On the Amortized Complexity of Zero Knowledge Protocols for Multiplicative Relations 学习笔记

1. 引言

Cramer等人2011年论文《On the Amortized Complexity of Zero Knowledge Protocols for Multiplicative Relations》。

---

要点：
【正如 Thomas Attema等人发表于CRYPTO 2020中的论文《Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics》中所指出的。详情参见博客 Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics学习笔记】
（1）借助安全多方计算技术，实现了对arbitrary constraints on vectors of committed elements的证明。
（2）考虑的是单个element of ${\mathbb{Z}}_q$ 的homomorphic commitment scheme，对应a vecotr的commitment size为$O(n)$，其中$n$为vector size。主要是利用$\sum$-protocol实现了乘法关系的证明，即$x_i{y}_i=z_i$。（Thomas Attema等人发表于CRYPTO 2020中的论文《Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics》中 对此仅需了改进，实现了packed commitment。详情参见参见博客 Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics学习笔记 1.3节内容。）
（3）其本质思想是$h(X)=f(X)g(X)$ 多项式乘积证明，可将多项式$f(X)$ 、 $g(X)$ 、$h(X)$看成是分别对应multiplication gates的packed-secret sharings of left inputs、right inputs和outputs。（详情参见参见博客 Compressed sigma-Protocol Theory and Practical Application to Plug & Play Secure Algorithmics学习笔记 1.3节内容。）

---

本文主要内容为：

• 提供了a zero-knowledge protocol用于证明 the committed values $x_i,y_i,z_i$ for $i=1,\cdots ,l$，满足$x_i{y}_i=z_i$
  其中$x_i,y_i,z_i$ 值均来自于有限域内。
  For error probability $2^{-u}$, the size of the proof is linear in $u$ and only logarithmic in $l$。
  因此，对于任意fixed error probability，the amortized complexity 随着$l$的增加会消失。
  特别地，当the committed values来自于a field of small constant size是，可进一步改进之前方案 的complexity by a factor of $l$。

• 为circuit satisifiability of circuit $C$构建的zero-knowledge interactive proof，相应的proof size为$O(|c|)$。

• generalize a protocol——用于verify $l$ instances of an algebraic circuit $D$ over $K$ with $v$ inputs。即已知committed values $x_{i,j}$和$z_i$ with $i=1,\cdots ,l$ and $j=1,\cdots ,v$，Prover需证明$D(x_{i,1},\cdots ,x_{i,v})=z_i$ for $i=1,\cdots ,l$。
  有一个有趣的属性是，the amortized complexity of verifying one circuit only depends on the multiplicative depth of the circuit and not the size。因此，对于具有small multiplicative depth的circuit，the amortized cost要小于the number of multiplications in $D$。

• 借助preprocessing，实现了信息论安全的homomorphic commitments to integer valuse。仅需a constant number of multiplications per commitment。

• 实现了verify $l$ integer multiplications with low amortized complexity。

• 本文的所有协议的安全假设依赖于commitment scheme本身，即factoring。而这些协议也可扩展至使用standard computationally securce commitment，相应的安全假设则基于strong RSA assumption。

本文主要关注的是commitments to elements in a finite field $K$， or to integers，同时假设这些commitments具有同态属性，即$[x]\cdot [y]=[x+y]$。

commitment scheme 的一个经典应用是：
the Prover needs to convince the Verifier that the values he commits to satisfy a certain algebraic relation。
即
the Prover commits to $x_1,\cdots ,x_v$ and the Verifier wants to know that $D(x_1,\cdots x_v)=0$ for an algebraic circuit D defined over $K$ or over the integers。
若$D$仅适用linear operations，则利用commitment的同态属性，Verifier可自己计算a commitment to $D(x_1,\cdots ,x_v)$ and Prover opens this to reveal 0。
但是，当$D$中有乘法时，则需要a zero-knowledge protocol来让the Prover convinces the Verifier that three committed values $x,y,z$ 满足$xy=z$。

• 在 Cramer 等人1999年论文《Efficient multiparty computations secure against an adaptive adversary》中，利用homomorphic commitments over any finite field $K$构建了类似的multiplication protocol，相应的soundness error为$1/|K|$，当$K$为a field with small size (constant or logarithmic in the security parameter)时，soundness error $1/|K|$值过大。为了实现smaller error，目前知道的唯一解决办法是repeat the protocol，相应的communication complexity为$\Theta (\mathcal{K}u)$ for soundness error $2^{-u}$ and commitment size为$\mathcal{K}$ bits。

• Fujisaki等人1997年论文《 Statistical zero knowledge protocols to prove modular polynomial relations》 和 Damg˚ard 等人 2002年论文《 A statistically-hiding integer commitment scheme based on groups with hidden order》 中提出了a multiplication protocol for integer commitments，相应的communication complexity 为$\Theta (\mathcal{K}+l+k)$，其中$k$为Prover’s secret integers的bit size，同时需要依赖额外的假设——strong RSA assumption。若我们考虑仅需要factoring假设的commitment scheme时，相应的complexity为$\Theta ((\mathcal{K}+k)l)$。

• Cramer等人2009年论文《On the amortized complexity of zero-knowledge protocols》中 指出，很多应用中Prover需要make many ZK proofs of similar statements，因此可以进一步进行改进——make the amortized complexity per proof be small by combining all the proofs into one protocol。
  在本文中即意味着，the Prover commits to $x_i,y_i,z_i$ for $i=1,\cdots ,l$ 然后wants to convince the Verifier that $x_i{y}_i=z_i$ for all $i$。Cramer等人2009年论文《On the amortized complexity of zero-knowledge protocols》中的算法实现了amortized complexity $\Theta (\mathcal{K}+l)$，但是要求所有的$x_i$是一样的（或者所有的$y_i$是一样的），这在实际应用时很难满足。

1.1 本文主要贡献

• 构建了a zero-knowledge protocol，适用于任意的$x_i,y_i,z_i$，同时适于任意的homomorphic commitment scheme。
  当选择standard unconditionally binding and computationally hiding commitment scheme时，the amortized complexity为$O(\frac{u}{l}\cdot \mathcal{K})$ bits for error probability $2^{-u}$。相比于Cramer 等人1999年论文《Efficient multiparty computations secure against an adaptive adversary》的$\Theta (\mathcal{K}u)$改进了$l$倍。 （特别地，当$l=u$，amortized complexity为$O(\mathcal{K})$。）

• 实现了unconditionally secure homomorphic commitments assuming preprocessing。可以使协议的效率更高，as only a constant number of multiplications per commitment is required。

• 当需要verify $l$ instances of an algebraic circuit $D$ over $K$ with $v$ inputs，相当于：given committed values $x_{i,j},z_i$ with $i=1,\cdots ,l$ and $j=1,\cdots ,v$，Prover需要证明$D(x_{i,1},\cdots ,x_{i,v})=z_i$ for $i=1,\cdots ,l$。The amortized cost to verify one circuit with multiplicative depth $\delta$为$O(2^{\delta }\mathcal{K}+v\mathcal{K}+\delta \log l)$ bits for an error probability of $2^{-l}$，与circuit size无关。
  对于具有small multiplicative depth 的circuit（如 the classes $K-SA{C}^0$或$K-SA{C}^1$），这种方法具有优势，the amortized communication cost要小于the number of multiplications in $D$。

• 允许Verifier将function的计算外包给第三方，只要Verifier choose the random challenge in the protocol，this would be secure if the prover is malicous and the third party is semi-honest。

• 最终实现的zero-knowledge protocol为：使用black-box access to homomophic commitments to $k$-bit integers。为了check $l$ integer multiplications and error probability $2^{-l}$，the amortized complexity 为$O(\mathcal{K}+k+l\log (l))$。当其中的commitment使用standard computationally secure scheme时，相比于之前需要strong RSA assumption的方案，此处不需要任何assumption。

• 当使用information theoretically secure commitments based on preprocessing时，本文构建的协议具有perfect zero-knowledge against general verifiers。
  当使用standard computationally secure commitments时，仅具有honest verifier zero-knowledge。

• 本文用到的技术有点类似于[IKOS09]中的“MPC-in-the-head”技术，但是有以下差异：both strategies都用到了“virtual players”，即，the Prover in his head imagines $n$ players that receive shares of his secret values and he must later reveal information to the verifier relating to these shares。[IKOS09]中的协议complexity为$O(n)$，因为其Prover需commit to the view of each virtual player。而本文利用了commitment scheme的同态属性，将complexity降为$O(\log n)$，这也是为啥our amortized overhead vanishes instead of being constant, as one would get using MPC-in-the-head。
  另外，将本文协议和“multiparty computation in the head” 技术结合，在某些参数情况下可改进其communication complexity。

• 同时期，Ben_Sasson等人2011年论文《Near-linear unconditionally-secure multiparty computation with a dishonest minority》中展示了a multiparty protocol for honest majority that checks several multiplicative relations on secret-shared values with low amortized complexity。该技术基于secret sharing，但是the checking works in a different way since in that setting there is no single prover who knows all values。

1.2 相关应用

本文的研究成果可应用于：

• give ZK proofs for satisfiability of a Boolean circuit $C$：Prover commits to the bits on each wire in the circuit，然后opens the output as 1 and shows that, for each AND-gate, the corresponding multiplicative relation holds for the committed bits。
  若基于ideal commitment model，[IKOS09] 实现了constant communication overhead和polynomial computation overhead。
  [DIK10] 中则实现了communication overhead和computation overhead均为poly-logarithmic。
  而若使用ideal homomorphic commitment model，本文的协议实现了communication overhead和computation overhead均为constant。
  而若使用information theoretically secure homomophic scheme，则需要额外的local computation，相应的communication overhead为constant的，computation overhead为polynomial。与[IKOS09]相比，涉及的constant值更小。同时，对于linear operations，本文不需要任何communication cost。

• 类似于[CDN01]中所示，可基于additively homomorphic encryption scheme实现general multiparty computation。相比于之前的技术，a player可用本文协议证明that his input satisfy a given condition much more efficiently that by previous techniques。

• 可用于anonymous credentials和group signatures。可基于Fiat-Shamir heuristic来实现non-interactive zero-knowledge proof。当需要证明a committed number在指定范围内时，一种解决方案是——可用[Bou00]中的proof技术来"transfer" the values to an integer commitment scheme来证明。其本质是multiplication proofs，因此可使用本文的方案来实现。

2. 相关定义

2.1 information theoretic commitment

$[v]$ 表示a commitment to $v$。
假设commitment操作对应于an additive group。

该commitment scheme具有同态属性：
$[v]\cdot [v^{\prime }]=[v+v^{\prime }]$
for all $v,v^{\prime }$ in the proper domain (either a finite field $K$ or the integers)。

$\vec{v}=(v_1,\cdots ,v_m)$ 为a vector with entries in $K$ (or in the integers)。
$[\vec{v}]$表示a vector of commitments, one to each coordinate in $\vec{v}$。
若$\vec{u}=(u_1,\cdots ,u_m)$为a vector of the same length as $\vec{v}$时，则$[\vec{v}{]}^{\vec{u}}={\prod }_i[v_i{]}^{u_i}$，实际为a commitment containing the inner product of $\vec{u}$ and $\vec{v}$。

$[\vec{u}]\ast [\vec{v}]$表示the component-wise product。

(1) Field Scenario：
设$K$ 为a finite field，$L$为an extension of $K$，本文考虑$K$为a small constant size field的情况。
设$a\in L$为Verifier的private valuse，假设Prover有a list $A$ of uniform values $u_1,\cdots ,u_i,\cdots \in K$，且对每一个$u_i$ Prover同时有a value $m_{u_i}=a\cdot u_i+b_{u_i}$，其中$b_{u_i}$为uniform in $L$且为Verifier的private value。
可将$m_{u_i}$看成是an information theoretic message authentication code (MAC) on $u_i$，而将$(a,b_{u_i})$ 看成是the key to open such a MAC on $u_i$。如[BDOZ11, DPSZ12]等论文中所示，可通过a functionality for the preprocessing phase of a multiparty computation protocol来实现。
相应的commitment可设计为：

• Prover为了commit to $v\in K$，Prover首先将$u-v$发送给Verifier。
• 然后设置$m_v=m_u=a\cdot u+b_u$，其中$u$ 为the first unused value in the list $A$。
• Verifier更新相应的key值$b_v=b_u+a\cdot (u-v)$。
• 最终的commitment to $v$值为：
  
  而open commitment $[v]$时，Prover可将$v,m_v$发送给Verifier，Verifier验证$a\cdot v+b_v=m_v$是否成立即可。

以上commitment具有的属性为：

• unconditionally binding。错误的概率不高于$1/|L|$。实际设计师，通常要求$|L|=2^{\Theta (\mathcal{K})}$，其中$\mathcal{K}$为security parameter。
• unconditionally hiding。即Verifer收到a commitment $u-v$ only knows $a$, $b_{u_1},\cdots ,b_{u_i},\cdots$，这些均与$v$无关。
• 同态属性，即满足$[v]\cdot [v^{\prime }]=[v+v^{\prime }]$：
  

（2）Integer Scenario
此处构建 unconditionally secure commitments on $k$-bits integers。
与之前的Field Scenario 不同：
设$a$为a prime in the interval $[-2^{\mathcal{K}},\cdots ,2^{\mathcal{K}}]$，$a$为Verifier的私有信息。假设Prover有a list $A$ of integer values $u_1,\cdots ,u_i,\cdots$ 均匀分布在$[-2^{k+\mathcal{K}},\cdots ,2^{k+\mathcal{K}}]$，且对于每个$u_i$，Prover还有相应的integer $m_{u_i}=a\cdot u_i+b_{u_i}$，其中$b_{u_i}$为a uniform integer in $[-2^{k+3\mathcal{K}},\cdots ,2^{k+3\mathcal{K}}]$ 且为Verifier的私有信息。
相应的commitment构建过程为：

• Prover为了commit to the integer $v\in [-2^k,\cdots ,2^k]$，Prover将$u-v$发送给Verifier。

• Prover设置$m_v=m_u=a\cdot u+b_u$，其中$u$为the first unused value in the list $A$。

• Verifier更新相应的key值$b_v=b_u+a\cdot (u-v)$。

• 整个commitment to $v$可表示为：
  

• 为了open commitment $[v]$，Prover仅需将$v,m_v$发送给Verifier，Verifier验证$a\cdot v+b_v=m_v$ 是否成立即可。

以上commitment scheme具有的属性为：

• 同态属性
• unconditionally hiding
• unconditionally binding (基于factoring假设——a $(k+\mathcal{K})$-bits integer contains at most $(k+\mathcal{K})/\mathcal{K}$ prime factors of length $\mathcal{K}$ and the number of $\mathcal{K}$-bits primes is $\Theta (2^{\mathcal{K}}/\mathcal{K})$，此commitment scheme的error probability为$\Theta (((k+\mathcal{K})/\mathcal{K})\cdot (2^{\mathcal{K}}/\mathcal{K}))=\Theta ((k+\mathcal{K})/2^{\mathcal{K}})$，若$k=O(\mathcal{K})$，则the error probability为$O(\mathcal{K}/2^{\mathcal{K}})$。 )

2.2 Linear Secret Sharing Schemes

目前的linear secret sharing scheme有：

• [KW93, CDM00] 中的monotone span program formalism。
• [CCG+07] 中的linear code based formalism。

本文关注的是支持several values from the underlying field can be shared simultaneously，详细的设计思路为：
设置$K$ 为a finite field，$m$为a positive integer。针对$m$-dimensional $K$-vector space $K^m$，index set为 I = { 1 , 2 , ⋯   , m } I=\{1,2,\cdots,m\} I={1,2,⋯,m}，$\vec{x}=(x_i{)}_{i\in I}$ 表示the coordinates of $\vec{x}\in K^m$。接下来，考虑的都是finite space的linear functions。同时注意，由于这些函数具有（additive） group homomorphisms，通常为regular，即each element in the image has the same number of pre-images，又称为the cardinality of the kernel。
For a non-empty set $A\subseteq I$, the restriction to $A$ is the $K$-linear function：

设$C\subseteq K^m$ 为 a $K$-linear subspace，$A,S\in I$为non-empty sets。则可称$S$ offers uniformity if ${\pi }_S(C)=K^{|S|}$，注意by the regularity of ${\pi }_S$，若$c$为uniform in $C$，则${\pi }_S(c)$为uniform in $K^{|S|}$。
接下来从subspace $C$中选择一组随机vector，即$\vec{c}\in C$，使得${\pi }_S(\vec{c})=\vec{s}$，其中$S$为a set offering uniformity，$\vec{s}$为the vector of secret values to be shared。The shares are then the coordinates of $\vec{c}$ that are not in $S$。

当存在a function $f:K^{|A|}\to K^{|S|}$ 时，则可称$A$ determines $S$，对所有的$vecc\in C$，有$(f\circ {\pi }_A)(\vec{c})={\pi }_S(\vec{c})$。若相应的$f$存在，其为$K$-linear function。若$\vec{c}$为uniformly chosen from $C$ 且$A$ determines $S$，则${\pi }_A(\vec{c})$ determines ${\pi }_S(\vec{c})$ with probability 1。

若存在满射的$K$-linear function：

则可称$A$和$S$为mutually independent。
注意当且仅当$A$和$S$为mutually independent 且$A$ determines $S$时， π S ( C ) = { 0 } \pi_S(C)=\{0\} πS​(C)={0}。 特别地，若$\vec{c}$ is uniformly chosen from $C$，则 π S ( C ) ≠ { 0 } \pi_S(C)\neq\{0\} πS​(C)​={0}；若$A$和$S$为independent的，则${\pi }_A(\vec{c})$和${\pi }_S(\vec{c})$为独立分布的。

• 乘法属性：（Schur-product，或称 component-wise product，或称 Hadamard product）
  
• Sweeping vecotrs：
  

3. 乘法关系证明，又可称为Hadamard product 证明协议

基本信息为：

• public info：commitments $[\vec{x}],[\vec{y}],[\vec{z}]$。【注意此处的commitment size为$3l$，即本论文的vector commitment size为$O(l)$，其中$l$为vector size。】
• private info：$\vec{x}=(x_1,\cdots ,x_l),\vec{y}=(y_1,\cdots ,y_l),\vec{z}=(z_1,\cdots ,z_l)$。
• relation：$\vec{x}\ast \vec{y}=\vec{z}$，即 for $i=1,\cdots ,l$，有$x_i{y}_i=z_i$。

假设Prover和Verifier均同意使用 an $l$-multisecret linear secret sharing scheme $(C,S)$， 有$d$个players，提供$\hat{r}$-product reconstruction，具有的privacy threshold为$t$。
定义generator $g:K^{l+e}\to C$ for $(C,S)$，KaTeX parse error: Expected 'EOF', got '\right' at position 22: …}:K^{l+\hat{e}}\̲r̲i̲g̲h̲t̲ ̲\hat{C} for $(\hat{C},S)$，相应的public basis分别为$K^{l+e}$和$K^{l+\hat{e}}$，这样the linear mapping $g$ (或$\hat{g}$) can be computed as the action of a matrix $M$ (或$\hat{M}$)。

基本思路为：

• 当$(C,S)$具有product reconstruction特性时，Prover使用$(C,S)$来表示secret shares $\vec{x},\vec{y}$，使用$(\hat{C},S)$来表示secret shares $\vec{z}$，这样 the resulting vectors of shares ${\vec{c}}_x,{\vec{c}}_y,{\hat{\vec{c}}}_z$满足${\vec{c}}_x\ast {\vec{c}}_y={\hat{\vec{c}}}_z$。
• Prover commits to the randomness used in all sharings，借助同态属性，Verifier可计算commitments to any desired share。
• Verifier选择$t$个随机的coordinate位置，要求Prover open the commitments to the shares in those positions。
• Verifier可验证the shares in $\vec{x},\vec{y}$ multiply to the shares in $\vec{z}$。

整个机制是安全的，因为任意的$t$个shares不会泄露任何信息。但是若$\vec{x}\ast \vec{y}\ne \vec{z}$，则${\vec{c}}_x\ast {\vec{c}}_y={\hat{\vec{c}}}_z$最多仅在$\hat{r}$个位置成立，因此，Verifier有很大的概率能找到相应的位置使得验证不通过。

详细的协议表示为：

。。。。。。

4. circuit proof

设$D$ 为an arithmetic circuit over $K$ with $v$ inputs and one ouput，${\vec{c}}_1,\cdots ,{\vec{c}}_v\in K^m$，定义$D({\vec{c}}_1,\cdots ,{\vec{c}}_v)\in K^m$ 为the vector whose $j$-th coordinate为$D(({\vec{c}}_1{)}_j,\cdots ,(\vec{v}{)}_j)$，即apply $D$ to the $j$-th coordinate of all input vectors。

相应的circuit证明协议为：