Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption 学习笔记 1

1. 引言

Stephanie Bayer 2013年博士论文 《Practical Zero-Knowledge Protocols Based on the Discrete Logarithm Assumption》。

---

要点：
1）Lagrange polynomials 具有如下关键特性：
$$l_i(X)=\{\begin{array}{cc}1& \mathrm{m}\mathrm{o}\mathrm{d}X-w_i\\ 0& \mathrm{m}\mathrm{o}\mathrm{d}\frac{l(X)}{X-w_i}\end{array}\text{for}i=1,\cdots ,m$$
因此Hadamard product argument可转为证明：【相比于multi Hadamard product argument，在保持communication complexity不变的情况下，round complexity由 7 降为了 3 。】
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i=\vec{\Delta }(X)l(X)$$ (5.2)

for some $\vec{\Delta }(X)\in ({\mathbb{Z}}_q[X]{)}^n$。
其中$l(X)={\prod }_{j=1}^m(X-w_j)$，$l_i(X)=\frac{{\prod }_{j\ne i}(X-w_j)}{{\prod }_{j\ne i}(w_i-w_j)}\text{for}i=1,\cdots ,m$。还有：

• $l_i(X)\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$
• $l_i(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k\text{for}i\ne k$
• $l(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k\text{for}\forall k$
• $l_i(X)(X-w_i)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}l(X)\text{for}\forall i$

---

zero-knowledge proof允许prover来demonstrate knowledge of some information，如：

• know an element is a member of a list or is not a member of a list, without disclosing any further information about that element。【其实即为membership proof和non-membership proof。】

由于communication complexity和computational complexity 的原因，目前暂无适于所有NP languages 的实用的zero-knowledge proof 构建，但是存在针对特定问题的实用zero-knowledge protocol实现。（如1988年的Guillou and Quisquater’s identification protocol 以及 1991年的Schnorr’s identification protocol。）

本文重点关注的是基于discrete logarithm assumption的相关实现。

本文实现了：

• 单变量polynomial的polynomial evaluation argument；
• 多变量polynomial的polynomial evaluation argument；
• a batch of 单变量polynomial的 batch polynomial evaluation argument；
• 基于polynomial evaluation argument构建了实用的membership argument和non-membership argument。
• 基于polynomial evaluation argument实现了shuffle证明。

以上实现从run-time 和 communication cost两个维度评估了其实用性。经过论证，对于中等量级的参数，本文的实现具有足够的实用性。

• non-membership proof可用于blcaklist 黑名单证明；（如Tor 黑名单访问控制，避免粗暴的IP封锁影响其它无辜的users。）
• membership proof 可用于whitlist access 白名单访问控制或 group signature schemes，也可用于电子拍卖 where users want to prove that their bids belong to a set of approved values，也可用于e-voting（选民需证明其their vote belongs to a certain set and therefore their vote is valid and be counted correctly。同时还需保证无法通过电子选票关联到相应的投票人，及保证选票的匿名性，通常的e-voting protocol都是基于mix-nets的。所谓的mix-net为a multi-party protocol，允许a group of senders to input a number of encrypted messages to the mix-net, which then outputs them in random order。）

通常构建mix-nets可通过shuffles来实现，let mix-servers take turns in shuffling the ciphertexts，即 a shuffle of ciphertexts $C_1,\cdots ,C_n$ is a list of ciphertexts $C_1^{\prime },\cdots ,C_n^{\prime }$ which contain the same plaintexts in permuted order。只要the shuffle为 permutation hiding的，则没有人可link input and output of a shuffle operation，从而可保证mix-net中的匿名性。
permutation hiding可通过re-encrypting the permuted ciphertexts来实现，但是这些ciphertexts存在无法探知是否被替换的问题。因此，需要保证the ouput ciphertexts包含了the same plaintexts as the input ciphertexts，目前实现方式主要有2大类：

• 基于permutation matrices [FS01, Fur05, GL07, Wik09]；
• 基于the invariance of polynomials under permutation of roots [Nef01, GI08, Gro10]。

评估zero-knowledge proof system的维度有：

• round complexity [FS89, BCY91]；
• computational complexity [Sch91]；
• communication complexity。

同时具有efficient communication complexity 和 efficient computational complexity 对于构建zero-knowledge proof systems是有挑战性的。

1.1 本文主要贡献

本文的主要贡献有：

• 1）基于 Groth 2009年论文《Linear algebra with sub-linear zero-knowledge arguments》中的zero-knowledge argument for linear algebra relation构建了a product arggument to show ${\prod }_{i=1}^N{a}_i=b$ for secret $a_i$ and public known $b$。这部分研究成果发表在Eurocrypt 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》。
• 2）基于 Groth 2009年论文《Linear algebra with sub-linear zero-knowledge arguments》中的zero-knowledge argument for linear algebra relation构建了a product arggument to show ${\prod }_{i=1}^N{a}_i=b$ for secret $a_i$ and secret $b$。
• 3）实现了multi Hadamard product argument to show for secret vectors ${\vec{a}}_i,\vec{b}$ that ${\vec{a}}_1\circ \cdots \circ {\vec{a}}_n=\vec{b}$ with sublinear complexity。这部分研究成果发表在Eurocrypt 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》。
• 4）实现了an argument to show that for secret vectors ${\vec{a}}_i,{\vec{b}}_i$ that ${\sum }_{i=1}^m{\vec{a}}_i\ast {\vec{b}}_i=0$, for a bilinear map $\ast :{\mathbb{Z}}_q{\mathbb{Z}}_q\to {\mathbb{Z}}_q$，with sublinear complexity。这部分研究成果发表在Eurocrypt 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》。
• 5）实现了a zero-knowledge argument for committed vectors ${\vec{a}}_i,{\vec{b}}_i,{\vec{c}}_i\in {\mathbb{Z}}_q^n$ 满足${\vec{a}}_i\circ {\vec{b}}_i={\vec{c}}_i$，其中$\circ$ 表示the entry-wise product。该Hadamard product argument是与Jens Groth一起完成的。
• 6）实现的zero-knowledge polynomial evaluation argument 具有 logarithmic communication and computational complexity。这部分研究成果发表在Eurocrypt 2013年论文《Zero-knowledge argument for polynomial evaluation with application to blacklists》。
• 7）指出了如何将单变量polynomial evaluation argument调整为适于多变量polynomial。相应的多变量polynomial evaluation argument具有polylogarithmic communication and computational complexity。
• 8）实现了prove evaluation of $L$ polynomials efficiently at the same time。即batch polynomial evaluation argument。与Jens Groth一起完成的。
• 9）使用polynomial evaluation argument，实现了zero-knowledge non-membership argument to show that a secret value $u$ is not contained in a list $L$。这部分研究成果发表在Eurocrypt 2013年论文《Zero-knowledge argument for polynomial evaluation with application to blacklists》。
• 10）实现了zero-knowledge membership argument to show that a secret value $u$ is contained in a list $L$。这部分研究成果发表在Eurocrypt 2013年论文《Zero-knowledge argument for polynomial evaluation with application to blacklists》。
• 11）实现了batch prove non-membership or membership of multiple lists。
• 12）实现了zero-knowledge argument for shuffle。这部分研究成果发表在Eurocrypt 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》。

1.2 安全假设

1）discrete logarithm assumption：
discrete logarithm assumption在现代密码学和密码学工具中有重要作用，如可用于EIGamal encryption、Pedersen commitment等。
discrete logarithm assumption 定义为：
group $\mathbb{G}$的order为$n$，即存在a generator $G\in \mathbb{G}$使得 G = { G , G 2 , ⋯   , G n − 1 , G n = 1 } \mathbb{G}=\{G,G^2,\cdots,G^{n-1},G^n=1\} G={G,G2,⋯,Gn−1,Gn=1} 且 $G^x\ne 1$ for $x<n$。The discrete logarithm of $H$ is an element $x\in {\mathbb{Z}}_n$ for which $H=G^x$ holds。

discrete logarithm assumption成立的group类型有：

• certain prime order groups，如an order $q$ subgroup of ${\mathbb{Z}}_p^{\ast }$ where $p$ and $q$ are large primes。
• a group of points on an elliptic curve or on a hyper-elliptic curve。

破解discrete logarithm assumption的算法主要有三类：

• 第一类为generic alogrithms，即不区分具体待破解对象；【即暴力破解法，当group order $n$很大时，很难破解。Baby Step-Giant Step [Sha71] 改进了破解run time为$O(\sqrt{n})$，且需要$O(\sqrt{n})$ space；Pollard’s $\rho$ method [Pol78] 则对space无要求，Pollard’s $\rho$ can be set up with constant size space；Shoup [Sho97] 中指出the lower bound of group operations to perform 不少于$\Omega (\sqrt{p})$，其中$p$ is prime and divides the group order $n$ and for all primes $q$, $q|n$ and it holds $q\le p$，即意味着for groups with prime order $p$ it is not possible to improve on the runtime of $\Omega (\sqrt{p})$ using genric algorithms。】
• 第二类为适于具有smooth group order的group （即a group order is smooth if it is the product of small primes）；【Pohlig-Hellman [PH78]的算法效率最该，需执行$O({\sum }_{i=1}^k{c}_i(\log n+p_i))$ 次group operations for $n={\prod }_{i=1}^k{p}_i^{c_i}$。因此实际因避免使用order具有small prime factors 的group。】
• 第三类为适于存在smooth group elements，即其可表示为products of primes smaller than a certain boundary $\alpha$。【具有subexponential run-time。】

2）Schwartz-Zippel Lemma：

1.3 一些约定

• 本文的encryption scheme和commitment scheme可使用不同的underlying groups，但是要求这两个group具有相同的primer order $q$。
  在本文，以$\mathbb{G}$表示commitment scheme中的group，以$\mathbb{H}$表示ciphertext space。

• $\vec{X}\circ \vec{Y}=(X_1{Y}_1,\cdots ,X_n{Y}_n)$ 表示the entry-wise product。
  ${\vec{X}}^z=(X_1^z,\cdots ,X_n^z)$
  ${\vec{x}}_{\pi }$ 表示the entries of vector $\vec{x}$ are permuted by the permutation $\pi$，即${\vec{x}}_{\pi }=(x_{\pi (1)},\cdots ,x_{\pi (n)})$
  $\vec{x}\cdot \vec{y}={\sum }_{i=1}^n{x}_i{y}_i$为标准的inner product。

2. Commitment scheme

commitment scheme通常由3个算法组成：

• probabilistic key generation algorithm $\mathcal{G}$：输入为security parameter $1^{\lambda }$，输出为：
  – public commitment key $ck$
  – message space ${\mathcal{M}}_{ck}$
  – randomizer space ${\mathcal{R}}_{ck}$
  – commitment space ${\mathcal{C}}_{ck}$
  – opener space ${\mathcal{O}}_{ck}$

• commitment alogrithm $co{m}_{ck}$：输入为$m\in {\mathcal{M}}_{ck}$和$r\in {\mathcal{R}}_{ck}$，输出为$c_m=co{m}_{ck}(m;r)$，即为the commitment of $m$。

• opening algorithm $o{p}_{ck}$：输入为$d\in {\mathcal{O}}_{ck}$和commitment $c_m$，输出为the original message $m=o{p}_{ck}(c_m,d)$。在很多commitment schemes中，the opening $d$通常包含了the message $m$和the randomness $r$。

要求commitment scheme 具有hiding和binding属性。
此外，commitment scheme也可具有trapdoor属性（如chameleon commitment），此时，probabilistic key generation algorithm $\mathcal{G}$ 额外再输出 trapdoor $t$信息，从而允许open a commitment $c_m=co{m}_{ck}(m;r)$ to any message $m^{\prime }$。换句话说，就是 without knowledge of the trapdoor $t$ the commitment scheme is binding, but given the trapdoor it is possible to cheat arbitrarily。

Pedersen commitment具有加法同态属性：

3. encryption scheme

public key encryption scheme 通常由3个算法组成：

• key generation algorithm $\mathcal{G}$：输入为security parameter $1^{\lambda }$，输出为：
  – public key $pk$
  – secret key $sk$
  – message space ${\mathcal{M}}_{pk}$
  – randomizer space ${\mathcal{R}}_{pk}$
  – cipher space ${\mathcal{C}}_{pk}$

• encryption algorithm $\epsilon$：输入为$M\in {\mathcal{M}}_{pk}，r\in {\mathcal{R}}_{pk}$ 和 public key $pk$，输出为$C=\epsilon (M,r,pk)\in {\mathcal{C}}_{pk}$。以下表示为$\epsilon (M,r,pk)={\epsilon }_{pk}(M,r)$。

• decryption algorithm $\mathcal{D}$：输入为$C\in {\mathcal{C}}_{pk}$ 和 secret key $sk$，输出为$M=\mathcal{D}(C,sk)\in {\mathcal{M}}_{pk}$ or $\perp$ for failure。以下表示为$\mathcal{D}(C,sk)={\mathcal{D}}_{sk}(C)$。

encryption scheme应具有IND-CPA属性，即 indistinguishable under chosen plaintext attack (IND-CPA)。

EIGamal encryption具有乘法同态属性：

与SHVZK (special honest verifier zero-knowledge) 对应的是 malicious verifier，malicious verifier提供的是non-random challenges。

4. 相应实现

采用C++，基于NTL libaray provided by Shoup [Sho09] 和 GMP [GMP11] 做了相应的代码实现。

• modular group 选型：
  – 不同primes $p$ with different bit-sizes对用的安全等级：
  
  – group generation：
  
• 乘法优化：
  在polynomial evaluation argument和blacklist argument中，需要multiply many big polynomials，可通过Fast Fourier Transform (FFT) [CT65] 实现性能优化。the multiplication of two degree $D$ polynomials costs $\Omega (D\log D)$ multiplications。
  而对于如下计算可通过binary tree来实现性能优化：
  
• multi-exponentiation 优化：
  对于$co{m}_{ck}(a_1,\cdots ,a_n;r)=H^r{\prod }_{i=1}^n{G}_i^{a_i}$，若直接计算需要$n+1$个single exponentiations。当$n$很大时，计算量很大，可借助Lim [Lim00]中提到的Brickell’s precomputation alogrithm [BGMW98] 来进行优化，当$n\le 1000$时，可使用Lim-Lee’s algorithm [Lim00]，当$n=2$时，可选择the sliding window algorithm [Lim00]。
  – Sliding Window Alogirhtm：
  当$n$值很小时（2~4），sliding window algorithm可提供最优的性能。
  
  – Lim-Lee’s Pre-computation技术：
  当$n$为中等规模大时，可使用Lim-Lee‘s pre-computation技术，其性能要优于 the sliding window technique和Brickell’s technique。
  
  – Brickell’s pre-computation algorithm：
  当$n$很大时，适于用Brickell’s pre-computation algorithm来实现multi-exponentiation。
  

5. 基础协议

5.1 simple product argument

详细的证明思路与博客 基于Sigma protocol实现的零知识证明protocol集锦
中第 “2.9 knowledge of commitment opening product relation or multiplication relation”一样。

整个proof size为 3 group elements和 5 field elements。

• Prover：需6次exponentiations in $\mathbb{G}$和6次multiplications。
• Verifier：需9次exponentiations in $\mathbb{G}$和4次multiplications。

5.2 Invertible argument

详细的证明思路与博客 基于Sigma protocol实现的零知识证明protocol集锦
中第 “2.14 commitment to 非0”一样。

即commitment的值$v$为非0值，存在倒数$v^{-1}$。

5.3 product argument

在 Groth 2009年论文《Linear algebra with sub-linear zero-knowledge arguments》的基础上进行了改进，详细参见Eurocrypt 2012年论文《Efficient zero-knowledge argument for correctness of a shuffle》，针对的场景为：

• public info：commitments ${\vec{c}}_A$ 和 value $b$；
• witness： A = { a i , j } i , j = 1 n , m = ( a ⃗ 1 , a ⃗ 2 , ⋯   , a ⃗ m ) A=\{a_{i,j}\}_{i,j=1}^{n,m}=(\vec{a}_1,\vec{a}_2,\cdots,\vec{a}_m) A={ai,j​}i,j=1n,m​=(a 1​,a 2​,⋯,a m​) 和 $\vec{r}=(r_1,r_2,\cdots ,r_m)$
• relation：$b={\prod }_{i=1}^n{\prod }_{j=1}^m{a}_{ij}={\prod }_{i=1}^n({\prod }_{j=1}^m{a}_{ij})$ 且 ${\vec{c}}_A=co{m}_{ck}(A;\vec{r})=(co{m}_{ck}({\vec{a}}_1;r_1),\cdots ,co{m}_{ck}({\vec{a}}_m;r_m))$

详细的证明思路可参见博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）
。

其证明过程由以下三组argument组成：

• Multi Hadamard product argument
• zero argument
• single value product argument

5.3.1 Multi Hadamard product argument

Multi Hadamard product argument针对的场景为：

Multi Hadamard product argument为：

5.3.2 zero argument

zero argument为：

可使用FFT对Prover的计算压力进行优化：

5.3.3 single value product argument for public $b$

single value product argument for public $b$ 为：

5.3.4 single value product argument for secret $b$

相比于single value product argument for public $b$，不再限制${\delta }_n=0$，需单独对${\delta }_n$进行commit，并在验证环节中由验证$\tilde{b}=xb$改为验证$c_b^x{c}_{{\delta }_n}=co{m}_{ck}({\bar{b}}_n;\bar{s})$。

5.4 Hadamard Product Argument

针对的场景为：
knowledge for committed vectors
$${\vec{a}}_1,{\vec{b}}_1,{\vec{c}}_1,\cdots ,{\vec{a}}_m,{\vec{b}}_m,{\vec{c}}_m\in {\mathbb{Z}}_q^n$$
satisfying
$${\vec{a}}_i\circ {\vec{b}}_i={\vec{c}}_i$$

若采用5.3.1节中的multi Hadamard product argument来证明的花，则需要7 rounds of interaction，详细见[Gro09] 博客 Linear Algebra with Sub-linear Zero-Knowledge Arguments学习笔记
。

本文改进为仅需要 3 round 且 communication complexity与Groth’s Hadamard product相同。

核心思想为：
借鉴 [GGPR13] Gennaro等人2013年论文《 Quadratic span programs and succinct nizks without pcps》第4章中 quadratic arithmetic programs 的构建，本文使用了Lagrange interpolation polynomials。
针对a set of values Ω = { w 1 , ⋯   , w m } ⊂ Z q \Omega=\{w_1,\cdots,w_m\}\subset\mathbb{Z}_q Ω={w1​,⋯,wm​}⊂Zq​，相应的Langrange interpolation polynomials为：
$$l_i(X)=\frac{{\prod }_{j\ne i}(X-w_j)}{{\prod }_{j\ne i}(w_i-w_j)}\text{for}i=1,\cdots ,m$$

可定义$l(X)={\prod }_{j=1}^m(X-w_j)$。本文只要求$w_1,\cdots ,w_m$为不同的，不过为了效率，通常选择为$n$-th root of unity值。当为$n$-th root of unity时，可借助FFT来加速相关计算。

Lagrange polynomials具有如下关键特性：
$$l_i(X)=\{\begin{array}{cc}1& \mathrm{m}\mathrm{o}\mathrm{d}X-w_i\\ 0& \mathrm{m}\mathrm{o}\mathrm{d}\frac{l(X)}{X-w_i}\end{array}\text{for}i=1,\cdots ,m$$

则Prover需要证明的内容变为了：
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i=\vec{\Delta }(X)l(X)$$ (5.2)

for some $\vec{\Delta }(X)\in ({\mathbb{Z}}_q[X]{)}^n$。

以上证明内容具有knowledge soundness和completeness，因为：
for all $k=1,\cdots ,m$，由于$l_i(X)\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$ 且 $l_i(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k\text{for}i\ne k$，因此有：
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i\equiv {\vec{a}}_k\circ {\vec{b}}_k-{\vec{c}}_k\mathrm{m}\mathrm{o}\mathrm{d}X-w_k$$

由于$l(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_k$，因此对于公式（5.2）成立的条件为确实 ${\vec{a}}_k\circ {\vec{b}}_k-{\vec{c}}_k=\vec{0}$ for all $k=1,\cdots ,m$ 。

completeness的考量如下，若${\vec{a}}_k\circ {\vec{b}}_k-{\vec{c}}_k=\vec{0}$成立，则有：
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i\equiv {\vec{a}}_k\circ {\vec{b}}_k-{\vec{c}}_k\mathrm{m}\mathrm{o}\mathrm{d}X-w_1$$
$$⋮$$
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i\equiv {\vec{a}}_k\circ {\vec{b}}_k-{\vec{c}}_k\mathrm{m}\mathrm{o}\mathrm{d}X-w_m$$

由于$w_i\ne w_j$ for $i\ne j$，因此所有的$X-w_i$为coprime的，根据Chinese Remainder Theorem有：
$$(\sum _{i=1}^m{l}_i(X){\vec{a}}_i)\circ (\sum _{j=1}^m{l}_j(X){\vec{b}}_j)-\sum _{i=1}^m{l}_i(X){\vec{c}}_i\equiv \vec{0}\mathrm{m}\mathrm{o}\mathrm{d}l(X)$$

这就意味着存在$\vec{\Delta }(X)$，Prover可计算出来，从而证明了completeness。

为了证明公式公式（5.2）成立，Prover需发送commitments $c_{{\Delta }_0},\cdots ,c_{{\Delta }_m}$ to ${\vec{\Delta }}_i\in {\mathbb{Z}}_q^n$ such that $\vec{\Delta }(X)={\sum }_{i=0}^m{\vec{\Delta }}_i{X}^i$。
On random challenge $x\leftarrow {\mathbb{Z}}_q^{\ast }\setminus \Omega$ the prover opens
$$\prod _{i=1}^m{c}_{a_i}^{l_i(x)}\prod _{i=1}^m{c}_{b_i}^{l_i(x)}\prod _{i=1}^m{c}_{c_i}^{l_i(x)}\prod _{i=1}^m{c}_{{\Delta }_i}^{x^i}$$

to

$$\overline{\stackrel{⃗}{a}}=\sum _{i=1}^m{\vec{a}}_i{l}_i(x)\overline{\stackrel{⃗}{b}}=\sum _{i=1}^m{\vec{b}}_i{l}_i(x)\overline{\stackrel{⃗}{c}}=\sum _{i=1}^m{\vec{c}}_i{l}_i(x)\overline{\stackrel{⃗}{\Delta }}=\sum _{i=1}^m{\vec{\Delta }}_i{x}^i$$

Verifier 仅需验证$\overline{\stackrel{⃗}{a}}\circ \overline{\stackrel{⃗}{b}}-\overline{\stackrel{⃗}{c}}=\overline{\stackrel{⃗}{\Delta }}\cdot l(x)$ 是否成立即可。

以上证明过程不具有zero-knowledge属性，为了防止$\overline{\stackrel{⃗}{a}},\overline{\stackrel{⃗}{b}},\overline{\stackrel{⃗}{c}}$ 泄露信息，Prover会选择随机向量${\vec{a}}_0,{\vec{b}}_0,{\vec{c}}_0\leftarrow {\mathbb{Z}}_q^n$，然后定义：
$$\overline{\stackrel{⃗}{a}}={\vec{a}}_{0}l(x)+\sum _{i=1}^m{\vec{a}}_i{l}_i(x)\overline{\stackrel{⃗}{b}}={\vec{b}}_{0}l(x)+\sum _{i=1}^m{\vec{b}}_i{l}_i(x)\overline{\stackrel{⃗}{c}}={\vec{c}}_{0}l(x)+\sum _{i=1}^m{\vec{c}}_i{l}_i(x)$$

由于${\vec{a}}_0,{\vec{b}}_0,{\vec{c}}_0$为随机选择的，以此以上求和操作不会泄露任何关于${\vec{a}}_i,{\vec{b}}_i,{\vec{c}}_i$的信息，除非$l(x)=0$。而当challenges不在$\Omega$内时，$l(x)$不可能为0。同时有$l(X)\equiv 0\mathrm{m}\mathrm{o}\mathrm{d}X-w_i$ for all $i=1,\cdots ,m$ 使得存在$\vec{\Delta }(X)\in ({\mathbb{Z}}_q[X]{)}^n$ 使 $\overline{\stackrel{⃗}{a}}\circ \overline{\stackrel{⃗}{b}}-\overline{\stackrel{⃗}{c}}=\overline{\stackrel{⃗}{\Delta }}(X)l(X)$ 成立。

详细的证明过程为：


相应的communication complexity和computation complexity为：