Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics学习笔记

最新推荐文章于 2023-06-27 19:44:02 发布

mutourend

最新推荐文章于 2023-06-27 19:44:02 发布

阅读量846

点赞数 1

分类专栏：零知识证明

本文链接：https://blog.csdn.net/mutourend/article/details/108654372

版权

零知识证明专栏收录该内容

323 篇文章 127 订阅

订阅专栏

1. 引言

Thomas Attema等人2020年论文《Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics》发表于CRYPTO 2020。

要点：
1）其实就是inner product argument，针对的场景为 $<\vec{a},\vec{b}>=c$ ，其中 $\vec{a}$ 为private info， $\vec{b},c$ 为public info。只是将 $\vec{b}$ 表述为了linear form $L$ 。
2）借助了 $\sum$ -protocol思想来实现inner product argument，其中：
（a） $\Pi_0$ 为zero knowledge basic 版本；
（b） $\Pi_0^{Am}$ 为same linear form different commitments（即相同的 $\vec{b}$ ，不同的 $\vec{a}$ ）的batch 版本，相比于 $\Pi_0$ communication cost一样；
（c）基于discrete logarithmic assumption，借鉴Bulletproof思想构建的压缩版 $\Pi_c$ ；
（d） $\Pi_{NULLITY}$ 为different linear forms same commitment（即相同的 $\vec{a}$ ，不同的 $\vec{b}$ ，均满足 $L_i(\vec{a})=0$ ）的batch版本；
（e）Opening Affine maps 针对的是different linear forms different commitments（即不同的 $\vec{a}$ 和 $\vec{b}$ ）的batch 版本；
（f）当Prover没有commit to all input and auxiliary data at once时，分为两种极端场景：一种是将所有的input commit为一个commitment，基于此种情形构建的协议为 $\Pi_{shell}$ ；一种是将每个input commit为一个commitment，基于此种情形构建的协议为 $\Pi_{P}$ 。其中的auxiliary data为blinding factor；
（g）不同于quadratic span programs等思想，本文基于双重linear form构建了circuit ZK protocol $\Pi_{cs}$ ；
（h）基于 $\Pi_{NULLITY}$ 实现了range proof和aggregated range proof。
（i）安全假设：所有协议可由DL assumption 迁移至Strong-RSA assumption或KEA等。
3）注意，amortized $\Pi_0^{Am}$ 允许Prover open one linear form on many compact commitments efficiently；而amortized nullity check $\Pi_{NULLITY}$ 允许Prover open many linear forms on one compact commitments efficiently。
$\Pi_0^{Am}$ 和 $\Pi_{NULLITY}$ 协议结合基本就足够了。除非要求Prover open linear forms “intended” for one particular commitment on other commitments，这将导致cross-terms泄露，为了避免这种隐私泄露，需要mask these cross-terms appropriately。
4）使用Pedersen vector commitment scheme的一个主要缺陷是所需generators的数量与vector dimension成正比。如需commit to an $n$ -dimensional vector，则需要 $n + 1$ generators of the group $\mathbb{G}$ 。同时，对于compressed $\sum$ -protocol $\Pi_c$ ，其verification time与dimension $n$ 呈正比。【因此设计了5.3.1和5.3.2场景，可减少generator数量的需求。】
而基于RSA assumption的integer commitment scheme，其仅需要2个generator $g, h$ 即可实现vector commitment。

主要关注3种类型的assumption：

Discrete Logarithm assumption：Bulletproofs中是基于Discrete Logarithm assumption构建的。
Strong-RSA assumption：《Transparent snarks from DARK compilers》可看成是基于Strong-RSA assumption下对Bulletproofs进行改进实现的polynomial commitment。
Knowledge-of-Exponent assumption，known to be unfalsifiable，目前仍有争议的安全假设。KEA假设的主要优势是可将communication complexity由logarithmic reduce为constant，即与committed vector的dimension无关。

本文主要介绍基于Discrete Logarithm assumption的 $\sum$ -protocol，Strong-RSA assumption可采用类似方式构建。

根据Bootle等人2020年论文《 A non-pcp approach to succinct quantum-safe zero-knowledge》中的思想，本文的压缩版 $\sum$ -protocol可基于lattice assumption来实例化。而在该论文中指出，基于lattice构建的零知识证明算法通常存在soundness slack that is further increased by the compression。

1.1 核心的 $\sum$ -Protocol

basic $\sum$ -Protocol $\Pi_0$ ：

public info: commitment $P$ ，arbitrary public linear form $L$ ， $y$ 。
private info：secret vector $\vec{x}\in\mathbb{Z}_q^n$ 。
relation： $P=Com(\vec{x})\wedge y=L(\vec{x})$

basic $\sum$ -Protocol $\Pi_0$ 证明过程为：

Prover：选择secret random vector $\vec{r}$ ，计算commitment $A=Com(\vec{r})$ 和 $y'=L(\vec{r})$ 。
将 $A, y^{'}$ 发送给Verifier。
Verifier：发送random challenge $c\in\mathbb{Z}_q$ 给Prover。
Prover：计算 $\vec{z}=c\vec{x}+\vec{r}$ 。
将vector $\vec{z}$ 发送给Verifier。
Verifier：验证 $Com(\vec{z})=AP^c$ 以及 $L(\vec{z})=cy+y'$ 是否成立即可。

以上basic $\sum$ -Protocol $\Pi_0$ 的communication cost主要为 $\vec{z}$ ——the opening of $AP^c$ ，其communication complexity为 $O (n)$ ，其中 $n$ 为vector length。

本文在basic $\sum$ -Protocol $\Pi_0$ 的基础上实现了amortized版本 $\Pi_0^{Am}$ ，针对的场景为：

public info: commitments $P_1,\cdots, P_s$ ，arbitrary public linear form $L$ ， $y_1,\cdots,y_s$ 。
private info：secret vector $\vec{x}_1,\cdots,\vec{x}_s\in\mathbb{Z}_q^n$ 。
relation： $P_1=Com(\vec{x}_1)\wedge \cdots\wedge P_s=Com(\vec{x}_s) \wedge y_1=L(\vec{x}_1)\wedge \cdots \wedge y_s=L(\vec{x}_s)$

借助Bulletproofs思想，可将basic $\sum$ -Protocol $\Pi_0$ 的communication cost压缩为 $O(\log n)$ ，Prover与Verifier之间的交互次数也增加为了 $O(\log n)$ 。技术上来说，这种压缩将degrade the soundness from unconditional to computational, and protocols with computational soundness称为argument of knowledge。（注意Bulletproofs方案不具有zero knowledge，最终prover会reveal $z$ 。）

本文考虑的是针对amortized版本 $\Pi_0^{Am}$ 的压缩。与Bulletproofs方案不同，不再发送整个vector $\vec{z}$ ，改为证明Prover知道相应的 $\vec{z}$ ，使得 $Com(\vec{z})=AP^c$ 成立。

通常需要在交互次数和communication cost之间做权衡，如constant number of rounds对应 $O(\sqrt{n})$ communication cost，而增加交互次数为 $O(\log n)$ ，可降低communication cost为 $O(\log n)$ 。交互次数可通过Fiat-Shamir转换为non-interactive，此时 $O(\log n)$ communication cost 方案可能更优。

在Ronald Cramer 1997年论文《Modular Design of Secure yet Practical Cryptographic Protocols》中指出， $\sum$ -protocol 中的special soundness是指 knowledge soundness with knowledge error $1 / q$ ，其中 $q$ 为the size of the challenge set。
压缩技术本质上将降低knowledge extractor的运行效率，也因此在Bulletproofs论文中未计算the extractor efficiency and knowledge errors。详细看参见2018年论文《Special Soundness Revisited》和2019年论文《qesa Eﬃcient zero-knowledge arguments in the discrete log setting》中对extractor efficiency 和 knowledge errors之间的讨论。

本文致力于在压缩的同时，实现unconditional soundness，而不是computational soundness，代价是将communication cost增加了2倍。

1.2 Compactifying a Vector of Commitments

本文所实现的压缩版的 $\sum$ -protocol $\Pi_{c}$ 可看成是：
压缩commitments to long secret vectors，允许高效的partial openings，如arbitrary linear forms applied to the secret committed vector。后续也可用于证明任意的（nonlinear）relation。所有的Prover私有数据（如secret data vector + secret auxiliary data, such as random coins）都需要 be committed to in a single compact commitment。

实际应用场景中，通常认为Prover的私有数据commitment是先生成的，而后才有相应的zero knowledge protocol运行。
本文主要考虑2种极端场景：
1）Prover对secret data vector仅有单一compact commitment。
2）Prover对secret data vector有单一compact commitment的同时，还有其中的每个元素相应的commitment。
本文会基于以上两种场景来实现plug&play 零知识证明。
1）针对场景一：

Prover使用新的generators来commit to the auxiliary information；
Prover使用压缩版 $\sum$ -protocol $\Pi_c$ ，来证明 this is indeed a commitment that exclusively involves the new generators；
Prover和Verifier将这两个compact commitments相乘来获取 a single compact commitment to all relevant data。

2）针对场景二：

Prover使用basic (amortized) $\sum$ -protocol $\Pi_0$ ( $\Pi_0^{Am}$ ) 来证明其知道 openings to all individual commitments。
基于该基础协议构建了新的 $\sum$ -protocol：
a)Prover在基础协议种的第一个消息 $A$ 之后附加a compact commitment containing all relevant data and the randomness sampled in the first move of the basic $\sum$ -protocol。
b)Verifier发送challenge $c$ 。
c)Prover计算a public linear form (parameterized by the challenge $c$ ) evaluated at the vector to which the prover committed。
与basic协议不同，Prover不直接发送该值，而改为：Prover 和 Verifier run the interactive protocol to open the associated linear form on the compact vector commitment。
Verifier验证the opening of the vector commitment is also an opening of the commitment in the $\sum$ -protocol。
最终，Prover可证明其知道 openings to all individual commitments and that these openings are contained in the compact commitment together with the auxiliary data。

1.3 基于压缩版 $\sum$ -protocol $\Pi_c$ 实现的plug-and-play secure algorithmics

Ronald Cramer等人2012年论文 [CDP12]《On the amortized complexity of zero knowledge protocols for multiplicative relations》：
考虑的是单个element of $\mathbb{Z}_q$ 的homomorphic commitment scheme，而不是a vector of large length。该论文的主要研究成果是实现了 $\sum$ -protocol，用于证明 the correctness of commitments to $m$ multiplication triples ( $\alpha_i,\beta_i,\gamma_i=\alpha_i\beta_i$ )，具有low amortized complexity for large $m$ 。换句话说，该协议可验证乘法关系，且对每个乘法门的验证开销相对较低。
其中的每个 $\alpha_i,\beta_i,\gamma_i$ 都被单独committed，其解决方案是使用了strongly-multiplicative packed-secret sharing。如，考虑Shamir’s scheme over $\mathbb{Z}_q$ ，with privacy parameter $t = 1$ , but with secret-space dimension $m$ ，使用random polynomials of degree $\leq m$ ，subject to the evaluations on the points $1,\cdots, m$ comprising the secret vector。注意，for each sharing，a single random $\mathbb{Z}_q$ -element is required (which can be taken as the evaluation at 0)。
需要重点留意的是，已知secret vector和random element时，根据Lagrange插值定理，对polynomial $f (X)$ 在 $c\in\mathbb{Z}_q$ 的evaluation $f (c)$ 是 some public $\mathbb{Z}_q$ -linear combination over the coordinates of the secret vector and the random element。也就是说已知 $m + 1$ 个evaluations on the points $0,\cdots,m$ ，就可以确定唯一的多项式 $f (X)$ of degree $\leq m$ 。相应的transformation matrix不是Vandermonde-matrix，但是可以唯一确定 $f (X)$ 。

假设 $2 m < q$ (for strong-multiplicativity)，整个协议运行流程为：
1） $\alpha_i,\beta_i,\gamma_i$ 的commitments值为common input。
2）Prover选择random polynomial $f (X)$ 来定义a packed secret sharing of the vector $(\alpha_1,\cdots,\alpha_m)$ ；选择random polynomial $g (X)$ 来定义a packed secret sharing of the vector $(\beta_1,\cdots,\beta_m)$ 。最终，Prover计算多项式乘积 $h (X) = f (X) g (X)$ of degree $\leq 2m< q$ 。
3）Prover commit to the random $\mathbb{Z}_q$ -element for the sharing based on $f (X)$ ，如 $f (0)$ 。同时，Prover还commit the evaluations of $h (X)$ on the points $0,m+1,\cdots,2m$ 。注意其中故意缺失了commitments to evaluations at $1,\cdots,m$ ，因为相应的evaluations其实就是 $\gamma_1,\cdots,\gamma_m$ ，而这些commitments值已经在common input中包含了，没必要重复commit。
Prover将这些commitment值发送给Verifier。
4）Verifier选择除 $1,\cdots,m$ 之外的random challenge $c\in\mathbb{Z}_q$ 发送给Prover。
5）Prover和Verifier同时计算3个commitments:
5.1) commitment to $u = f (c)$
5.2) commitment to $v = g (c)$
5.3) commitment to $w = h (c)$
6）Prover opens $u, v, w$ 。
7）Verifier验证 $w = u v$ 是否成立。
根据commitment scheme的binding属性，若the committed polynomials不满足 $f (X) g (X) = h (X)$ ，则伪造成功的概率不高于 $2 m / (q - m)$ 。

对以上整个协议观察可知：

Prover的私有数据汇聚为一个vector为：
$\vec{y}=(\alpha_1,\cdots,\alpha_m,\beta_1,\cdots,\beta_m,f(0),g(0),h(0),h(1),\cdots,h(2m))\in\mathbb{Z}_q^{4m+3}$
以上私有信息Prover可commit为a single compact commitment。注意以上定义中，对于 $1\leq i\leq m$ 有 $\gamma_i=h(i)$ 。而所有open给Verifier的数据都可看成是(long) secret committed vector $\vec{y}$ 的某种固定的线性组合（fixed linear form）。
针对具有 $n$ inputs、 $s$ outputs、 $m$ multiplication gates的arithmetic circuit $C$ (具有2 fan-in, unbounded fan-out) over $\mathbb{Z}_q$ ，以上协议可用于实现“circuit zero-knowledge”，如 the prover convinces the verifier that the committed vector $\vec{x}\in\mathbb{Z}_q^n$ satisfies some constraint captured by a given circuit $C$ which returns 0。[CDP12]中的circuit zero-knowledge 复杂性太大。
可将多项式 $f (X) 、 g (X) 、 h (X)$ 分别对应multiplication gates的packed-secret sharings of left inputs、right inputs和outputs。
Prover commit to $\vec{x}$ 中的每一个元素；
Prover commit to 辅助信息 $aux=(f(0),g(0),h(0),h(1),\cdots,h(2m))\in\mathbb{Z}_q^{2m+3}$ 为一个单一的compact commitment。
对于以上circuit $C$ ，其私有数据vector $\vec{y}$ 的length为 $\gamma=n+2m+3$ 。

（1）用于Range proof——构建circuit $C$ 用于证明secret integer $v$ in a public range $0,2^{n-1}]$ ：（communication complexity为 $O(\log n)$ ）

将secret integer $v$ 以 $n$ bit 二进制位表示： $\vec{b}\in\mathbb{Z}^n$ 。可将 $v$ 看成是a linear form evaluated at $\vec{b}$ ，因此，a commitment to $\vec{b}$ is an implicit commitment to $v$ 。
Prover和Verifier可运行以上的circuit satisfiability protocol to commit to $\vec{b}$ and prove that $C(\vec{b})=0$ for $C:\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q^n,\vec{x}\mapsto \vec{x}*(\vec{1}-\vec{x})$ ，其中 $*$ 表示 component-wise product。 The nullity check for $C$ shows that the committed coefficients are indeed bits。

（2）用于 $(k, n)$ -partial knowledge，即证明Prover知道witnesses for some $k$ -subset of $n$ given public statements，在不reveal which $k$ -subset 的情况下使Verifier信服。
参见Thomas Attema等作者的另一2020年论文《 Compressing proofs of k-out-of-n-partial knowledge》：借助本文压缩版的 $\sum$ -protocol以及对Ronald Cramer等人1994年论文[CDS94] 《Proofs of partial knowledge and simplified design of witness hiding protocols》思想的再利用，实现了logarithmic size proofs of partial knowledge for all $k, n$ 。
目前已知的for all $k, n$ 的方案是[CDS94] 中的linear size 方案；
而目前已知的logarithmic size方案仅适用于 $k = 1$ 的场景，即 $1 - o u t - o f - n$ proof，相关文献有：[GK15, BCC+15, JM20].

Groth等人2015年论文《One-out-of-many proofs: Or how to leak a secret and spend a coin》
Bootle等人2015年论文《Short accountable ring signatures based on DDH》
Jivanyan等人2020年论文《 Hierarchical one-out-of-many proofs with applications to blockchain privacy and ring signatures》

1.4 相关研究成果

基于discrete logarithm setting的circuit零知识证明方案通常具有的communication complexity为linear in the circuit size。

2016年论文《Linear algebra with sub-linear zero-knowledge arguments》，在2009年论文《Efficient zeroknowledge arguments for arithmetic circuits in the discrete log setting》的基础上，通过巧妙的recursive方法实现了logarithmic communication complexity。2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》在此基础上进一步改进，并在2019年论文《qesa Eﬃcient zero-knowledge arguments in the discrete log setting》中进行了revisited。
B¨unz等人2020年论文《Supersonic Transparent SNARKs from DARK Compilers》中基于Strong-RSA assumption构建了类似Bulletproofs的思路，并利用了 Wesolowski 2019年论文《Efficient verifiable delay functions》的proof of exponentiation算法来reduce computational complexity。

以上这些研究成果都是使用quadratic constraint来表示circuit。

在2009年论文《Efficient zeroknowledge arguments for arithmetic circuits in the discrete log setting》中，介绍了一种特别的inner-product relation，可用于表示 basic $\sum$ -protocol，实现sub-linear communication complexity。
2016年论文《Linear algebra with sub-linear zero-knowledge arguments》中对类似的inner-product relation实现了logarithmic size protocol，是Bulletproofs的早期原型。
2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》中指出a modification of the quadratic relation leads to better constants。
2019年论文《qesa Eﬃcient zero-knowledge arguments in the discrete log setting》中，考虑了more general quadratic constraints 来reduce computational complexity in specific ZK scenarios。相比于Bulletproofs方案，会增加少了的communication overhead。

在2016年论文《Linear algebra with sub-linear zero-knowledge arguments》中，作为一个中间成果，构建了一种polynomial commitment scheme：

A polynomial commitment为a commitment to the coefficient vector of a polynomial；
该polynomial commitment具有the functionality of opening the evaluation at any given point。

而B¨unz等人2020年论文《Supersonic Transparent SNARKs from DARK Compilers》中是基于Strong-RSA assumption 实现了类似的polynomial functionality。该论文中使用了最近的更复杂的reductions，如[GWC19, MBKM19, XZZ+19]：

Gabizon等人2019年论文《PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge》；
Maller等人2019年论文《Sonic: Zero-knowledge snarks from linear-size universal and updatable structured reference strings》；
Tiancheng等人2019年论文《Libra: Succinct zero-knowledge proofs with optimal prover computation》。

基于quadratic constraints构建protocol，无论是直接还是通过 a polynomial commitment scheme来构建，从complex theory角度来看很难构建 plug-and-play secure algorithmics。

在2019年论文《qesa Eﬃcient zero-knowledge arguments in the discrete log setting》中，zero-knowledge，reduced communication和reduced computation实现了融合。
本文采用了更简单直接的方式构建了压缩版的 $\sum$ -protocol，可用于open 任意的 linear forms，并可与 Ronald Cramer等人2012年论文 [CDP12]《On the amortized complexity of zero knowledge protocols for multiplicative relations》中的simple (MPC inspired) linearization技术结合使用。
压缩版的 $\sum$ -protocol 在Bulletproofs的基础上进行了改进，同时借助了linearization技术来 discard the need for a direct provision to handle nonlinearity。
同时本文压缩版的 $\sum$ -protocol 实现了plug and play设计，最终的communication complexity与Bulletproofs相当。

2. 相关定义

public coin protocol：
An interactive protocol in which the verifier chooses all its messages uniformly at random and independent from the prover’s messages is called a public coin protocol。
special soundness：
A public coin protocol is said to be (unconditionally) $(k_1,\cdots,k_{\mu})$ - special sound if there exists a polynomial time algorithm that on input a statement $x$ and a $(k_1,k_2,\cdots,k_{\mu})$ -tree of accepting transcripts，可输出a witness $w$ for $x$ 。
详细的定义可参看Bootle和Groth等人2016年论文《Efficient Zero-Knowledge Arguments for Arithmetic Circuits in the Discrete Log Setting》，在该论文中指出， $(k_1,\cdots,k_{\mu})$ -special soundness意味着 witness extended emulation。
Pedersen vector commitment：
设 $\mathbb{G}$ 为Abelian group of prime order $q$ ，Pedersen vector commitment包含setup和commit 两个阶段：
– Setup： $\vec{g}=(g_1,\cdots,g_n)\leftarrow_R \mathbb{G}^n, h\leftarrow_R \mathbb{G}$ 。
– Commit： $\mathbb{Z}_q^n\times\mathbb{Z}_q\rightarrow \mathbb{G}, (\vec{x},\gamma)\mapsto h^{\gamma}\vec{g}^{\vec{x}}=h^{\gamma}\prod_{i=1}^{n}g_i^{x_i}$ 。
定义：（其中 $\vec{g},\vec{h}\in\mathbb{G}^n,\vec{x}\in\mathbb{Z}_q^n,c\in\mathbb{Z}_q$ ）
$\vec{g}^{\vec{x}}=\prod_{i=1}^{n}g_i^{x_i}$
$\vec{g}^c=(g_1^c,g_2^c,\cdots,g_n^c)$
component-wise product： $\vec{g}*\vec{h}=(g_1h_1,g_2h_2,\cdots,g_nh_n)$ 。
当Prover不知道 generators $g_1,\cdots,g_n,h$ 之间的non-trivial discrete log relation关系时，Pedersen vector commitment具有perfect hiding和computationally binding属性。

3. Basic $\sum$ -protocol

为了open a commitment to a linear form $\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q$ ，意味着：Prover wishes to reveal $L(\vec{x})$ together with a proof of validity without revealing any additional information on $\vec{x}$ 。即需要证明如下relation：
$R=\{(P\in\mathbb{G},L\in\mathcal{L}(\mathbb{Z}_q^n),y\in\mathbb{Z}_q; \vec{x}\in\mathbb{Z}_q^n,\gamma\in\mathbb{Z}_q): P=\vec{g}^{\vec{x}}h^{\gamma},y=L(\vec{x})\}$
其中 $\mathcal{L}(\mathbb{Z}_q^n)=\{(L:\mathbb{Z}_q^n\rightarrow\mathbb{Z}_q): L\ is\ a\ \mathbb{Z}_q-linear\ map\}$ 。

对以上信息basic $\sum$ -Protocol $\Pi_0$ ：【相比于1.1节内容，添加了hiding属性以实现zero knowledge。】

public info: generators $\vec{g}\in\mathbb{G}^n,h\in\mathbb{G}$ ， commitment $P\in\mathbb{G}$ ，arbitrary public linear form $L\in\mathcal{L}(\mathbb{Z}_q^n)$ ， $y\in\mathbb{Z}_q$ 。
private info：secret vector $\vec{x}\in\mathbb{Z}_q^n$ 和blinding factor $\gamma\in\mathbb{Z}_q$ 。
relation： $P=\vec{g}^{\vec{x}}h^{\gamma} \wedge y=L(\vec{x})$

zero knowledge basic $\sum$ -Protocol $\Pi_0$ 证明过程为：【为3-move zero-knowledge协议，具有unconditionally special sound，perfectly complete和special honest-verifier zero-knowledge。】

Prover：选择secret random $\vec{r}\leftarrow_R\mathbb{Z}_q^n,\rho\leftarrow_R\mathbb{Z}_q$ ，计算commitment $A=\vec{g}^{\vec{r}}h^{\rho}$ 和 $t=L(\vec{r})$ 。
将 $A\in\mathbb{G},t\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：计算 $\vec{z}=c\vec{x}+\vec{r}, \phi=c\gamma+\rho$ 。
将 $\vec{z}\in\mathbb{Z}_q^n,\phi\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：验证 $\vec{g}^{\vec{z}}h^{\phi}=AP^c$ 以及 $L(\vec{z})=cy+t$ 是否成立即可。

zero knowledge basic $\sum$ -Protocol $\Pi_0$ ，总的communication cost为：
– $P\rightarrow V$ ：1 element of $\mathbb{G}$ and $n + 2$ elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ：1 element of $\mathbb{Z}_q$ 。

整个zero knowledge basic $\sum$ -Protocol $\Pi_0$ 证明图示为：
在这里插入图片描述

3.1 amortized版本的Basic $\sum$ -protocol $\Pi_0^{Am}$

amortized版本 $\Pi_0^{Am}$ ，针对的场景为：【即，the same linear form $L$ is evaluated on different commitments。】

public info: commitments $P_1,\cdots, P_s\in\mathbb{G}$ ，arbitrary public linear form $L\in\mathcal{L}(\mathbb{Z}_q^n)$ ， $y_1,\cdots,y_s\in\mathbb{Z}_q$ 。
private info：secret vector $\vec{x}_1,\cdots,\vec{x}_s\in\mathbb{Z}_q^n$ 和blinding factor $\gamma_1,\cdots,\gamma_s\in\mathbb{Z}_q$ 。
relation： $\forall i, P_i=\vec{g}^{\vec{x}_i}h^{\gamma_i},y_i=L(\vec{x}_i)$ 。

注意，对于uniform random challenge $c\in\mathbb{Z}_q$ ，group element $\tilde{P}=A\prod_{i=1}^{s}P_i^{c^i}$ is a Pedersen commitment to $\tilde{\vec{x}}=\vec{r}+\sum_{i=1}^{s}\vec{x}_ic^i\in\mathbb{Z}_q^n$ ，其中 $A$ 为a commitment to a (random) vector $\vec{r}$ 。而 $L(\tilde{\vec{x}})=L(\vec{r}+\sum_{i=1}^{s}y_ic^i)$ 成立。

zero knowledge Amortized $\sum$ -Protocol $\Pi_0^{Am}$ 证明过程为：【为3-move zero-knowledge协议，具有unconditionally $(s + 1)$ -special sound。】（可参见博客椭圆曲线形式下的Pedersen commitment——vector commitment和polynomial commitment）

Prover：选择secret random $\vec{r}\leftarrow_R\mathbb{Z}_q^n,\rho\leftarrow_R\mathbb{Z}_q$ ，计算commitment $A=\vec{g}^{\vec{r}}h^{\rho}$ 和 $t=L(\vec{r})$ 。
将 $A\in\mathbb{G},t\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：计算 $\tilde{\vec{x}}=\vec{r}+\sum_{i=1}^{s}\vec{x}_ic^i, \tilde{\phi}=\sum_{i}^{s}c^i\gamma_i+\rho$ 。
将 $\tilde{\vec{x}}\in\mathbb{Z}_q^n, \tilde{\phi}\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：验证 $\vec{g}^{\tilde{\vec{x}}}h^{\tilde{\phi}}=A\prod_{i=1}^{s}P_i^{c^i}$ 以及 $L(\tilde{\vec{x}})=\sum_{i=1}^{s}c^iy_i+t$ 是否成立即可。

zero knowledge Amortized $\sum$ -Protocol $\Pi_0^{Am}$ ，总的communication cost为：【Amortized $\sum$ -Protocol $\Pi_0^{Am}$ 与basic $\sum$ -Protocol $\Pi_0$ 的communication cost一样。】
– $P\rightarrow V$ ：1 element of $\mathbb{G}$ and $n + 2$ elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ：1 element of $\mathbb{Z}_q$ 。

4. 压缩版的 $\sum$ -protocol

4.1 对basic $\sum$ -protocol $\Pi_0$ 进行压缩

待证明的relation为：
$R_1=\{(\hat{P},\hat{L},\hat{y};\hat{\vec{z}}):\hat{\vec{g}}^{\hat{\vec{z}}}\wedge \hat{y}=\hat{L}(\hat{\vec{z}})\}$
其中, $\hat{\vec{g}}=(g_1,\cdots,g_n,h)\in\mathbb{G}^{n+1}, \hat{P}=AP^c,\hat{y}=cy+t$ 以及 $\hat{L}(\vec{z},\phi)=L(\vec{z})$ for all $(\vec{z},\phi)$ 。

注意，Bulletproofs中的inner product relation为：
$R_{bullet}=\{(P\in\mathbb{G},u\in\mathbb{Z}_q;\vec{a},\vec{b}\in\mathbb{Z}_q^n): P=\vec{g}^{\vec{a}}\vec{h}^{\vec{b}}\wedge u=<\vec{a},\vec{b}>\}$

观察relation $R_1$ 和 $R_{bullet}$ ，两者非常相似，可对Bulletproofs方案进行小调整以构建logarithmic size PoK for relation $R_1$ ：
与Bulletproofs方案中的实现类似，额外再引入一个generator $k\in\mathbb{G}$ ， $g_1,\cdots,g_n,h,k$ 相互之间无确定的关系，则证明relation：
$R_2=\{(Q\in\mathbb{G},\tilde{L}\in\mathcal{L}(\mathbb{Z}_q^{n+1}); \hat{\vec{z}}\in\mathbb{Z}_q^{n+1}): Q=\hat{\vec{g}}^{\hat{\vec{z}}}k^{\tilde{L}(\hat{\vec{z}})}\}$
其中 $Q=\hat{P}k^{c\hat{y}},\tilde{L}=c\hat{L}$ ， $c\in\mathbb{G}$ 为random challenge sampled by the verifier。

relation 由 $R_1$ reduce 为 $R_2$ 的过程为：（该转换过程称为 argument of knowledge $\Pi_1$ for $R_1$ 。）【直接发送witness $\hat{\vec{z}}\in\mathbb{Z}_q^{n+1}$ 】
在这里插入图片描述

以上 $\Pi_1$ 为 a 2-move protocol for relation $R_1$ 。具有perfectly complete和computationally special sound，under the discrete logarithm assumption。 $\Pi_1$ protocol 相应的communication cost为：
– $P\rightarrow V$ ： $n + 1$ elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ：1 element of $\mathbb{Z}_q$ 。

假设 $n + 1$ 为2的幂乘，若不是，则在 $\hat{\vec{z}}$ vector尾部补0。借助Bulletproofs方案对 $\Pi_1$ protocol进行recursion，以证明Relation $R_2$ ，使得最终的communication cost为 $1$ field element $\mathbb{Z}_q$ 和 $2\log_2(n+1)$ 个group elements $\mathbb{G}$ 。

若 $m$ 为偶数，对 $\vec{g}\in\mathbb{G}^m$ 和 $\vec{x}\in\mathbb{Z}_q^m$ 进行等分有：
$\vec{g}_L=(g_1,\cdots,g_{m/2})$
$\vec{g}_R=(g_{m/2+1},\cdots,g_m)$
$\vec{x}_L=(x_1,\cdots,x_{m/2})$
$\vec{x}_R=(x_{m/2+1},\cdots,x_m)$
对linear form $\mathbb{Z}_q^m\rightarrow \mathbb{Z}_q$ 进行等分有：
$L_L: \mathbb{Z}_q^{m/2}\rightarrow \mathbb{Z}_q, \vec{x}_L\mapsto L(\vec{x}_L,\vec{0})$
$L_R: \mathbb{Z}_q^{m/2}\rightarrow \mathbb{Z}_q, \vec{x}_R\mapsto L(\vec{0}, \vec{x}_R)$

由于 $L$ 为linear form，因此有 $(aL_L+L_R)(\vec{x}_L+a\vec{x}_R)=aL(\vec{x})+L_R(\vec{x}_L)+a^2L_L(\vec{x}_R)$

对于Relation $R_2$ ：
$R_2=\{(Q\in\mathbb{G},\tilde{L}\in\mathcal{L}(\mathbb{Z}_q^{n+1}); \hat{\vec{z}}\in\mathbb{Z}_q^{n+1}): Q=\hat{\vec{g}}^{\hat{\vec{z}}}k^{\tilde{L}(\hat{\vec{z}})}\}$
借助Bulletproofs思想，在每一轮构建：（其中 $c\in\mathbb{Z}_q$ 为每一轮的Verifier challenge）
$\vec{z}'=\hat{\vec{z}}_L+c\cdot \hat{\vec{z}}_R$ 【Prover】
$L'=c\cdot \tilde{L}_L+\tilde{L}_R$ 【Prover & Verifier】
$\vec{g}'=\hat{\vec{g}}_L^c\cdot \hat{\vec{g}}_R$ 【Prover & Verifier】
$A=\hat{\vec{g}}_R^{\hat{\vec{z}}_L}k^{\tilde{L}_R(\hat{\vec{z}}_L)}$ 【Prover】
$B=\hat{\vec{g}}_L^{\hat{\vec{z}}_R}k^{\tilde{L}_L(\hat{\vec{z}}_R)}$ 【Prover】
$Q'=AQ^cB^{c^2}$ 【Prover & Verifier】
从而有 $(\vec{g}')^{\vec{z}'}k^{L'(\vec{z}')}=Q'$ 在每一轮都成立。

注意，本文实现的Compressed Proof of Knowledge $\Pi_2$ for relation $R_2$ 的最后一轮是 $n = 2$ ，而不是Bulletproofs中的 $n = 1$ ，其实在 $n = 2$ 收敛的communication cost反而比在 $n = 1$ 少（少2个group elements $A, B$ ，少一个verifier challenge field element $c$ ，多一个field element $z^{'}$ ）。

Compressed Proof of Knowledge $\Pi_2$ for relation $R_2$ 证明的详细图示为：【为 $(2\mu+1)$ -move protocol，其中 $\mu= \left \lceil \log_2(n+1)\right \rceil -1$ 。】
在这里插入图片描述

Compressed $\Pi_2$ protocol 具有 perfectly complete和unconditionally $(k_1,\cdots,k_{\mu})$ -special sound，其中 $k_i=3$ for all $1\leq i\leq \mu$ （因为每一轮 $Q ’$ 的公式中challenge $c$ 的最高阶为1。）。
Compressed $\Pi_2$ protocol的communication cost为：
– $P\rightarrow V$ ： $2\left \lceil \log_2(n+1)\right \rceil -2$ elements of $\mathbb{G}$ 和2 elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ： $\left \lceil \log_2(n+1)\right \rceil -1$ elements of $\mathbb{Z}_q$ 。

4.2 具有logarithmic round complexity的压缩版的 $\sum$ -protocol $\Pi_c$

压缩版的 $\sum$ -protocol $\Pi_c$ for relation $R$ 可看成是 $\Pi_2,\Pi_1,\Pi_0$ 的组合：
$\Pi_c=\Pi_2 \lozenge \Pi_1 \lozenge \Pi_0$
最终具有logarithmic round complexity，logarithmic communication complexity的压缩版的 $\sum$ -protocol $\Pi_c$ 的实现图示为：
在这里插入图片描述

具有logarithmic round complexity，logarithmic communication complexity的压缩版的 $\sum$ -protocol $\Pi_c$ ：

为 $(2\mu+3)$ -move protocol for relation $R$ ，其中 $\mu= \left \lceil \log_2(n+1)\right \rceil -1$ ；
具有perfectly complete, special honest-verifier zero-knowledge以及computationally $(2,2,k_1,\cdots,k_{\mu})$ -special sound，under discrete logarithm assumption，其中 $k_i=3$ for all $1\leq i\leq \mu$ （因为每一轮 $Q ’$ 的公式中challenge $c$ 的最高阶为1。）。
communication cost为：
– $P\rightarrow V$ ： $2\left \lceil \log_2(n+1)\right \rceil -1$ elements of $\mathbb{G}$ 和3 elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ： $\left \lceil \log_2(n+1)\right \rceil +1$ elements of $\mathbb{Z}_q$ 。

4.3 Amortized压缩版 $\sum$ -protocol $\Pi_c^{Am}$

由于有Amortized版的 $\Pi_0^{Am}$ 协议，相应的有Amortized压缩版 $\sum$ -protocol $\Pi_c^{Am}=\Pi_2 \lozenge \Pi_1 \lozenge \Pi_0^{Am}$

Amortized具有logarithmic round complexity，logarithmic communication complexity的压缩版的 $\sum$ -protocol $\Pi_c^{Am}$ ：

为 $(2\mu+3)$ -move protocol for relation $R^{Am}$ ，其中 $\mu= \left \lceil \log_2(n+1)\right \rceil -1$ ；
具有perfectly complete, special honest-verifier zero-knowledge以及computationally $(s+1,2,k_1,\cdots,k_{\mu})$ -special sound，under discrete logarithm assumption，其中 $k_i=3$ for all $1\leq i\leq \mu$ （参看本博文3.1节内容， $\tilde{\vec{x}}$ 中的challenge $c$ 的最高阶为 $s$ ）。
communication cost为：
– $P\rightarrow V$ ： $2\left \lceil \log_2(n+1)\right \rceil -1$ elements of $\mathbb{G}$ 和3 elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ： $\left \lceil \log_2(n+1)\right \rceil +1$ elements of $\mathbb{Z}_q$ 。

4.4 具有unconditional soundness的压缩版 $\sum$ -protocol $\Pi_c$

$\Pi_c=\Pi_2 \lozenge \Pi_1 \lozenge \Pi_0$
由于protocol $\Pi_1$ 具有computational soundness，因此 $\Pi_c$ 也具有computational soundness。本文有2种方式来实现unconditional knowledge soundness $\Pi_c$ ：

方法一：与Bulletproofs方案不同，本文只考虑linear constraints，不考虑quadratic constraints。 $\Pi_c$ 不是unconditional soundness的根源在于the reduction of protocol $\Pi_1$ 。为了实现unconditional soundness，仅需简单的去掉该reduction即可，代价是增加了一倍的logarithmic communication cost。（对两个relation分开证明，不合并成一个relation再证明。）
方法二：与方法一不同，在不增加communication cost的基础上，实现unconditional soundness，但是将增加Prover和Verifier的computational cost，因为二者都需要计算a basis for $V_L$
以relation $R^{'}$ 为例：【相当于证明knowledge of an opening of a Pedersen vector commitment。】
$R'=\{(P\in\mathbb{G};\vec{z}\in\mathbb{Z}_q^{n-1},\gamma\in\mathbb{Z}_q): \vec{k}^{\vec{z}}h^{\gamma}=P\}$
其中public parameters $\vec{k}\in\mathbb{G}^{n-1},h\in\mathbb{G}$ 。
而本文希望证明的relation $R$ 为：
$R=\{(P\in\mathbb{G}, L\in\mathcal{L}(\mathbb{Z}_q^n), y\in\mathbb{Z}_q; \vec{x}\in\mathbb{Z}_q^n, \gamma\in\mathbb{Z}_q): P=\vec{g}^{\vec{x}}h^{\gamma}, y=L(\vec{x})\}$
其中 public parameters $\vec{g}\in\mathbb{G}^n,h\in\mathbb{G}$ 。
可将relation $R$ 的证明看成是：a committed vector $\vec{x}\in\mathbb{Z}_q^n$ 满足 $L(\vec{x})=y$ ，for some linear form $L$ and scalar $y$ 。
可将其等价为证明：
$\vec{x}$ lies in the affine subspace $A_{L,y}=\{\vec{z}\in\mathbb{Z}_q^n: L(\vec{z})=y\}$ 。
不失一般性，可设置 $y=0,L\neq 0$ ，则有 $V_L=A_{L,0}\subset \mathbb{Z}_q^n$ is a linear subspace of dimension $n - 1$ 。然后Prover和Verifier使用the same deterministic algorithm 来计算 a basis $v_1,\cdots,v_{n-1}$ for $V_L$ 和 a new set of generators $\vec{k}=(g^{v_1},\cdots,g^{v_{n-1}})\in\mathbb{G}^{n-1}$ 。注意，由于 $v_1,\cdots,v_{n-1}$ 为basis，则 a non-trivial discrete log relation between $k_1,\cdots,k_{n-1},h$ 意味着 a non-trivial discrete log relation between $g_1,\cdots,g_n,h$ 。

4.5 具有constant round complexity的压缩版的 $\sum$ -protocol $\Pi_c$

压缩版的 $\sum$ -protocol $\Pi_c$ for relation $R$ 可看成是 $\Pi_2,\Pi_1,\Pi_0$ 的组合：
$\Pi_c=\Pi_2 \lozenge \Pi_1 \lozenge \Pi_0$

Groth 2009年论文[Gro09]《Linear Algebra with Sub-linear Zero-Knowledge Arguments》在communication complexity和number of rounds之间做了平衡。类似地，本文4.2节的protocol $\Pi_2$ 具有logarithmic communication complexity at the cost of a logarithmic number of rounds。

所以可采用[Gro09]中类似的思路来构建具有constant round complexity，sqrt communication complexity的压缩版的 $\sum$ -protocol $\Pi_c$ 。
不过，由于可以使用Fiat-Shamir 来实现non-interactive，因此实际logarithmic communication complexity更具有优势。

5. 将压缩版 $\Pi_c$ 看成是black-box

接下来要是实现的目标是：
具有a compact vector commitment；
允许Prover open arbitrary linear forms on multiple commitments。

以 $[x]$ 来表示vector $\vec{x}\in\mathbb{Z}_q^n$ 的compact commitment；
(public) linear form $L$ ；
以 $\Pi_{OPEN}([x],L; \vec{x})$ 来表示the interactive protocol that reveals $L(\vec{x})$ and nothing else to the verifier。

若Open a linear form evaluated in a committed vector，则相应的证明为：
在这里插入图片描述

5.1 many nullity checks for the price of one

针对的场景为：

有多个linear forms $L_1,\cdots,L_s$ ；
Prover声称 $L_i(\vec{x})=0$ for $i=1,\cdots,s$ ；
Verifier challenge $\rho\in\mathbb{Z}_q$ ；
ask the Prover to open the linear form $L(\vec{x})=\sum_{i=1}^{s}L_i(\vec{x})\rho^{i-1}$ ，如Prover和Verifier可运行 $\Pi_{OPEN}([x],L;\vec{x})$ 。

the opening of $L(\vec{x})$ equals the evaluation of some polynomial of degree at most $s - 1$ 。若该polynomial is non-zero，则其最多有 $s - 1$ 个零值解。也就是说： $L(\vec{x})=0$ implies that $L_i(\vec{x})=0$ for all $i$ with probability at least $1 - (s - 1) / q$ 。
相应的协议可表示为 $\Pi_{NULLITY}([x],L_1,\cdots,L_s;\vec{x})$ ：
在这里插入图片描述
$\Pi_{NULLITY}([x],L_1,\cdots,L_s;\vec{x})$ 除了比 $s = 1$ 的情况多一个 $\mathbb{Z}_q$ element from $V$ to $P$ 之外，其communication cost与a single nullity-check ( $s = 1$ )相同。

将其中的linear forms替换为affine forms $\Phi_1(x),\cdots,\Phi_s$ 也是成立的，表示为 $\Pi_{NULLITY}([x],\Phi_1,\cdots,\Phi_s;\vec{x})$ 。

同理，amortized and compressed $\sum$ -protocol $\Pi_c^{Am}$ 用于make the same nullity claims over many different commitments。

5.2 Opening Affine maps

许多ZK场景都可reduce为nullity-checks，如对于 arbitrary affine maps：
$\vec{\Phi}: \mathbb{Z}_q^n\rightarrow \mathbb{Z}_q^s, \vec{x}\mapsto \mathbf{A}\vec{a}+\vec{b}$
其中 $\mathbf{A}$ 为 $s\times n$ 矩阵， $\vec{x}$ length为 $n$ ， $\vec{b}$ length为 $s$ ， $\vec{\Phi}$ length为 $s$ 。

open以上affine maps需要的communication cost 相比于只open一个linear form，增加了 $s - 1$ values in $\mathbb{Z}_q$ （实际即为 the evaluations of $s - 1$ additional outputs）。

注意 $\vec{\Phi}$ 为combination of $s$ affine forms，则相应的协议 $\Pi_{OPEN}([\vec{x}],\vec{\Phi}; \vec{x})$ 可设计为：

Prover reveal the evaluation $\vec{y}=\vec{\Phi}(\vec{x})$ ，其中 $\vec{x}$ length为 $n$ ， $\vec{y}$ length为 $s$ 。
然后Prover 提供 amortized nullity-check on the affine forms $\Phi_1(\vec{x})-y_1,\cdots,\Phi_s(\vec{x})-y_s$ 。

$\Pi_{OPEN}([\vec{x}],\vec{\Phi}; \vec{x})$ 协议与 $\Pi_{NULLITY}([\vec{x}],L_1,\cdots,L_s; \vec{x})$ 完全一样，只是其中的 $L_1(\vec{x})=\Phi_1(\vec{x})-y_1,\cdots, L_s(\vec{x})=\Phi_s(\vec{x})-y_s$ 。

同理，该协议也可延伸扩展至用于open the evaluations of $\vec{\Phi}$ on many committed vectors。仅增加 the additional evaluations，底层的压缩版 $\sum$ -protocol communication cost仍然保持不变。注意，此时需要使用两次Amortized：

1）在第一层，支持多个commitments；
2）在第二层，支持多个affine forms。

open the evaluations of $\vec{\Phi}$ on many committed vectors 针对的场景为：

public info: commitments $P_1,\cdots, P_s\in\mathbb{G}$ ，arbitrary public linear form $L_1,\cdots,L_s\in\mathcal{L}(\mathbb{Z}_q^n)$ ， $y_1,\cdots,y_s\in\mathbb{Z}_q$ 。
private info：secret vector $\vec{x}_1,\cdots,\vec{x}_s\in\mathbb{Z}_q^n$ 和blinding factor $\gamma_1,\cdots,\gamma_s\in\mathbb{Z}_q$ 。
relation： $\forall i, P_i=\vec{g}^{\vec{x}_i}h^{\gamma_i},y_i=L_i(\vec{x}_i)$ 。

open the evaluations of $\vec{\Phi}$ on many committed vectors 相应的证明思路为：

Prover：选择secret random $\vec{r}\leftarrow_R\mathbb{Z}_q^n,\rho\leftarrow_R\mathbb{Z}_q$ ，计算commitment $A=\vec{g}^{\vec{r}}h^{\rho}$ 和 $t_i=L_i(\vec{r})$ 。
将 $A\in\mathbb{G},t_1,\cdots,t_s\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：计算 $\tilde{\vec{x}}=\vec{r}+\sum_{i=1}^{s}\vec{x}_ic^i, \tilde{\phi}=\sum_{i}^{s}c^i\gamma_i+\rho$ 。
将 $\tilde{\vec{x}}\in\mathbb{Z}_q^n, \tilde{\phi}\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：计算 $L=\sum_{i=1}^{s}L_ic^i$ 验证 $\vec{g}^{\tilde{\vec{x}}}h^{\tilde{\phi}}=A\prod_{i=1}^{s}P_i^{c^i}$ 以及 $L(\tilde{\vec{x}})=\sum_{i=1}^{s}c^iy_i+\sum_{i=1}^{s}t_i$ 是否成立即可。

5.3 Compactifying a Vector of Commitments

主要考虑2种极端场景：

场景一：Prover commit to $\vec{x}$ in a single compact commitment。该场景也可称为教科书级别的ZK setting。【communication complexity 为linear in the number of commitments。】
场景二：Prover commit to the coordinates of $\vec{x}$ individually。对应的实际场景为：Prover deliver committed data in subsequent transactions and only periodically prove in ZK some property on the compound information。【communication complexity 为linear in the (maximum) dimension of the committed vectors。】

以上两者之间的混合场景为：
the secret-vector-of-interest $\vec{x}$ 分散在多个不同的compact commitments中。

场景一和场景二的解决方案都是将其reduce为 a prover with a single compact commitment $[(\vec{x},\overrightarrow{aux})]$ to all relevant data (如input data和auxiliary data)。

5.3.1 场景一 Prover commit to $\vec{x}$ in a single compact commitment

针对场景一——Prover commit to $\vec{x}$ in a single compact commitment：
利用Pedersen commitment的同态属性，有2组无交集的generators $\vec{g}\in\mathbb{G}^n,\vec{h}\in\mathbb{G}^t$ ，分别用于对 $\vec{x}\in\mathbb{Z}_q^n,\overrightarrow{aux}\in\mathbb{Z}_q^t$ 进行commit，有： $P=\vec{g}^{\vec{x}}, Q=\vec{h}^{\overrightarrow{aux}}$ ，则可将 $P'=P\cdot Q$ 看成是对 $(\vec{x},\overrightarrow{aux})$ pair的compact commitment。
首先，Prover 必须证明 $\vec{x},\overrightarrow{aux}$ “live on disjoint sets of generators”——其本质上就是 a nullity check：（将 $\vec{g}$ 称为initial set of generators，将 $\vec{h}$ 称为 new generators。）
(a) Prover show that in $P$ , there is a window of zeros w.r.t. the new generators。有 $P=\vec{g}^{\vec{x}}=\vec{g}^{\vec{x}}\vec{h}^{\vec{0}}$ ，所以 $P$ 可看成是对 $(\vec{x},\vec{0})\in\mathbb{Z}_q^{n+t}$ 的commitment。
(b) Prover show that in $Q$ , there is a window of zeros w.r.t. the initial set of generators。有 $Q=\vec{h}^{\overrightarrow{aux}}=\vec{g}^{\vec{0}}\vec{h}^{\overrightarrow{aux}}$ ，所以 $Q$ 可看成是对 $(\vec{0},\overrightarrow{aux})\in\mathbb{Z}_q^{n+t}$ 的commitment。
利用之前提到的amortized nullity check protocol，可实现logarithmic communication证明。
事实上在后续会提到，仅需要对 $Q$ 进行check就足够了，而不需要对 $P$ 和 $Q$ 都check。若串行运行，则communication efficiency将降低一倍，而并行运行的话，可避免communication efficiency损失。
注意，amortized $\Pi_0^{Am}$ 允许Prover open one linear form on many compact commitments efficiently；而amortized nullity check $\Pi_{NULLITY}$ 允许Prover open many linear forms on one compact commitments efficiently。
$\Pi_0^{Am}$ 和 $\Pi_{NULLITY}$ 协议结合基本就足够了。除非要求Prover open linear forms “intended” for one particular commitment on other commitments，这将导致cross-terms泄露，为了避免这种隐私泄露，需要mask these cross-terms appropriately——通过构建a small shell around commitments containing sufficient randomness。Masking the appropriate cross-terms returns us to the “standard” amortization scenario where the prover wishes to open one affine map on multiple compact commitments。The shells cause unintended evaluations to return random values, whereas intended evaluations are left unaltered。

（一）场景一的串行解决方案
分为两步：
1） Prover open one linear form on one compact commitment，即运行amortized nullity checks on Pedersen commitment $Q$ to $(0,\overrightarrow{aux})\in\mathbb{Z}_q^{n+t}$ 。
2） Prover open another linear form on another commitment，即采用论文第六章的技术来open Pedersen commitment $P^{'} = P Q$ to $(\vec{x},\overrightarrow{aux})\in\mathbb{Z}_q^{n+t}$ 。注意，其中 $P$ 为Pedersen commitment to the input data $\vec{x}\in\mathbb{Z}_q^n$ 。

考虑如下情形：

public info：two linear forms $L_1,L_2:\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q$ ，以及two compact commitments $[\vec{x}_1],[\vec{x}_2]$ , generators $\vec{g}\in\mathbb{G}^n$ ，以及 $y_1,y_2\in\mathbb{Z}_q$
private info： $\vec{x}_1,\vec{x}_2\in\mathbb{Z}_q^n$ 以及 cross-terms $L_1(\vec{x}_2)$ 和 $L_2(\vec{x}_1)$
relation： $[\vec{x}_1]=\vec{g}^{\vec{x}_1}\wedge [\vec{x}_2]=\vec{g}^{\vec{x}_2}\wedge y_1=L_1(\vec{x}_1)\wedge y_2=L_2(\vec{x}_2)$

主要的思路为：
build a shell around the compact commitments that allows the prover to mask linear form evaluations that are not supposed to be revealed, i.e., the cross-terms。这样，问题就可reduce 为 a standard amortization scenario where the entire “matrix” of linear form evaluations
$\begin{pmatrix} L_1(\vec{x}_1) & L_1(\vec{x}_2)\\ L_2(\vec{x}_1) & L_2(\vec{x}_2) \end{pmatrix}$
is revealed。
更准确的来说，该matrix的对角线上的元素，为intended evaluations，需要为正确的值；而matrix中非对角线上的元素，是unintended evaluations，需要替换为masked random value。

解决方案为：
在public set-up information中引入一组不同于已有 $\vec{g},\vec{h}$ 的新的generators $k_1,k_2\in\mathbb{G}$ ，为Prover 引入新的random coefficients $u,w\in\mathbb{Z}_q$ 服务。对应构建的 $R_{shell}$ 版情形为：【其中的auxiliary data $\overrightarrow{aux}$ 为commitment 中的blinding factor，此处分别为 $\gamma_1,\gamma_2$ 】

public info：two linear forms $L_1,L_2:\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q$ ，以及two compact commitments $P_1,P_2\in\mathbb{G}$ , generators $\vec{g}\in\mathbb{G}^n, k_1,k_2,h\in\mathbb{G}$ ，以及 $y_1,y_2\in\mathbb{Z}_q$
private info： $\vec{x}_1,\vec{x}_2\in\mathbb{Z}_q^n$ 以及 cross-terms $L_1(\vec{x}_2)$ 和 $L_2(\vec{x}_1)$ ， $u,w,\gamma_1,\gamma_2\in\mathbb{Z}_q$
relation： $P_1=\vec{g}^{\vec{x}_1}k_1^uh^{\gamma_1}\wedge P_2=\vec{g}^{\vec{x}_2}k_2^wh^{\gamma_2}\wedge y_1=L_1(\vec{x}_1)\wedge y_2=L_2(\vec{x}_2)$

其中 $P_1=\vec{g}^{\vec{x}_1}k_1^uh^{\gamma_1}=\vec{g}^{\vec{x}_1}k_1^uk_2^0h^{\gamma_1}$ ， $P_1$ 可看成是对 $(\vec{x}_1,u,0)$ 的blinding commitment，同理 $P_2=\vec{g}^{\vec{x}_2}k_1^0k_2^wh^{\gamma_2}$ 可看成是对 $(\vec{x}_2,0,w)$ 的blinding commitment。

Verifier：发送challenge $\rho\in\mathbb{Z}_q \setminus \{-1\}$ 给Prover。【注意为了mask cross terms，要求 $\rho\neq -1$ 】
Prover：构建新的linear forms：【为了支持amortized nullity check，使其满足 $\hat{L}_1(\vec{x}_1,u,0)=0,\hat{L}_2(\vec{x}_2,0,w)=0$ ，而 $\hat{L}_1(\vec{x}_2,0,w),\hat{L}_2(\vec{x}_1,u,0)$ 的evaluation值不会泄露 $L_1(\vec{x}_2),L_2(\vec{x}_1)$ 的值。】
$\hat{L}_1: \mathbb{Z}_q^{n+2}\rightarrow \mathbb{Z}_q, (\vec{x},a,b)\mapsto L_1(\vec{x})-y_1+b(\rho+1)$
$\hat{L}_2: \mathbb{Z}_q^{n+2}\rightarrow \mathbb{Z}_q, (\vec{x},a,b)\mapsto L_2(\vec{x})-y_2+a(\rho+1)$

此时，需证明的改成支持amortized nullity check的 $\hat{R}_{shell}$ 版情形为：【扩展为通用场景，将 $0, 0$ 替换为了更通用的 $u^{'}, w^{'}$ 】

public info：two linear forms $L_1,L_2:\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q$ ，以及two compact commitments $P_1,P_2\in\mathbb{G}$ , generators $\vec{g}\in\mathbb{G}^n, k_1,k_2,h\in\mathbb{G}$ ，以及 $y_1,y_2,y_{12},y_{21}\in\mathbb{Z}_q$
private info： $\vec{x}_1,\vec{x}_2\in\mathbb{Z}_q^n$ 以及 cross-terms $L_1(\vec{x}_2)$ 和 $L_2(\vec{x}_1)$ ， $u,w,u',w',\gamma_1,\gamma_2\in\mathbb{Z}_q$
relation： $P_1=\vec{g}^{\vec{x}_1}k_1^uk_2^{w'}h^{\gamma_1}\wedge P_2=\vec{g}^{\vec{x}_2}k_1^{u'}k_2^wh^{\gamma_2}\wedge \hat{L}_1(\vec{x}_1,u,w')=\hat{L}_2(\vec{x}_2,u',w)=0 \wedge y_{12}=\hat{L}_1(\vec{x}_2,u',w)\wedge y_{21}=L_2(\vec{x}_1,u,w')$

采用标准的amortization技术可为 $\hat{R}_{shell}$ 实现具有指定communication complexity的 $\sum$ -protocol。但是，a ZKPoK for relation $\hat{R}_{shell}$ 并不对应为 a ZKPoK for relation $R_{shell}$ ，原因是masks $u, w$ 会泄露。
为了实现ZKPoK for relation $R_{shell}$ ，需要Prover 首先re-randomize the shells by sending commitments $R_1,R_2$ to $s_1,s_2\in\mathbb{Z}_q$ chosen uniformly at random under generators $k_1,h)$ 和 $k_2,h)$ respectively；然后Prover和Verifier计算re-randomized commitments $R_1P_1$ 和 $R_2P_2$ ，然后运行2个standard $\sum$ -protocol来证明commitments $R_1,R_2$ exclusively involve the appropriate generators；最后，Prover和Verifier运行一个standard amortized $\sum$ -protocol for relation $\hat{R}_{shell}$ 。

也就是说，ZKPoK for relation $R_{shell}$ 主要由3部分组成：
（1）Amortized nullity checks on shelled commitments $P_1,P_2$ ；
（2）Re-randomization of the shells, together with the basic $\sum$ -protocols for $R_1$ and $R_2$ ；
（3）Amortized $\sum$ -protocol for relation $\hat{R}_{shell}$ 。

$R_{shell}$ 版情形为：【其中的auxiliary data $\overrightarrow{aux}$ 为commitment 中的blinding factor，此处分别为 $\gamma_1,\gamma_2$ 】

public info：two linear forms $L_1,L_2:\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q$ ，以及two compact commitments $P_1,P_2\in\mathbb{G}$ , generators $\vec{g}\in\mathbb{G}^n, k_1,k_2,h\in\mathbb{G}$ ，以及 $y_1,y_2\in\mathbb{Z}_q$
private info： $\vec{x}_1,\vec{x}_2\in\mathbb{Z}_q^n$ 以及 cross-terms $L_1(\vec{x}_2)$ 和 $L_2(\vec{x}_1)$ ， $u,w,\gamma_1,\gamma_2\in\mathbb{Z}_q$
relation： $P_1=\vec{g}^{\vec{x}_1}k_1^uh^{\gamma_1}\wedge P_2=\vec{g}^{\vec{x}_2}k_2^wh^{\gamma_2}\wedge y_1=L_1(\vec{x}_1)\wedge y_2=L_2(\vec{x}_2)$

对 $R_{shell}$ 版情形的证明思路为：

Verifier：发送challenge $\rho\leftarrow_R \mathbb{Z}_q\setminus \{-1\}$ 给Prover。
Prover和Verifier：构建新的public linear form：
$\hat{L}_1: \mathbb{Z}_q^{n+2}\rightarrow \mathbb{Z}_q, (\vec{x},a,b)\mapsto L_1(\vec{x})-y_1+b(\rho+1)$
$\hat{L}_2: \mathbb{Z}_q^{n+2}\rightarrow \mathbb{Z}_q, (\vec{x},a,b)\mapsto L_2(\vec{x})-y_2+a(\rho+1)$
【阶段（1）：证明Prover知道 $P_1,P_2$ 的openings—— $(\vec{x}_1,u,0),\gamma_1$ 和 $(\vec{x}_2,0,w),\gamma_2$ 。】
Prover：
选择Prover私有随机数 $\vec{r}\leftarrow_R \mathbb{Z}_q^{n+2}, \omega \leftarrow_R\mathbb{Z}_q$ ，计算 $A=(\vec{g},k_1,k_2)^{\vec{r}}h^{\omega}$ 。
Prover将 $A\in\mathbb{G}$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：计算 $\vec{z}=(\vec{x}_1,u,0)c+(\vec{x}_2,0,w)c^2+\vec{r}$ 和 $\phi=\gamma_1c+\gamma_2c^2+\omega$ 。
Prover将 $\vec{z}\in\mathbb{Z}_q^{n+2}$ 和 $\phi\in\mathbb{Z}_q$ 发送给Verifier
Verifier：验证 $(\vec{g},k_1,k_2)^{\vec{z}}h^{\phi}=A(P_1)^c(P_2)^{c^2}$ 是否成立即可。
【阶段（2）：在阶段（1）的基础上，为了隐藏shell mask $u, w$ ，引入了factor $s_1,s_2$ ，使得在后续阶段reveal的内容为 $u+s_1,w+s_2$ ，从而保证 $u, w$ 不被泄露；为了证明Prover知道 $s_1,s_2$ 的值，引入了 $r_1,r_2,\eta_1,\eta_2$ 来证明。】
Prover：
选择Prover私有随机数 $s_1,s_2,\psi_1,\psi_2\leftarrow_R \mathbb{Z}_q$ ，计算 $R_1=k_1^{s_1}h^{\psi_1},R_2=k_2^{s_2}h^{\psi_2}$ 。
选择Prover私有随机数 $r_1,r_2,\eta_1,\eta_2\leftarrow_R \mathbb{Z}_q$ ，计算 $A_1=k_1^{r_1}h^{\eta_1},A_2=k_2^{r_2}h^{\eta_2}$ 。
Prover将 $R_1,R_2,A_1,A_2\in\mathbb{G}$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：计算 $\tilde{z}_1=cs_1+r_1,\tilde{z}_2=cs_2+r_2,\phi_1=c\psi_1+\eta_1,\phi_2=c\psi_2+\eta_2$ 。
Prover将 $\tilde{z}_1,\tilde{z}_2,\phi_1,\phi_2\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：验证 $k_1^{\tilde{z}_1}h^{\phi_1}=A_1R_1^c, k_2^{\tilde{z}_2}h^{\phi_2}=A_2R_2^c$ 是否成立。
若成立，Verifier可信服Prover知道 $P_1R_1$ 的openings为 $(\vec{x}_1,u+s_1,0)$ ， $P_2R_2$ 的openings为 $(\vec{x}_2,0,w+s_2)$ 。
【将阶段1和阶段2结合，调整Prover发送的 $\vec{z}\in\mathbb{Z}_q^{n+2},\phi\in\mathbb{Z}_q$ 为 $\vec{z}=(\vec{x}_1,u+s_1,0)c+(\vec{x}_2,0,w+s_2)c^2+\vec{r}, \phi=(\gamma_1+\psi_1)c+(\gamma_2+\psi_2)c^2+\omega$ ，相应地，Verifier的验证公式调整为 $(\vec{g},k_1,k_2)^{\vec{z}}h^{\phi}=A(P_1R_1)^c(P_2R_2)^{c^2}$ 】
【阶段3：证明 $y_1=L_1(\vec{x}_1)\wedge y_2=L_2(\vec{x}_2)$ ，借助 $\hat{L}_1,\hat{L}_2$ 为linear form，满足 $\hat{L}_1(c\vec{x}_1+c^2\vec{x}_2+\vec{r})=c\hat{L}_1(\vec{x}_1)+c^2\hat{L}_1(\vec{x}_2)+\hat{L}_1(\vec{r})$ 。此时改为证明Prover知道 $\hat{L}_1(\vec{z})$ 和 $\hat{L}_2(\vec{z})$ 的具体值。在阶段1和阶段2的环节中插入：】
Prover：计算 $y_{21}=\hat{L}_2(\vec{x}_1,u+s_1,0),y_{12}=\hat{L}_1(\vec{x}_2,0,w+s_2)$ ，计算 $t_1=\hat{L}_1(\vec{r}), t_2=\hat{L}_2(\vec{r})$ 。
Prover将 $t_1,t_2,y_{12},y_{21}\in\mathbb{Z}_q$ 发送给Veirifer。
Verifier：发送random challenge $c\leftarrow_R \mathbb{Z}_q$ 给Prover。
Prover：发送 $\vec{z}=(\vec{x}_1,u+s_1,0)c+(\vec{x}_2,0,w+s_2)c^2+\vec{r}$ 给Verifier。
Verifier：验证 $\hat{L}_1(\vec{z})=c^2y_{12}+t_1, \hat{L}_2(\vec{z})=cy_{21}+t_2$

将以上阶段1、2、3整合在一起，即可形成4-move protocol for relation $R_{shell}$ $\Pi_{shell}$ ，其communication cost为：
– $P\rightarrow V$ ： $5$ elements of $\mathbb{G}$ 和 $n + 11$ elements of $\mathbb{Z}_q$ 。
– $V\rightarrow P$ ： $2$ elements of $\mathbb{Z}_q$ 。

整个 $\Pi_{shell}$ protocol为：【具有perfectly complete, special honest verifier zero-knowledge and computationally (2,3)-special sound, under the discrete logarithm assumption。】
在这里插入图片描述

5.3.2 场景二 Prover commit to the coordinates of $\vec{x}$ individually

此时，Prover有 $s$ 个individual Pedersen commitments $P_i$ to $v_i\in\mathbb{Z}_q$ 。

针对的情形为：【即证明某compact commitment的openings依次为某些individual commitments的opening $v_1,\cdots,v_s$ + 随机数 $r$ + auxiliary data $\overrightarrow{aux}$ 。】

public info：individual commitments $P_1,\cdots, P_s$ 和compact commitment $[\vec{y}]$ ，generators $g,h\in\mathbb{G}, \vec{g}\in\mathbb{G}^{s+1},\vec{h}\in\mathbb{G}^t$ 。
private info： $v_1,\cdots,v_s\in\mathbb{Z}_q$ 、 $\gamma_1,\cdots,\gamma_s\in\mathbb{Z}_q$ 以及 $\overrightarrow{aux}\in\mathbb{Z}_q^t$ ，和 $\vec{y}=(y_1,y_2,\cdots,y_s,r, \overrightarrow{aux})=(\vec{y}’, \overrightarrow{aux})\in\mathbb{Z}_q^{s+1+t}$
relation：for $1\leq i\leq s$ ，有 $P_i=g^{v_i}h^{\gamma_i}\wedge v_i=y_i$ 以及 $[\vec{y}]=\vec{g}^{\vec{y}’}\vec{h}^{\overrightarrow{aux}}$

相应的协议 $\Pi_P$ 的基本思路为：【引入linear form $L_a(\vec{x})=x_{s+1}+\sum_{i=1}^{s}a^ix_i$ 来证明 $v_i=y_i$ 。】

Prover：需要对compact commitment中的 $r\in\mathbb{Z}_q$ 进行commit，引入blinding random factor $\rho\leftarrow_R \mathbb{Z}_q$ ，计算 $A=g^rh^{\rho}$ 。
Prover将commitment $A\in\mathbb{G}$ 发送给Verifier。
Verifier：发送random challenge $c\leftarrow_R\mathbb{Z}_q$ 发送给Prover。
Prover：计算 $z=r+\sum_{i=1}^{s}c^iv_i,\phi=\rho+\sum_{i=1}^{s}c^i\gamma_i$ 。
Prover将 $z,\phi\in\mathbb{Z}_q$ 发送给Verifier。
Verifier：验证 $g^zh^{\phi}=A\prod_{i=1}^{s}P^{c^i}$ 。
Prover和Verifier：构建linear form $L_c(\vec{x})=x_{s+1}+\sum_{i=1}^{s}c^ix_i$ 。
接着，Prover和Verifier运行 $\Pi_{NULLITY}([\vec{y}],L_c-z;\vec{y})$ 协议。

$\Pi_P$ 协议详细流程为：
在这里插入图片描述

6. 借助Arithmetic circuits来证明nonlinear relations

借助 $\Pi_c$ 协议，实现对任意arithmetic circuits的efficient zero-knowledge arguments。
考虑的情况为：
arithmetic circuits $C$ over $\mathbb{Z}_q$ with $n$ 个 inputs, $s$ 个 outputs 和 $m$ 个乘法门。其中的加法门和乘法门具有2 fan-in和unbounded fan-out。
加法门的数量并不重要，scalar multiplication gates (常量乘法门，即如 $c_1=5a_1$ )的数量也不重要。所以 $m$ 仅代表两个输入都为变量的乘法门数量。
将circuit的输入编号为 $1,\cdots,n$ ，乘法门编号为 $1,\cdots,m$ 。

本文借鉴改进了以下技术：

Ronald Cramer等人2012年论文 [CDP12]《On the amortized complexity of zero knowledge protocols for multiplicative relations》中：
借助安全多方计算技术，实现了对arbitrary constraints on vectors of committed elements的证明。
Ronald Cramer 等人2000年论文 [CDM00] 《General secure multi-party computation from any linear secret-sharing scheme》中的Commitment Multiplication Protocol思想。
也可参看Ronald Cramer等人2015年论文 [CDN15] 《Secure Multiparty Computation and Secret Sharing》书中第12.5.3节中的general description of efficient zero-knowledge verification of secret multiplications in terms of arbitrary (strongly-multiplicative) arithmetic secret sharing。它是combination of “compact commitments with linear openings” 和 arithmetic secret sharing that allows for “linearizing nonlinear relations”。这也可解释为何本文的 $\Pi_c$ protocol可只关注linear form，而不需要直接处理nonlinearity。

6.1 basic circuit satisfiability

考虑以下basic circuit satisfiability场景：
Prover shows that it knows an input $\vec{x}\in\mathbb{Z}_q^n$ for which the arithmetic circuit $C$ evaluates to $0$ 。
即需要为circuit satisfiability relation $R_{cs}$ 构建ZK protocol：
$R_{cs}=\{(C;\vec{x}): C(\vec{x})=0\}$

本文采用的是commit and prove 范式，即：

Prover commits to the witness $\vec{x}$ ；
然后Prover proves that it satisfies the required relation。

若 $C$ 为 an affine map，如没有乘法门，则Prover可commit to $\vec{x}$ ，然后运行 $\Pi_{NULLITY}([\vec{x},C;\vec{x}])$ 协议。这样，相应的加法门和scalar multiplications都处理了，因为 $\Pi_{c}$ 协议允许the opening of arbitrary linear forms。
乘法门则通过改进[CDP12]中的技术来处理。[CDP12] 中的主要成果是：
构建了 $\sum$ -protocol来show correctness of $m$ 个 multiplication triples $(\alpha_i,\beta_i,\gamma_i)$ ：

Prover：选择随机多项式 $f(X)\in\mathbb{Z}_q[X]_{\leq m}$ 用于定义 a packed secret sharing of the vector $(\alpha_1,\cdots,\alpha_m)$ ；再选择一个随机多项式 $g(X)\in\mathbb{Z}_q[X]_{\leq m}$ 用于定义a packed secret sharing of the vector $(\beta_1,\cdots,\beta_m)$ ；Prover计算两个多项式的乘积 $h (X) = f (X) g (X)$ of degree $\leq 2m<q$ 。
Prover：commits to the vector
$\vec{y}=(\alpha_1,\cdots,\alpha_m,\beta_1,\cdots,\beta_m,f(0),g(0),h(0),h(1),\cdots,h(2m))\in\mathbb{Z}_q^{4m+3}$
in a single compact commitment $[\vec{y}]$ ，然后将commitment $[\vec{y}]$ 发送给Verifier。
注意，根据Lagrange插值，多项式 $f (X), g (X), h (X)$ 可由vector $\vec{y}$ 唯一确定。
Verifier：选择不同于 $1,\cdots,m$ 的random challenge $c\in\mathbb{Z}_q$ ，将 $c$ 发送给Prover。
Public linear combinations of the coefficients of $\vec{y}$ define three values: $u = f (c), v = g (c), w = h (c)$ 。These values are opened and the verifier checks whether $w = u v$ 。 Prover作弊的概率不高于 $2 m / (q - m)$ ，honest-verifier zero-knowledge essentially follows from 1-privacy of the secret sharing scheme。

本文将[CDP12]中的以上方法调整为适用于circuit satisfiability场景：
设置 $\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q^s$ 为具有 $m$ 个乘法门的arbitrary arithmetic circuits。
考虑 the computation graph induced by evaluation at input-vector $\vec{x}\in\mathbb{Z}_q^n$ 。
乘法门的输出以 $\gamma_1,\cdots,\gamma_m\in\mathbb{Z}_q$ 表示；
对于每个 $1\leq i\leq m$ ， $(\alpha_i,\beta_i)\in\mathbb{Z}_q^2$ 为第 $i$ 个乘法门的输入；
$\omega\in\mathbb{Z}_q^s$ 为circuit的输出。
则：

1）对于每个 $1\leq i\leq m$ ，存在 affine forms：
$u_i,v_i: \mathbb{Z}_q^{n+m}\rightarrow \mathbb{Z}_q$
depending only on $C$ ，使得对所有的 $\vec{x}\in\mathbb{Z}_q^n$ ，使得：
$\alpha_i=u_i(\vec{x},\gamma_1,\cdots,\gamma_m),\beta_i=v_i(\vec{x},\gamma_1,\cdots, \gamma_m)$
都成立。
该affine forms由加法门和scalar multiplication（常量乘法门）唯一确定。
2）存在affine function：
$\mathbb{Z}_q^{n+m}\rightarrow \mathbb{Z}_q^s$
使得对所有的 $\vec{x}\in\mathbb{Z}_q^n$ ，使得：
$\omega=w(\vec{x},\gamma_1,\cdots,\gamma_m)$
都成立。

也就是说，当且仅当 $u_i(\vec{x},\gamma_1,\cdots,\gamma_m)\cdot v_i(\vec{x},\gamma_1,\cdots,\gamma_m)=\gamma_i$ (for $i=1,\cdots,m$ ) 以及 $w(\vec{x},\gamma_1,\cdots,\gamma_m)=0$ 都成立时，有 pair $(\vec{x},\gamma_1,\cdots,\gamma_m)\in\mathbb{Z}_q^n\times \mathbb{Z}_q^m$ 可completed to an accepting computation graph。

根据multiplication-triples 方法，可做如下调整：

Prover在 $\vec{y}$ 中增加input vector $\vec{x}$ ，而将 $\alpha_i,\beta_i$ 从中去除，调整为：
$\vec{y}=(\vec{x},f(0),g(0),h(0),h(1),\cdots,h(2m))\in\mathbb{Z}_q^{n+2m+3}$
其中 $(\vec{x},\gamma_1,\cdots,\gamma_m)=(\vec{x},h(1),\cdots,h(m))$ 为 $\vec{y}$ 的subvector。【注意，仍然保持 $f(i)=\alpha_i,g(i)=\beta_i$ 来唯一确定多项式 $f (X), g (X)$ ，只是此时 $\alpha_i=u_i(\vec{x},\gamma_1,\cdots,\gamma_m),\beta_i=v_i(\vec{x},\gamma_1,\cdots, \gamma_m)$ 。】
Prover对以上调整后的 $\vec{y}$ 进行compactly commit。
接下来，Prover需要证明：
（1） $w(\vec{x},\gamma_1,\cdots,\gamma_m)=0$ ；【可直接允许 $\Pi_{NULLITY}$ 协议。】
（2） $\alpha_i\cdot \beta_i=\gamma_i$ for all $1\leq i\leq m$ ，其中的 $\alpha_i=u_i(\vec{x},\gamma_1,\cdots,\gamma_m),\beta_i=v_i(\vec{x},\gamma_1,\cdots, \gamma_m)$ ，即可将 $\alpha_i,\beta_i$ 看成是affine functions $u_i,v_i$ 在 $(\vec{x},\gamma_1,\cdots,\gamma_m)$ 的evaluation值，其实也可将其看成是在 $\vec{y}$ 的evaluation值。【多项式 $f (X), g (X)$ 仍然由Prover’s compact commitment to $\vec{y}$ 唯一确定。也就是说，the randomness underlying its selection $\rho=f(0)$ 仍被包含在 $\vec{y}$ 中。根据 $f(0)=\rho$ 和 $f(i)=\alpha_i\ (i=1,\cdots,m)$ 可唯一确定degree $\leq m$ 的多项式 $f (X)$ ，从而 $f (c)$ 的值可通过合适的affine map evaluate at $\vec{y}$ 来计算获得。同理，由于 $\vec{y}$ 中包含了 $\rho’=g(0)$ ，根据 $g(0)=\rho’$ 和 $g(i)=\beta_i\ (i=1,\cdots,m)$ 可唯一确定degree $\leq m$ 的多项式 $g (X)$ ，从而 $g (c)$ 的值可通过合适的affine map evaluate at $\vec{y}$ 来计算获得。 $h (X) = f (X) g (X)$ ，其它规则仍跟之前一样。】

注意：
对于 $m$ 阶多项式 $f (X)$ ，可由 $m + 1$ 个不同的插值 $(x_0,f(x_0)), (x_1,f(x_1)),\cdots (x_m,f(x_m))$ 来唯一确定： $f(X)=\sum_{k=0}^{m}\frac{\prod_{i=0,i\neq k}^{m}(X-x_i)\cdot f(x_k)}{\prod_{i=0,i\neq k}^{m}(x_k-x_i)}$ 。
对于本文，实际插值点分别为 $(0,f(0)),(1,f(1)),\cdots,(m,f(m))$ ，因此，相应的 $\sum_{k=0}^{m}\frac{\prod_{i=0,i\neq k}^{m}(X-i)\cdot f(k)}{\prod_{i=0,i\neq k}^{m}(k-i)}$ 。此时， $f (X)$ 可看成是基于 $\rho,\alpha_1,\cdots,\alpha_m$ 的linear form。（此时 $\rho,\alpha_1,\cdots,\alpha_m$ 为secret value。）
而 $\alpha_i=u_i(\vec{x}, \gamma_1,\cdots,\gamma_m)$ 为linear form，所以 $f (X)$ 可看成是双层linear form。

最终的communication cost与circuit的输出数量 $s$ 无关。相应的circuit证明协议 $\Pi_{cs}$ 为：
在这里插入图片描述

在这里插入图片描述
类似于5.3.1节、5.3.2节的场景一、场景二：

相应的证明分别为 $\Pi_{cs}^{(1)}$ 和 $\Pi_{cs}^{(2)}$ ：

7. 构建range proof

range proof，即Prover 需证明 a secret committed integer $v$ in a public range，如 $0,2^{n-1}]$ 。
本文主要考虑2种情况：
1）a secret committed integer $v$ in a public range，如 $0,2^{n-1}]$ 。
2）many different integer commitments are all in some fixed range。

7.1 basic range proof

basic 场景为：
Prover commit to the integer $v\in\{0,\cdots,2^{n-1}\}$ 和 the required auxiliary data $\overrightarrow{aux}$ at once in a single compact commitment

接下来考虑的场景为：
Prover不直接对 $v$ 进行commit，而是对其二进制位表示 $\vec{b}\in\mathbb{Z}_q^n$ 进行commit。此时， $v$ can be computed as linear form evaluated at $b$ ，因此，a compact commitment to $\vec{b}$ is an implicit commitment to $v$ 。To show that $v$ is in the range $0,2^{n-1}]$ , the prover now only has to convince the verifier that the committed vector $\vec{b}$ is comprised of 0’s and 1’s, which can be done by a simple application of the circuit $Z K$ protocol $\Pi_{cs}$ 。
最终，可定义circuit为：
$\mathbb{Z}_q^n\rightarrow \mathbb{Z}_q^n,\vec{x}\mapsto \vec{x}*(\vec{1}-\vec{x})$
相应的range proof relation $R_r$ 为：
$R_r=\{(C;\vec{b}): C(\vec{b})=\vec{0}\}$

基于以下观察做了相应调整：
1）由于所有的multiplication inputs具有的形式为 $\alpha$ 和 $1-\alpha$ ，则，与其借助随机多项式 $g (X)$ ，此时可定义multiplication gates右侧输入为 $g (X) = 1 - f (X)$ 。
2）由于所有的multiplication gates输出都为0，即有 $h(1)=h(2)=\cdots=h(n)=0$ ，因此这些值没必要包含在compact commitment中。

相应的range proof证明 $\Pi_{r}$ 为：
在这里插入图片描述

7.2 aggregate range proof

针对的情况为：
Prover证明 $s$ 个Pedersen commitments to $v_1,\cdots,v_s\in\mathbb{Z}_q$ 都在range $0,2^{n-1}]$ 。
相应的relation标识为 $R_r^{(s)}$ ，相应的证明过程表示为 $\Pi_{r}^{(s)}$ ：【可借助5.3节场景二中的compactification技术，来获取a single compact commitment to the $n s$ bits of the $s$ committed values together with the auxiliary data required to prove their correctness。】
在这里插入图片描述

8. 基于Strong-RSA假设

以上实现都是基于discrete logarithmic assumption，接下来考虑基于Strong-RSA assumption来实现相应协议。

使用Pedersen vector commitment scheme的一个主要缺陷是所需generators的数量与vector dimension成正比。如需commit to an $n$ -dimensional vector，则需要 $n + 1$ generators of the group $\mathbb{G}$ 。同时，对于compressed $\sum$ -protocol $\Pi_c$ ，其verification time与dimension $n$ 呈正比。

另外，参见论文[FO97,DF02]， vector commitment scheme也可以通过unknown order group $\mathbb{G}$ 来实现，详细可参看Bu¨nz等人2020年论文《Transparent snarks from DARK compilers》。（可参见博客 Supersonic Transparent SNARKs from DARK Compilers学习笔记）
在Supersonic论文中，构建了a polynomial commitment scheme，允许Prover to commit to a polynomial $f\in\mathbb{Z}_q[X]$ of arbitrary degree, via a unique integer representation of its coefficient vector。A commitment to such a representation 仅需要2个group elements $g,h\in\mathbb{G}$ 。
在Supersonic论文中展示了如何open arbitrary evaluations $f(a)\in\mathbb{Z}_q$ of a committed polynomial without revealing any additional information about $f$ 。且在polynomial evaluation protocol中使用了类似Bulletproofs的recursive技术。具有logarithmic communication complexity。同时，Supersonic借助Proof of Exponentiation (PoE) 技术，实现了logarithmic verification time。

本文在Supersonic的基础上进行了改进，使得支持vector commitment scheme with linear form openings。

8.1 integer commitment scheme

参照[DF02] Damg˚ard 等人2002年论文《A statistically-hiding integer commitment scheme based on groups with hidden order》中的定义。integer commitment scheme的commitment space为a group $\mathbb{G}$ of unknown order，如an RSA group或者a class group。尽管the exact order of $\mathbb{G}$ 是未知的，但是可假设order的upper bound为 $B$ ，即 $|\mathbb{G}|\leq B$ 。

integer commitment scheme 的setup phase会生成2个random group elements $g,h\in\mathbb{G}$ ，使得两者都可generate the same subgroup of $\mathbb{G}$ 。
此时，对于random $\gamma$ from $[0,B\cdot 2^{\mathcal{K}})$ （其中 $\mathcal{K}$ 为security parameter）， $h^{\gamma}$ 的distribution将exponentially close to the uniform distribution on $< g >$ 。因此，对于任意的integer $x$ ， $[x]=g^xh^{\gamma}$ 将statistically hides $x$ 。
直观地，binding属性则源于Prover不知道the order of $\mathbb{G}$ ，正式的证明binding 属性源于the root assumption，具体参见论文[DF02, BFS20]。

Vector Encoding scheme采用了Supersonic中的算法：

首先将vector $\vec{x}\in\mathbb{Z}_q^n$ lift为unique representative in $\mathbb{Z}(\frac{q-1}{2})^n=\{\vec{x}\in\mathbb{Z}^n: ||\vec{x}||_{\infty}\}$ ；
然后，对于任意的 $b\in\mathbb{Z}$ ， $Q > 2 b$ ，相应的encoding算法为：
$\mathbb{Z}(b)^n\rightarrow \mathbb{Z},\vec{x}\mapsto \sum_{i=1}^{n}x_iQ^{i-1}$

由于 $Q > 2 b$ ，该encoding算法为injective的。对于 $\vec{x}\in\mathbb{Z}_q^n$ 和 $\vec{x}\in\mathbb{Z}(b)^n$ ，可将其integer encoding结果表示为 $\hat{x}\in\mathbb{Z}$ 。而a commitment $[\vec{x}]$ to a vector $\vec{x}\in\mathbb{Z}_q^n$ 或者 $\vec{x}\in\mathbb{Z}(b)^n$ 为 an integer commitment to $\hat{x}$ 。

以上流程即生成了a compact vector commitment scheme：
$[\cdot]: \mathbb{Z}_q^n\rightarrow \mathbb{G}$

对于linear form $L:\mathbb{Z}_q^n\rightarrow\mathbb{Z}_q$ ，该commitment scheme具有basic $\sum$ -protocol for relation $R_{\mathbb{Z}_q}$ ：
$R_{\mathbb{Z}_q}=\{(P\in\mathbb{G},u\in\mathbb{Z}_q,Q\in\mathbb{Z},L; \vec{x}\in\mathbb{Z}_q^n,\gamma\in\mathbb{Z}_q^n): P=g^{\hat{x}}h^{\gamma}, L(\vec{x})=u,Q>q\}$

此处的 $\sum$ -protocol与第3节的 $\Pi_0$ protocol的最大不同之处在于：
此处的 $\sum$ -protocol 具有statistically hiding属性，且all exponents are sampled from subsets of $\mathbb{Z}$ ，因此Verifier需要验证the final response is of bounded norm。
Supersonic中也有类似的对 $R_{\mathbb{Z}_q}$ 的证明协议：
在这里插入图片描述
由于以上协议传递的 $\vec{z}\in\mathbb{Z}^n$ ，以trivial PoK for relation $R_{\mathbb{Z}}$ 为例：【PoK和PoE的区别参看博客 Proof (of knowledge) of exponentiation】
$R_{\mathbb{Z}}=\{(P\in\mathbb{G},u\in\mathbb{Z}_q,Q,b\in\mathbb{z},L; \vec{x}\in\mathbb{Z}^n): ||\vec{x}||_{\infty}\leq b<q, P=g^{\hat{x}}, L(\vec{x})=u \ mod\ q\}$

可借助Bulletproofs的recursive思想，构建more efficient PoK for relation $R_{\mathbb{Z}}$ ，以下Protocol 13 表示了 one iteration of the recursion, 重复该recursion $O(\log n)$ 次，将result in a logarithmic complexity。必须注意到，其中的bound $b$ 将在每一轮都增加，因此，所选择的encoding 参数 $Q$ 必须足够大。Verifier为了避免计算first move之后的large expensive exponentiation (此处为 $A_R^{Q^{\frac{n}{2}}}$ )，可如Supersonic的polynomial evaluation protocol类似，引入Proof of Exponentiation 算法，来降低verification time。
同时Protocol 13中与基于discrete logarithmic assumption的compression $\Pi_c$ 不同，the linear form evaluation $L(\vec{x})$ 未包含在commitment中，因此cross terms $A_R$ 和 $A_L$ are part of the first message。
【参看博客 Proof (of knowledge) of exponentiation 中第二节有安全隐患的攻击，必须要求 $g$ 包含在CRS中。】
在这里插入图片描述

9. 基于KEA假设

本文也可基于Knowledge-of-Exponent Assumption (KEA)，来构建 vector commitment scheme with compact linear form openings。
基于KEA假设，可将第6节的 $\Pi_{cs}$ 的communication complexity由logarithmic reduce为constant，需要a trusted setup that depends on the arithmetic circuit under consideration。

KEA并不是一种难解的假设，it is unfalsifiable [Nao03, BCPR14]。因此KEA的应用目前仍然有争议。

接下来，将介绍基于KEA构建的vector commitment scheme以及相应的ZK protocol for opening linear forms。
本文主要基于Groth 2010年论文《Short pairing-based non-interactive zero-knowledge arguments》中的技术，并做了点小调整：

A compact commitment to a vector $\vec{x}\in\mathbb{Z}_q^n$ ，实际为a Pedersen vector commitment $P=h^{\gamma}\vec{g}^{\vec{x}}$ 。
A ZKPoK of knowing an opening to $P$ is another Pedersen commitment $P^{'}$ to $\vec{x}$ ，基于相同的randomness $\gamma$ ，但是使用一组不同的generators $h'=h^\alpha,g_1'=g_1^{\alpha},\cdots,g_n'=g_n^{\alpha}$ ，其中 $\alpha\in\mathbb{Z}_q$ 为 sampled uniformly at random in the trusted setup phase and is only shared with a designated verifier。
以上两组generators都是public的，且作为common reference string的一部分。designated Verifier仅需验证 $P'=P^{\alpha}$ 成立即可。

Knowledge-of-Exponent Assumption 描述的是：
若an adversary 能够计算pairs $(P, P^{'})$ ，满足 $P'=P^{\alpha}$ ，则意味着其要么知道 $\alpha$ ，要么其知道an opening to $P$ 。

由此可知，correctness和zero-knowledge都满足。以上ZKPoK为non-interactive，其size也与dimension $n$ 无关。

以上ZKPoK为designated Verifier，要扩展至public verifiable的话，需要：
引入a bilinear pairing $\mathbb{G}\times \mathbb{G}\rightarrow \mathbb{G}_t$ ，这样就可以在不知道 $\alpha$ 的情况下，Verifier仅需验证 $e (P, h^{'}) = e (h, P^{'})$ 是否成立即可。

为了证明the committed vector $\vec{x}$ 满足a linear form relation $L(\vec{x}=u)$ ，则需要对generators做特别设置：for all $1\leq i\leq n$ ， $g_i=h^{\beta^i}$ ，其中 $\beta\in\mathbb{Z}_q$ 为secret值。所引申的即为 $n$ -power Knowledge-of-Exponenet Assumption (n-PKEA)。

Groth 在其2010年论文《Short pairing-based non-interactive zero-knowledge arguments》中之处，借助以上generators特别设置，以及bilinear pairing，可实现efficient circuit ZK protocol。本文希望prove correctness of a linear form evaluation，可基于如下观察：
若 $\vec{a}=(a_1,\cdots,a_n)\in\mathbb{Z}_q^n$ 使得 $L(\vec{z})=<\vec{a},\vec{z}>$ for all $\vec{z}\in\mathbb{Z}_q^n$ ，可定义如下多项式：
$f(Y)=\gamma+\sum_{i=1}^{n}x_iY^i$
$g(Y)=\sum_{i=0}^{n-1}Y^i$
$h(Y)=f(Y)g(Y)=\sum_{i=0}^{2n-1}c_iY^i$
则有 the $n$ -th coefficient of $h (Y)$ 等于 $c_n=<\vec{x},\vec{a}>=L(\vec{x})$ 。

基于以上观察，Groth 2010年论文《Short pairing-based non-interactive zero-knowledge arguments》第六章中的Hadamard product argument 可进行相应改进，从而形成a constant size ZKPoK for the correctness of a linear form evaluation。（也可参看博客 Short Pairing-based Non-interactive Zero-Knowledge Arguments 第2节的Hadamard Product argument）

对于circuit ZK protocol，可继续沿用第6节中的技术来linearize the non-linearities in a black-box manner。而[GGPR13, Gro16] 等其它基于KEA构建的 circuit ZK protocol，都需要将 arithmetic circuit转换为quadratic span programs 或 QSPs等，本文斌更不需要这种转换，但是本文的linearization 技术将 render our solution interactive (although in a setting where Fiat-Shamir applies)。
与基于linearization+DL假设不同，基于linearization+KEA假设构建的circuit ZK protocol具有constant verification complexity，是a ZK-SNARK。

mutourend

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
3
评论
Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics学习笔记

1. 引言Thomas Attema等人2020年论文《Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics》发表于CRYPTO 2020。主要关注3种类型的assumption：Discrete Logarithm assumption：Bulletproofs中是基于Discrete Logarithm assumption构建的。Strong-RSA
复制链接

扫一扫