-1}=\alpha -{\sum }_{i=0}^{k-2}{\alpha }_i$，对所有的$i$，计算$P_i={\alpha }_{i}G+2^i{b}_{i}H$。
• Verifier验证$P=P_0+P_1+\cdots +P_{k-1}$成立。只能证明所commit的值相等。怎么证明是拆分为二进制呢？即每个$b_i$仅能为0或者1值，而不是$3^{200}$等。$\Rightarrow$ 可借助ring signature来实现，构建 A ⃗ i = { P i , P i − 2 i H } \vec{A}_i=\{P_i,P_i-2^iH\} A i​={Pi​,Pi​−2iH}，将其看作是a set of public keys for a ring signature。有：
• $b_i=0\Rightarrow P_i={\alpha }_{i}G+0H={\alpha }_{i}G$
• $b_i=1\Rightarrow P_i-2^{i}H={\alpha }_{i}G+2^{i}H-2^{i}H={\alpha }_{i}G$

从而为证明$b_i=0or1$，构建a ring signature over ${\vec{A}}_i$。由于ring signature具有signer-ambiguous属性，verifier无法确定具体signing的是哪个key，从而实现对所有bits的hide，也同时证明了$b_0,b_1,\cdots ,b_{k-1}$确实为bits。

采用Borromean ring signature，将有$k$ 个signtures，每个signature有2个数值。最终的rangeproof of value $v$为：
$R_v=(P_0,\cdots ,P_k,e_0,s_0,\overline{s_0},s_1,\overline{s_1},\cdots ,s_{k-1},\overline{s_{k-1}})$
其中$s_i,\overline{s_i}$为第i个ring signature的s值。

8. confidential transcation——Put it all together

• input amount $a$；
• output amount $b$；
• transaction fee $f$。

Pedersen Commitment $P_a,P_b,P_f$可证明$a-b-f\equiv 0(\mathrm{m}\mathrm{o}\mathrm{d}q)$。
range proofs $R_a,R_b,R_f$可证明不存在溢出情况。
以上两者结合即可实现confidential transaction：$(P_a,P_b,P_f,R_a,R_b,R_f)$

I can conduct a confidential transaction that make public, and then privately reveal the commitments for $P_a,P_b,P_f$ so that they can be sure that I actually sent what I claim. 因为commitments有binding属性，they can be certain that I can’t claim to someone else that I sent different $a,borf$ values。

参考资料：

[1] Michael Rosenberg 2017年博文 Confidential Transactions from Basic Principles
[2] Monero Confidential Transactions 问答：https://monero.stackexchange.com/questions/10181/hiding-transaction-values-using-pederson-commitments-and-range-proofs-in-account
[3] https://elementsproject.org/elements/confidential-transactions/