Signatures of Correct Computation 学习笔记

1. 引言

Papamanthou等人2013年论文《Signatures of Correct Computation》，发表于TCC 2013。

---

要点：（基于pairing构建的多变量polynomial evaluation和多变量polynomial differentiation evaluation）
1）多变量多项式分解：
$f(\vec{x})$ 为多变量多项式in ${\mathbb{Z}}_p$，其中$\vec{x}=[x_1,x_2,\cdots ,x_n]$，对于$\vec{a}=[a_1,a_2,\cdots ,a_n]\in {\mathbb{Z}}_p^n$，多项式$f(\vec{x})-f(\vec{a})$可表示为$f(\vec{x})-f(\vec{a})={\sum }_{i=1}^n(x_i-a_i)w_i(\vec{x})$。
2）多变量多项式随机分解：
若$f(\vec{x})=f(x_1,x_2,\cdots ,x_n)$ evaluates to $f(\vec{a})=f(a_1,a_2,\cdots ,a_n)$，则取任意的随机数$r_1\in {\mathbb{Z}}_p$，将$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)$多项式除以$r_1(x_1-a_1)+x_2-a_2$多项式，其余数$s_1(x_2,x_3,\cdots ,x_n)$多项式与$x_1$无关，即：
$f(x_1,x_2,\cdots ,x_n)=[r_1(x_1-a_1)+x_2-a_2]\cdot q_1(x_1,x_2,\cdots ,x_n)+s_1(x_2,x_3,\cdots ,x_n)$
进一步将$s_1(x_2,x_3,\cdots ,x_n)$ 多项式除以$r_2(x_2-a_2)+x_3-a_3$多项式，其余数多项式为$s_2(x_3,x_4,\cdots ,x_n)$与$x_2$无关。
以此类推，在最终将余数多项式$s_{n-1}(x_n)$除以$x_n-a_n$，相应的余数多项式$s_n\in {\mathbb{Z}}_p$为constant term，与任何变量均无关。
最终$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)$可表示为：
$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)={\sum }_{i\in [n-1]}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]q_i(\vec{x})+(x_n-a_n)q_n(x_n)+s_n$
由于当$(x_1,x_2,\cdots ,x_n)$取值为$(a_1,a_2,\cdots ,a_n)$时，$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)=0$，因此$s_n$应为0值。
可引入随机值$r_1,\cdots ,r_{n-1}$，其中$r_1{r}_2\cdots r_{n-1}\ne 0$，相应的$f(\vec{x})-f(\vec{a})$多项式随机分解可表示为 ：
$f(\vec{x})-f(\vec{a})={\sum }_{i\in [n-1]}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]q_i(\vec{x})+(x_n-a_n)q_n(x_n)$
【对于单变量多项式，相当于有$f(x)-f(a)=(x-a)q(x)$】
3）多变量多项式微分分解：（单变量求导）
整个$f(\vec{x})$可表示为：
$f(\vec{x})={\sum }_{i=1}^{n-1}(x_i-a_i)u_i(\vec{x})+(x_n-a_n{)}^{k+1}q(x_n)+c_k{x}_n^k+\cdots +c_1{x}_n+c_0$
从而有，对$f(\vec{x})$的$x_n$求$k$阶导 并 evaluate at $\vec{a}=[a_1,a_2,\cdots ,a_n]$的值为：【同理可推广至对任意变量$x_i$求$k$阶导】
$\frac{{\partial }^{k}f(\vec{x})}{\partial x_n^k}(\vec{a})=k!\cdot c_k$
4）多变量多项式微分随机分解：（单变量求导）
整个$f(\vec{x})$可表示为：
$f(\vec{x})={\sum }_{i=1}^{n-2}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]u_i(\vec{x})+(x_{n-1}-a_{n-1})u_{n-1}(\vec{x})+(x_n-a_n{)}^{k+1}q(x_n)+c_k{x}_n^k+\cdots +c_1{x}_n+c_0$
从而有，对$f(\vec{x})$的$x_n$求$k$阶导 并 evaluate at $\vec{a}=[a_1,a_2,\cdots ,a_n]$的值为：【同理可推广至对任意变量$x_i$求$k$阶导】
$\frac{{\partial }^{k}f(\vec{x})}{\partial x_n^k}(\vec{a})=k!\cdot c_k$

---

介绍了Signatures of Correct Computation (SCC)，用于verify dynamic computations in cloud settings。

在SCC 模式下，a trusted “source” outsources a function $f$ to an untrusted “server”，同时有a public key for that function (to be used during verification)。
server可产生a succinct signature $\sigma$ 用于证明 the correctness of the computation of $f$，即 some result $v$ is indeed the correct outcome of the function $f$ evaluated on some point $a$。

构建SCC应满足2个性能指标：
1）verify the signature的时间 应少于 直接evaluate the function $f$的时间；
2）当function改变时，相应的public key应支持高效更新。

本文构建的SCC除满足以上2个性能指标要求外，还：

• 支持expressive manipulations over multivariate polynomials，如polynomial evaluation和polynomial differentiation。
• 具有adaptively secure in the random oracle model、
• 支持optimal updates，即，the function’s public key 可updated in time proportional to the number of updated coefficients，而不需要perform a linear-time computation (in the size of the polynomial）。

本文的signatures of correct computation（SCC）与同期很多研究中提到的 Publicly Verifiable Computation (PVC) 是相似的。
在SCC 模式下，任何的client 都可以verify the signature $\sigma$ 然后信服相应的计算结果；而在PVC模式下，只有only the client that issued a query (or anyone who trusts this client) can verify that ther server returned a valid signature (proof) for the answer to the query。
本文的SCC技术可调整成PVC schemes with adaptive security, efficient updates and without the random oracle model。

随着云计算的普及，越来越需要provide integrity guarantees in third-party data management settings。考虑如下场景：
某公司发明了某独特算法，如个性化医疗或者是股票趋势预测，为了避免内部自建昂贵的IT基础设施，该公司将该算法的执行外包给an external, untrusted cloud provider（如Amazon，Google等）。当用户只信任发明该算法的公司，而不信任云服务商时，用户该如何来verify the correctness of the computation of the algorithm呢？

以上场景需满足以下要求：
（1）efficiency：即client 运行verification算法的时间 应少于 在云端执行该算法的时间；
（2）public verifiability：即verification机制中应不绑定特定的verifier’s secret key，以支持任何用户都可verify the computation。
（3）efficiently handle updates：支持对the outsourced algorithm进行efficiently update，避免从头开始计算public parameters。

本文提出了signatures of correct computation (SCC) 以支持verify dynamic computation in the cloud：

• an untrusted worker可生成a signature 来证明 the correctness of some computation over some input；
• 需要由trusted source来生成a public key (produced by an one-time preprocessing)；（该trusted source为who outsourced the function in the cloud）
• 任何用户都可使用该public key 来验证该signature。

本文的SCC概念与PVC概念非常接近，但是SCC stronger than PVC：

• given an SCC scheme，one can directly construct a PVC scheme；而反之并不成立。
• 在PVC中，a “proof of correct computation” is tied to a specific challenge (generated by an algorithm ProbGen in [31])，and can only be verified by the client who has generated that challenge (or anyone who trusts this client)。
• SCC is not tied to any challenge，and can be verified by anyone in the world，类似于传统的signature on a message。

1.1 本文主要贡献

本文重点关注了对specific functionalities 而不是 generic constructions的实现和优化，类似与 Parno等人2012年论文《How to Delegate and Verify in Public: Verifiable Computation from Attribute-Based Encryption》和 Canetti等人2011年论文《Two 1-round protocols for delegation of computation》中的观点一样。

• 支持多变量多项式操作——如多变量polynomial evaluation and 多变量polynomial differentiation。
  基于多项式的操作可广泛用于很多应用场景，如：
  – statistical analysis 统计分析；
  – scientific computing 科学计算；
  – machine learning 机器学习。
  在Fiore and Gennaro 2012年论文《Publicly verifiable delegation of large polynomials and matrix computations》中列出了很多基于publicly verifiable computation on polynomials的应用，如：
  – proof of retrievability 数据可恢复证明；
  – verifiable keyword search 可验证关键词搜索；
  – discrete Fourier transform 离散傅里叶变换；
  – linear transformation 线性变换。

• 支持slightly modify our selectively secure scheme来实现adaptive security。具有adaptive security under the random oracle model。

• under the weaker PVC model，可实现adaptive security under the standard model without random oracles。

• 本文的构建是基于bilinear groups实现的。同时本文证明了the adaptive security of our constructions under the random oracle model。

• 支持增量更新：本文支持a trusted source来make incremental updates in time proportional to the number of the updated polynomial coefficients，而不需要从头开始执行计算（that would take linear time in the size of the polynomial）。

• 本文的构建基于polynomial decomposition 多项式分解属性，详见Lemmas 1 and 3。

• 相比于[KZG10]中单变量polynomial evaluation，本文实现了更简单的adaptive security in the multivariate case。尽管多变量看起来似乎更难实现。

• 在多项式分解属性中实现了randomness植入，详见Lemmas 2 and 4。

1.2 相关研究

（1）SCC与authenticated data structure (ADS) 数据结构认证相关。在某种意义上，SCC和ADS 共享exactly the same security properties：

• 在SCC中，a trusted source outsources a function，and a client wishes to verify the outcome of the function at a given point。
• 在ADS中，a trusted source outsources the data or a data structure，and the client wishes to verify the correctness of the result of a data structure query，如，dictionaries字典[18,26]、graphs图像[20,25]、hash tables[29,34]。
  大多数的ADS schemes都需要logarithmic或linear overheads for verification costs，with some exceptions being authenticated range queries [2,19] and set operations [30]，其中verification takes time proportional to the size of the answer。

（2）Verifiable computation in the secret key setting (SVC)：

• 现有的verifiable computation [1,10,14] 实现了efficient verification of general Boolean circuits，but in the secret key model。但是不像SCC那样支持publicly verifiable。

（3）对多项式的verifiable computation：

• Benabbas等人2011年论文《Verifiable Delegation of Computation over Large Datasets》中在SVC 模式下，使用algebraic one-way functions，实现了对多变量polynomial evaluation的高效verification算法，但是不支持对多项式系数的高效更新（为了更新一个系数，需要rerandomize所有现有的系数）.
• Kate等人2010年论文 [KZG10] 中实现了对单变量多项式的publicly verifiable commitment scheme，其本质上就是an SCC scheme for 单变量polynomial evaluation。而且Kate的算法无法直接扩展至多变量多项式。
  本文是第一个实现了支持efficient verification of differentiation queries——even in the SVC setting。

（4）与CS proofs和SNARGs的关系：
本文的SCC model 与 computationally-sound proofs (CS proofs) 和 succinct non-interactive arguments (SNARGs) 均相关。
CSS和SNARGs model之间的主要联系有：non-interactive和publicly verifiable (CS proofs也可实现non-interactive in the random oracle model)。
目前很多的SNARGs都是基于non-falsifiable assumption构建的，one-falsifiable assumption被认为是 a lot stronger than all common assumptions used in cryptography (如one-way functions, trapdoor permutations, DDH, RSA, LWE等等)。
而本文基于的assumption不属于以上范畴，尽管在verify multivariate polynomials，本文使用了the random oracle。但是与Micali [27] 论文不同，本文没有使用the PCP theorem，因此可实现更practical的schemes。

（5）其它同期独立研究成果：

• Parno等人2012年论文《How to Delegate and Verify in Public: Verifiable Computation from Attribute-Based Encryption》中的PVC formulation，支持任意client verify that an untrusted server correctly computes a function $f$ on a specific input $a$。需要an input preparation randomized algorithm ProbGem，来map user inputs $a$ to server inputs ${\sigma }_a$ and prepare an object $V{K}_a$ to be used for verification, specific for ${\sigma }_a$。
  与本文的SCC不同，only the client that issued a query for $a$ (or anyone who trusts this client) can verify that the server returned a valid signature (proof) for $f(a)$。
  此外，a client running the ProbGen 算法存在与server 串通合谋伪造proof的可能。
  在该论文中构建了generalized Boolean functions from attribute-based encryption (ABE)，其proof size与answer size成比例。

• Canetti等人2011年论文《Two 1-round protocols for delegation of computation》的PVC scheme，其client verification为polylogarithmic in the size of the evaluated circuit。实现了adaptive security under a slightly weaker model, in which the client needs to keep certain secret model。存在类似的问题：a client can verify only his queries unless extra assumptions are put into place。

• Fiore and Gennaro 2012年论文《Publicly verifiable delegation of large polynomials and matrix computations》中 基于algebraic one-way functions实现了对多变量多项式的PVC scheme。同时也支持使用less complex assumptions (如RSA) 来实现。其使用的model更严格，其要求only the party ran the setup algorithm for a specific function can run the problem generation algorithm，即支持publicly verifiable，但是不支持publicly delegatable。因此不适应于以下场景：
  药物公司outsource a 基因算法，每个用户都将自己的基因数据提交供计算。
  同时，该算法也未考虑到对polynomial系数的高效更新。
  但是，其算法具有more efficient verification and a delegation step of $O(n\log d)$ cost。

相关研究的性能对比详见下表：

1.3 亮点技术

本文涉及的亮点技术有：
（1）多变量polynomial evaluation：
[KZG10] 可用于构建an SCC scheme of 单变量polynomial evaluations。[KZG10]基于的思想是：（其中$f(x)$为单变量多项式 in ${\mathbb{Z}}_p$）
$f(x)-f(a)$可整除$x-a$，也就是说，可找到a polynomial $w(x)$，使得$f(x)-f(a)=(x-a)w(x)$成立。
利用以上思想，Kate等人使用pairing operation in bilinear groups，construct a witness from the term $w(x)$。

以上模式无法直接扩展用于多变量场景。基于以下思想：
$f(\vec{x})$ 为多变量多项式in ${\mathbb{Z}}_p$，其中$\vec{x}=[x_1,x_2,\cdots ,x_n]$，对于$\vec{a}=[a_1,a_2,\cdots ,a_n]\in {\mathbb{Z}}_p^n$，多项式$f(\vec{x})-f(\vec{a})$可表示为$f(\vec{x})-f(\vec{a})={\sum }_{i=1}^n(x_i-a_i)w_i(\vec{x})$。
其中多项式$w_i(\vec{x})$可用于构建witnesses。特别地，本文将这些terms encode为exponents of bilinear group elements，相应的verification为a pairing product equation encoding the above test in the exponent。

（2）From Selective to Adaptive Security：
相对于单变量情况下的single term，支持the polynomial evaluation contains a sum of terms。从而支持the weaker notion of selective security。
通过在多项式分解过程中引入随机数，实现了adaptive security。
基于本文的adaptively secure SCC with random oracles，可直接实现an adaptively secure PVC scheme in the plain model。

（3）Derivative Evaluation微分evaluation $f’(x)$：
支持verifiable derivative evaluation的直观方法是：
source commit to $nk$ 个polynomials during setup，分别对应一阶、二阶、……、$k$阶微分中的每个possible variable。
这种直观方法result in increased setup and update overhead。

本文的verifiable derivative evaluation构建基本思想为：

• 对于单变量多项式$f(x)$，$\frac{f(x)-f’(a)x}{(x-a{)}^2}$的余数为a constant polynomial。即$f(x)-f’(a)x=(x-a{)}^{2}q(x)+b$，其中$q(x)\in {\mathbb{Z}}_p[x]，b\in {\mathbb{Z}}_p$。
• 高阶微分和多变量多项式具有类似的特点。

2. 相关定义

• SCC scheme定义：
  包含KeyGen、Setup、Compute、Verify、Update 5个算法。
  
  其中的Update算法允许the source to update the function $f$ to a new function $f’$。直观的实现Update的方式是从Setup算法开始重新针对新的$f’$执行一遍，而本文实现了更高效的incremental updates。

• correctness of an SCC scheme定义：
  

• adaptive security of an SCC scheme定义：
  

2.1 多变量多项式相关约定

使用multiset over some universe $\mathcal{U}$，a generalized set 的元素来自于该universe $\mathcal{U}$，其中每个元素可出现多于1次，如 { 1 , 1 , 2 , 3 , 3 , 3 } \{1,1,2,3,3,3\} {1,1,2,3,3,3} 就是a multiset。

• multiset $S:\mathcal{U}\to {\mathbb{Z}}^{\ge 0}$：为a function mapping each element in a universe $\mathcal{U}$ to its multiplicity(多样性，其实即是指元素个数)。对于任意的$x\notin S$，有$S(x)=0$。
  如对multiset { a , a , b , c , c , c } \{a,a,b,c,c,c\} {a,a,b,c,c,c}，有$S(a)=2,S(b)=1,S(c)=3$，而$S(e)=0$因为$e$不在该multiset中。

设$S,T$表示two multisets over universe $\mathcal{U}$，其中$S\subseteq T$，即$\forall a\in \mathcal{U}$，$S(a)\le T(a)$。
$|S|$：表示the size of $S$ over universe $\mathcal{U}$，即$|S|={\sum }_{a\in \mathcal{U}}S(a)$。
${\mathcal{S}}_{d,n}$：表示the set of multisets of size at most $d$ over universe { 1 , 2 , ⋯   , n } \{1,2,\cdots,n\} {1,2,⋯,n}。

设$f\in {\mathbb{Z}}_p[x_1,x_2,\cdots ,x_n]={\mathbb{Z}}_p[\vec{x}]$ 为 an $n$-variate polynomial over ${\mathbb{Z}}_p$ with maximum degree $d$，具体可表示为：
$f(\vec{x})=f(x_1,x_2,\cdots ,x_n)={\sum }_{S\in {\mathcal{S}}_{d,n}}{c}_S\cdot {\prod }_{i\in S}{x}_i^{S(i)}$ …… （2.1）

如，multiset { 1 , 1 , 2 , 2 , 2 , 5 } \{1,1,2,2,2,5\} {1,1,2,2,2,5}对应的term为$x_1^2{x}_2^3{x}_5$。而empty multiset $\varnothing$ 对应的polynomial中的constant term。

• 多变量多项式的degree：为the maximum total degree of any monomial contained in the polynomial。如$3x_1{x}_2+x_3^3{x}_4{x}_5$的degree为5。

2.2 基于的安全假设

基于的安全假设为 Bilinear $l$-strong Diffie-Hellman assumption：

3. 多变量polynomial evaluation under selective security model

selective security 弱于 adaptive security，selective security要求the adversary to commit ahead of time to the challenge point $a$，与Identity-Based Encryption (IBE)[7]、Attribute-Based Encryption (ABE)[21]、Functional Encryption (FE)[32] 和Predicate Encryption (PE)[8] 中常用到的selective security类似。

核心思想为：
$f(\vec{x})$ 为多变量多项式in ${\mathbb{Z}}_p$，其中$\vec{x}=[x_1,x_2,\cdots ,x_n]$，对于$\vec{a}=[a_1,a_2,\cdots ,a_n]\in {\mathbb{Z}}_p^n$，多项式$f(\vec{x})-f(\vec{a})$可表示为$f(\vec{x})-f(\vec{a})={\sum }_{i=1}^n(x_i-a_i)w_i(\vec{x})$。
即对应Lemma 1为：

多变量polynomial evaluation under selective security model的详细构建思路为：

• $(PK,SK)\leftarrow KeyGen(\lambda ,\mathcal{F})$算法：
  假设function family $\mathcal{F}\subseteq {\mathbb{Z}}_p[\vec{x}]$ 表示all polynomials over ${\mathbb{Z}}_p$ with at most $n$ variables and degree bounded by $d$。即family $\mathcal{F}$中的polynomials可以（2.1）方程式的方式，由multisets in set ${\mathcal{S}}_{n,d}$来表示。
  KeyGen算法invoke the bilinear group generation algorithm to generate a bilinear group instance of prime order $p$ (of $\lambda$ bits), with a bilinear map function $e:\mathbb{G}\times \mathbb{G}\to {\mathbb{G}}_T$。
  选择随机generator $g\in \mathbb{G}$和随机point $\vec{t}=[t_1,t_2,\cdots ,t_n]\in {\mathbb{Z}}_p^n$，然后生成相应的signature generation set ${\mathcal{W}}_{n,d}$：
  W n , d = { g ∏ i ∈ S t i S ( i ) : ∀ S ∈ S n , d } \mathcal{W}_{n,d}=\{g^{\prod_{i\in S}t_i^{S(i)}}: \forall S\in\mathcal{S}_{n,d}\} Wn,d​={g∏i∈S​tiS(i)​:∀S∈Sn,d​} …… （3.2）
  如，${\mathcal{W}}_{2,2}$中包含的元素有：$g,g^{t_1},g^{t_2},g^{t_1^2},g^{t_2^2},g^{t_1{t}_2^2},g^{t_1^2{t}_2},g^{t_1^2{t}_2^2}$。
  KeyGen算法的输出public key $PK$ 中包含$g,{\mathcal{W}}_{n,d}$ 和 the description of $\mathbb{G},{\mathbb{G}}_T,e$。
  secret key $SK$中包含的是the commitment point $\vec{t}$。
  在本文的full version版本 的附录D中，提到了可减少${\mathcal{W}}_{n,d}$中的group elements数量的优化方法：
  

• $FK(f)\leftarrow Setup(SK,PK,f)$算法：
  $f(\vec{x})\in {\mathbb{Z}}_p[\vec{x}]$ 为 an $n$-variate polynomial of maximum degree $d$ over ${\mathbb{Z}}_p$，具有$k$ terms，可由：
  multisets $S_1,S_2,\cdots ,S_k\in {\mathcal{S}}_{n,d}$
  和
  相应的respective coefficients $c_1,c_2,\cdots ,c_k\in {\mathbb{Z}}_p$
  来表示。（如（2.1）方程式所示。）
  Setup算法利用$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$ 来计算特定的polynomial public key，即：
  $FK(f)=g^{f(\vec{t})}=(g^{{\prod }_{i\in S_1}{t}_i^{S_1(i)}}{)}^{c_1}\times (g^{{\prod }_{i\in S_2}{t}_i^{S_2(i)}}{)}^{c_2}\times \cdots \times (g^{{\prod }_{i\in S_k}{t}_i^{S_k(i)}}{)}^{c_k}$
  Setup算法的输出即为function public key $FK(f)$。

• $(v,\vec{w})\leftarrow Compute(PK,f,\vec{a})$算法：
  1）首先计算$v=f(\vec{a})$；
  2）然后找到相应的set of polynomials $q_1(\vec{x}),q_2(\vec{x}),\cdots ,q_n(\vec{x})$，满足$f(\vec{x})-v={\sum }_{i=1}^n(x_i-a_i)q_i(\vec{x})$；
  3）signature $w$为a vector of $n$ witnesses $w_1,w_2,\cdots ,w_n$，其中$w_i=g^{q_i(\vec{t})}$ for all $i\in [n]$。
  注意$w_i$很容易根据$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$来计算。
  Compute最终的输出为 pair $(v,\vec{w})$，其中$v$为多变量多项式evaluate at $\vec{a}$的结果值，$\vec{w}$为the signature of correctness。

• $Verify(PK,FK(f),\vec{a},v,\vec{w})$算法：
  其中$\vec{w}=[w_1,w_2,\cdots ,w_n]$，为了证明$f(\vec{a})=v$，只需验证：
  $e(FK(f)g^{-v},g)={\prod }_{i=1}^{n}e(g^{t_i-a_i},w_i)$
  若成立，则输出1，否则输出0。
  其中，terms $g^{t_i}$ 已包含在$PK$的${\mathcal{W}}_{n,d}$中。

• $FK(f^{\prime })\leftarrow Update(SK,PK,FK(f),f^{\prime })$算法：
  $f$表示current polynomial，$f’$表示需更新成为的new polynomial。
  假设$f^{\prime }$和$f$只有一个系数不同，用$S$来表示the multiset corresponding to that coefficient，即the coefficient $c_S$ corresponding to term ${\prod }_{i\in S}{x}_i^{S(i)}$ 更新为 $c_S^{\prime }$ in $f’$。
  $FK(f)$表示current function public key，则：
  $FK(f^{\prime })=FK(f)\cdot g^{(c_S^{\prime }-c_S){\prod }_{i\in S}{t}_i^{S(i)}}$
  为new function public key。

以上 多变量polynomial evaluation under selective security model 算法，具有如下特性：

其中selective security of an SCC scheme的定义为：

4. 多变量polynomial evaluation under adaptive security model

本节将第3节中的selectively secure SCC scheme 转换为 adaptively security in the random oracle model，同时也可用于构建an adaptively secure PVC scheme under the formulation of Parno [31] without the random oracle model。

核心思想为：（与第3节中的polynomial decomposition多项式分解不同，此处多项式分解中引入了随机数）
若$f(\vec{x})=f(x_1,x_2,\cdots ,x_n)$ evaluates to $f(\vec{a})=f(a_1,a_2,\cdots ,a_n)$，则取任意的随机数$r_1\in {\mathbb{Z}}_p$，将$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)$多项式除以$r_1(x_1-a_1)+x_2-a_2$多项式，其余数$s_1(x_2,x_3,\cdots ,x_n)$多项式与$x_1$无关，即：
$f(x_1,x_2,\cdots ,x_n)=[r_1(x_1-a_1)+x_2-a_2]\cdot q_1(x_1,x_2,\cdots ,x_n)+s_1(x_2,x_3,\cdots ,x_n)$
进一步将$s_1(x_2,x_3,\cdots ,x_n)$ 多项式除以$r_2(x_2-a_2)+x_3-a_3$多项式，其余数多项式为$s_2(x_3,x_4,\cdots ,x_n)$与$x_2$无关。
以此类推，在最终将余数多项式$s_{n-1}(x_n)$除以$x_n-a_n$，相应的余数多项式$s_n\in {\mathbb{Z}}_p$为constant term，与任何变量均无关。
最终$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)$可表示为：
$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)={\sum }_{i\in [n-1]}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]q_i(\vec{x})+(x_n-a_n)q_n(x_n)+s_n$
由于当$(x_1,x_2,\cdots ,x_n)$取值为$(a_1,a_2,\cdots ,a_n)$时，$f(x_1,x_2,\cdots ,x_n)-f(a_1,a_2,\cdots ,a_n)=0$，因此$s_n$应为0值。
可引入随机值$r_1,\cdots ,r_{n-1}$，其中$r_1{r}_2\cdots r_{n-1}\ne 0$，相应的$f(\vec{x})-f(\vec{a})$多项式随机分解可表示为 ：
$f(\vec{x})-f(\vec{a})={\sum }_{i\in [n-1]}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]q_i(\vec{x})+(x_n-a_n)q_n(x_n)$
【对于单变量多项式，相当于有$f(x)-f(a)=(x-a)q(x)$】
对应即为Lemma 2：（详细的证明可参见 本文的full version版本）

其中的$r_1,r_2,\cdots ,r_{n-1}$ 随机值可 chosen “at random” by calling a hash function modeled as a random oracle（详见方程式（4.5））。

基于以上核心思想，adaptively secure SCC scheme的构建思路为：

• $(PK,SK)\leftarrow KeyGen(\lambda ,\mathcal{F})$算法：
  与第3节的相同。

• $FK(f)\leftarrow Setup(SK,PK,f)$算法：
  与第3节的相同。

• $(v,\vec{w})\leftarrow Compute(PK,f,\vec{a})$算法：
  1）将$\vec{a}$解析为$[a_1,a_2,\cdots ,a_n]$，首先计算$v=f(\vec{a})$；
  2）然后使用hash 函数 H : { 0 , 1 ∗ } → Z p H:\{0,1^*\}\rightarrow \mathbb{Z}_p H:{0,1∗}→Zp​（后续会modeled as a random oracle）计算：
  $\forall 1\le i\le n-1:r_i=H(\vec{a}||i)$ …… （4.5）
  根据Lemma 2，找到相应的set of polynomials $q_1(\vec{x}),q_2(\vec{x}),\cdots ,q_n(x_n)$，满足$f(\vec{x})-v={\sum }_{i\in [n-1]}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]q_i(\vec{x})+(x_n-a_n)q_n(x_n)$；
  3）signature $w$为a vector of $n$ witnesses $w=[w_1,w_2,\cdots ,w_{n-1},polynomial{q}_n(x_n)]$，其中$w_i=g^{q_i(\vec{t})}$ for all $i\in [n-1]$。而the polynomial $q_n(x_n)$ 为degree at most $d$的单变量多项式，其包含了the description of the polynomial，即 最多有$d$个系数${\beta }_d,\cdots ,{\beta }_0$。
  注意$w_i$很容易根据$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$来计算。
  Compute最终的输出为 pair $(v,\vec{w})$，其中$v$为多变量多项式evaluate at $\vec{a}$的结果值，$\vec{w}$为the signature of correctness。

• $Verify(PK,FK(f),\vec{a},v,\vec{w})$算法：
  1）将$\vec{a}$解析为$[a_1,a_2,\cdots ,a_n]$；
  2）将$\vec{w}$解析为$[w_1,w_2,\cdots ,w_{n-1},polynomial{q}_n(x_n)]$
  3）为了证明$f(\vec{a})=v$：
  3.1）Verifier首先需要$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$来计算$g^{q_n(t_n)}$；
  3.2）然后计算相应的random values $r_1,r_2,\cdots ,r_{n-1}$：
  $\forall 1\le i\le n-1:r_i=H(\vec{a}||i)$ …… （4.5）
  3.3）最后验证：
  $e(FK(f)g^{-v},g)={\prod }_{i=1}^{n-1}e(g^{r_i(t_i-a_i)+t_{i+1}-a_{i+1}},w_i)e(g^{t_n-a_n},g^{q_n(t_n)})$ …… （4.6）
  若成立，则输出1，否则输出0。
  其中，terms $g^{t_i}$ 已包含在$PK$的${\mathcal{W}}_{n,d}$中。

• $FK(f’)\leftarrow Update(SK,PK,FK(f),f’)$算法：
  与第3节的相同。

若基于以上adaptively secure SCC构建adaptively secure PVC，可将其中的随机值$r_i$看成是challenge，不再通过hash function modeled as a random oracle输出，改为直接 directly chosen at random (as a challenge) by a client issuing a query to the untrusted server，从而实现了adaptively secure PVC without random oracles。

5. 将SCC scheme用于polynomial differentiation 多项式微分

已知多变量多项式$f(\vec{x})$，需构建SCC for $k$阶导数（对某个变量$x_j$进行求导）${\partial }^{k}f(\vec{x})/\partial x_j^k(\vec{a})$ evaluated at a chosen point $\vec{a}$。

对于有$n$个变量，maximum degree为$d$的多项式$f(\vec{x})$，其terms个数最多为$\left(\genfrac{}{}{0ex}{}{n+d}{d}\right)$，其每个term对所有变量（最多为$n$个变量）的$k$阶导数中最多包含$nk$个多项式——corresponding to all the possible derivatives ($k$ in total) of each possible variable。
最简单的支持verification of derivative computation的实现方式是：
对每个term中所有变量$k$阶导数中所包含的$nk$个多项式进行commit。
此时，对$n$个变量，maximum degree为$d$的多项式，其Setup cost为$O(nk(\genfrac{}{}{0ex}{}{n+d}{d}))$。且当需要做update操作时，需要update all $nk$ polynomials。

而本文构建的支持polynomial differentiation的SCC scheme，其setup cost仅为$O((\genfrac{}{}{0ex}{}{n+d}{d}))$，且支持efficient incremental updates。

针对degree $d$多项式的$k$阶导，即要求$k\le d$，若$k>d$则结果均为0值了。
核心思想为：(与evaluation 情况类似)
（1）微分分解
基本思路为：（与Lemma 1类似）
1）$f(\vec{x})/(x_1-a_1)$，其商为$u_1(\vec{x})$，余数$s_1(\vec{x})$；
2）$s_1(\vec{x})/(x_2-a_2)$，其商为$u_2(\vec{x})$，余数$s_2(\vec{x})$；
3）……
4）$s_{n-2}(\vec{x})/(x_{n-1}-a_{n-1})$，其商为$u_{n-1}(\vec{x})$，余数$s_{n-1}(\vec{x})$，此时$s_{n-1}(\vec{x})$中应只包含变量$x_n$，可将$s_{n-1}(\vec{x})$表示为$s(x_n)$。
5）$s(x_n)/(x_n-a_n{)}^{k+1}$，其商为$q(x_n)$，余数可表示为$c_k{x}_n^k+\cdots +c_1{x}_n+c_0$。
6）最终，整个$f(\vec{x})$可表示为：
$f(\vec{x})={\sum }_{i=1}^{n-1}(x_i-a_i)u_i(\vec{x})+(x_n-a_n{)}^{k+1}q(x_n)+c_k{x}_n^k+\cdots +c_1{x}_n+c_0$
7）从而有，对$f(\vec{x})$的$x_n$求$k$阶导 并 evaluate at $\vec{a}=[a_1,a_2,\cdots ,a_n]$的值为：【同理可推广至对任意变量$x_i$求$k$阶导】
$\frac{{\partial }^{k}f(\vec{x})}{\partial x_n^k}(\vec{a})=k!\cdot c_k$
因为：
$\frac{{\partial }^k(x_i-a_i)u_i(\vec{x})}{\partial x_n^k}(\vec{a})=(x_i-a_i)\frac{{\partial }^k{u}_i(\vec{x})}{\partial x_n^k}(\vec{a})=0$
$\frac{{\partial }^k(x_n-a_n{)}^{k+1}q(x_n)}{\partial x_n^k}(a_n)=0$
$\frac{{\partial }^k(c_k{x}_n^k+\cdots +c_1{x}_n+c_0)}{\partial x_n^k}(a_n)=\frac{{\partial }^k(c_k{x}_n^k)}{\partial x_n^k}(a_n)=k!\cdot c_k$

对应即为Lemma 3：（详细的证明可参见 本文的full version版本）

（2）随机微分分解
随机数$r_1,\cdots ,r_{n-2}\in {\mathbb{Z}}_p$ 且 $r_1{r}_2\cdots r_{n-2}\ne 0$。
基本思路为：（与Lemma 2类似）
1）$f(\vec{x})/(r_1(x_1-a_1)+x_2-a_2)$，其商为$u_1(\vec{x})$，余数$s_1(\vec{x})$；
2）$s_1(\vec{x})/(r_2(x_2-a_2)+x_3-a_3)$，其商为$u_2(\vec{x})$，余数$s_2(\vec{x})$；
3）……
4）$s_{n-3}(\vec{x})/(r_{n-2}(x_{n-2}-a_{n-2})+x_{n-1}-a_{n-1})$，其商为$u_{n-2}(\vec{x})$，余数$s_{n-2}(\vec{x})$；
5）$s_{n-2}(\vec{x})/(x_{n-1}-a_{n-1})$，其商为$u_{n-1}(\vec{x})$，余数$s_{n-1}(\vec{x})$，
此时$s_{n-1}(\vec{x})$中应只包含变量$x_n$，可将$s_{n-1}(\vec{x})$表示为$s(x_n)$。且$u_{n-1}(\vec{x})$中应只包含变量$x_{n_1}$和变量$x_n$。
5）$s(x_n)/(x_n-a_n{)}^{k+1}$，其商为$q(x_n)$，余数可表示为$c_k{x}_n^k+\cdots +c_1{x}_n+c_0$。
6）最终，整个$f(\vec{x})$可表示为：
$f(\vec{x})={\sum }_{i=1}^{n-2}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]u_i(\vec{x})+(x_{n-1}-a_{n-1})u_{n-1}(\vec{x})+(x_n-a_n{)}^{k+1}q(x_n)+c_k{x}_n^k+\cdots +c_1{x}_n+c_0$
7）从而有，对$f(\vec{x})$的$x_n$求$k$阶导 并 evaluate at $\vec{a}=[a_1,a_2,\cdots ,a_n]$的值为：【同理可推广至对任意变量$x_i$求$k$阶导】
$\frac{{\partial }^{k}f(\vec{x})}{\partial x_n^k}(\vec{a})=k!\cdot c_k$

对应即为Lemma 4：（详细的证明可参见 本文的full version版本）

5.1 adaptively secure SCC scheme for polynomial differentiation

基于Lemma 4构建的思路为：

• $(PK,SK)\leftarrow KeyGen(\lambda ,\mathcal{F})$算法：
  与第3节的相同。

• $FK(f)\leftarrow Setup(SK,PK,f)$算法：
  与第3节的相同。

• $(v,\vec{w})\leftarrow Compute(PK,f,\vec{a},k,ind)$算法：
  额外增加了两个变量——$k$和$ind$，表示对多项式的$x_{ind}$变量求$k$阶导，为了描述简单，以下都假设$ind=n$。即以下算法描述的是对多项式的$x_n$变量求$k$阶导 并 evaluate at point $\vec{a}$。
  1）将$\vec{a}$解析为$[a_1,a_2,\cdots ,a_n]$，首先计算$v=f(\vec{a})$；
  2）然后使用hash 函数 H : { 0 , 1 ∗ } → Z p H:\{0,1^*\}\rightarrow \mathbb{Z}_p H:{0,1∗}→Zp​（后续会modeled as a random oracle）计算：
  $\forall 1\le i\le n-2:r_i=H(\vec{a}||ind||k||i)$ …… （5.8）
  根据Lemma 4，找到相应的set of polynomials $u_1(\vec{x}),u_2(\vec{x}),\cdots ,u_{n-1}(\vec{x}),q(x_n)$和系数$c_0,c_1,\cdots ,c_k$，满足$f(\vec{x})={\sum }_{i=1}^{n-2}[r_i(x_i-a_i)+x_{i+1}-a_{i+1}]u_i(\vec{x})+(x_{n-1}-a_{n-1})u_{n-1}(\vec{x})+(x_n-a_n{)}^{k+1}q(x_n)+c_k{x}_n^k+\cdots +c_1{x}_n+c_0$；
  3）signature $w$为a vector of $n$ witnesses $w=[w_1,w_2,\cdots ,w_{n-2},g^{q_{(}{t}_n)},c_{k-1},\cdots ,c_1,c_0,polynomial{u}_{n-1}(\vec{x})]$，其中$w_i=g^{q_i(\vec{t})}$ for all $i\in [n-2]$。而the polynomial $u_{n-1}(\vec{x})$ 为degree at most $d$的双变量（$x_{n-1}$和$x_n$变量）多项式，最多有$d^2$个term，即 最多有$d^2$个系数${\beta }_{d^2-1},\cdots ,{\beta }_0$。同时，signature $w$中部包含$c_k$ term，因为$c_k=v/k!$ 直接计算获得。
  注意$w_i$很容易根据$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$来计算。
  Compute最终的输出为 pair $(v,\vec{w})$，其中$v$为多变量多项式evaluate at $\vec{a}$的结果值，$\vec{w}$为the signature of correctness。

• $Verify(PK,FK(f),\vec{a},v,\vec{w},k,ind)$算法：
  设置$c_k=\frac{v}{k!}$，为了验证$v$ 确实是the outcome of the $k$-th paritial derivative on variable $x_{ind}(ind=n)$ evaluated at point $\vec{a}\in {\mathbb{Z}}_p^n$：
  1）将$\vec{a}$解析为$[a_1,a_2,\cdots ,a_n]$；
  2）将$\vec{w}$解析为$[w_1,w_2,\cdots ,w_{n-2},w_n,c_{k-1},\cdots ,c_1,c_0,polynomial{u}_{n-1}(\vec{x})]$
  3）为了证明$f(\vec{a})=v$：
  3.1）Verifier首先需要$PK$中包含的signature generation set ${\mathcal{W}}_{n,d}$来计算$g^{u_{n-1}(\vec{x})}$；
  3.2）然后计算相应的random values $r_1,r_2,\cdots ,r_{n-2}$：
  $\forall 1\le i\le n-2:r_i=H(\vec{a}||ind||k||i)$ …… （5.8）
  3.3）最后验证：
  $e(FK(f),g)={\prod }_{i=1}^{n-2}e(g^{r_i(t_i-a_i)+t_{i+1}-a_{i+1}},w_i)e(g^{t_{n-1}-a_{n-1}},g^{u_{n-1}(\vec{t})})\cdot e(g^{(t_n-a_n{)}^{k+1}},w_n)\cdot {\prod }_{i=0}^{k}e(g^{t_n^i},g{)}^{c_i}$ …… （4.6）
  若成立，则输出1，否则输出0。
  其中，terms $g^{t_i}$ 已包含在$PK$的${\mathcal{W}}_{n,d}$中。
  整个Verifier的计算复杂度为$O(n+d^2)$次multi-exponentiation计算和$n+k+2$次pairing运算。

• $FK(f’)\leftarrow Update(SK,PK,FK(f),f’)$算法：
  与第3节的相同。

6. 算法开销分析

【Lemma 1中的多项式直接进行分解复杂度为$O(nd(\genfrac{}{}{0ex}{}{n+d}{d}))$，当$d>\log n$时，可使用FFT来进行polynomial division，相应的复杂度可降为$O(n\log n(\genfrac{}{}{0ex}{}{n+d}{d}))$】

7. 展望

7.1 I/O 隐私

本文，client的sensitive input 时明文的，untrusted server可直接读取。为了同时满足input privacy和 output privacy，在由untrusted server运行的Compute算法中，可借助fully-homomorphic public-key encryption scheme [16] （即全同态加密）来实现——operate on encrypted points。

7.2 采用stronger assumption来替换random oracle

采用stronger assumption来替换adaptively secure SCC中的random oracle：

• 使用subexponential assumption：
  
• 限制the size of the domain of the inputs of our polynomials to be subexponential (now it is exponential)：