Zcash中的加解密机制

1. 引言

接前序博客 Zcash中的Notes。

Sapling note的组成为tuple $\mathbf{n}=(d,p{k}_d,v,rcm)$，其中：

• $d$：为接收方的shielded payment address对应的diversifier值。【为88bit，${\mathbb{B}}^{[l_d]}$】
• $p{k}_d$：为接收方的shielded payment address对应的diversified transmission key。【为Jubjub point，$K{A}^{Sapling}.PublicPrimeSubgroup$】
• $v$：取值范围为$\text{MAX\_MONEY}$，代表note中的value值，单位为zatoshi。
• $rcm$：为random commitment trapdoor。【$NoteCommi{t}^{Sapling}.Trapdoor$】

$memo$为与该note关联的512字节的memo field。

1.1 相关约定

• $l_{ovk}$：为256。
• $Sym$：为Symmetric Encryption scheme。
• $KA$：为Sapling key agreement scheme $K{A}^{Sapling}$。
• $KDF$：为Sapling key derivation function $KD{F}^{Sapling}$。
  

void KDF_Sapling(
    unsigned char K[NOTEENCRYPTION_CIPHER_KEYSIZE],
    const uint256 &dhsecret,
    const uint256 &epk
)
{
    unsigned char block[64] = {};
    memcpy(block+0, dhsecret.begin(), 32);
    memcpy(block+32, epk.begin(), 32);

    unsigned char personalization[BLAKE2bPersonalBytes] = {};
    memcpy(personalization, "Zcash_SaplingKDF", 16);

    auto state = blake2b_init(NOTEENCRYPTION_CIPHER_KEYSIZE, personalization);
    blake2b_update(state, block, 64);
    blake2b_finalize(state, K, NOTEENCRYPTION_CIPHER_KEYSIZE);
    blake2b_free(state);
}

• $\mathbb{G}$：为Jubjub中的subgroup $\mathbb{J}$。$\mathbb{J}$ group具有的order为$h_{\mathbb{J}}\cdot r_{\mathbb{J}}$，其中$r_{\mathbb{J}}$为prime。

• $l_{\mathbb{G}}$：为Jubjub中的$l_{\mathbb{J}}=256$。

• $rep{r}_{\mathbb{J}}$：为Jubjub中的$rep{r}_{\mathbb{J}}$。即将group point以256-bit表示。

• $abs{t}_{\mathbb{J}}$：为将256-bit转换为Jubjub上的group point。

• $Extrac{t}_{{\mathbb{G}}^{(r)}}$：为Jubjub中的$Extrac{t}_{{\mathbb{J}}^{(r)}}$——Coordinate Extractor for Jubjub。实际即为提取Jubjub point的$u$坐标值，$Extrac{t}_{{\mathbb{J}}^{(r)}}(P)=l2LEBS{P}_{l_{Merkle}^{Sapling}}(\mathcal{U}(P))$，其中$\mathcal{U}(P)=\mathcal{U}((u,v))=u$，同时约定，若$P=(u,v)\in {\mathbb{J}}^{(r)}$，则$(u,-v)\notin {\mathbb{J}}^{(r)}$。${\mathbb{J}}^{(r)}$为prime order group。

• $PR{F}^{ock}$：为Pseudo Random Function $PR{F}^{ockSapling}$。$PR{F}^{ockSapling}$用于派生the outgoing cipher key $ock$ used to encrypt an outgoing ciphertext。其采用BLAKE2b hash函数来实例化：
  $PR{F}_{ovk}^{ockSapling}(cv,cmu,ephemeralKey)=BLAKE2b-256("Zcas{h}_{D}eriv{e}_{o}ck",ockInput)$，其中$ockInput$为：
  
  $BLAKE2b-256("Zcas{h}_{D}eriv{e}_{o}ck",ockInput)$必须为PRF，其输出为对称加密中的秘钥$Sym.K={\mathbb{B}}^{[256]}$（为256-bit key）。

• $DiversifyHash$：为$DiversifyHas{h}^{Sapling}$ hash函数，用于派生a diversified base $g_d$。 D i v e r s i f y H a s h S a p l i n g : B [ l d ] → J ( r ) ∗ ∪ { ⊥ } DiversifyHash^{Sapling}: \mathbb{B}^{[l_d]}\rightarrow \mathbb{J}^{(r)^*}\cup \{\perp\} DiversifyHashSapling:B[ld​]→J(r)∗∪{⊥}，实际实现为：
  $DiversifyHas{h}^{Sapling}(d)=GroupHas{h}_U^{{\mathbb{J}}^{(r{)}^{\ast }}}("Zcas{h}_{g}d",LEBS2OS{P}_{l_d}(d))$
  其中$U$为MPC randomness beacon，$GroupHas{h}_U^{{\mathbb{J}}^{(r{)}^{\ast }}}$为Group Hash into Jubjub算法，输出为Jubjub point：
  

• $NoteCommitment$：为“Notes”章节中的$NoteCommitmen{t}^{Sapling}$。
  

• $ToScalar$：为Sapling Key Components中的$ToScala{r}^{Sapling}$。$ToScala{r}^{Sapling}(x:{\mathbb{B}}^{{\mathbb{Y}}^{[l_{PRFexpand}/8]}})=LEOS2I{P}_{l_{PRFexpand}}(x)(\mathrm{m}\mathrm{o}\mathrm{d}{r}_{\mathbb{J}})$，输入为64byte值，输出为Jubjub的Scalar值。

1.2 对称加密

令$Sym$ 为authenticated one-time symmetric encryption scheme with keyspace $Sym.\mathbf{K}$，对应的明文为$Sym.\mathbf{P}$，对应的密文为$Sym.\mathbf{C}$。
【此处的“one-time”是指，honest protocol参与方仅使用特定的key对一个消息进行加密，不会将该key用于重复加密。但是对于adversary来说，其可能对同一key用多个adaptive chosen ciphertext进行query。】

加密算法$Sym.Encrypt$为：$Sym.\mathbf{K}\times Sym.\mathbf{P}\to Sym.\mathbf{C}$。
解密算法$Sym.Decrypt$为： S y m . K × S y m . C → S y m . P ∪ { ⊥ } Sym.\mathbf{K}\times Sym.\mathbf{C}\rightarrow Sym.\mathbf{P}\cup \{\perp\} Sym.K×Sym.C→Sym.P∪{⊥}。

对应任意的$K\in Sym.\mathbf{K}$ 和 $P\in Sym.\mathbf{P}$，有$Sym.Decryp{t}_K(Sym.Encryp{t}_K(P))=P$。
$\perp$用于表示the decryption of an invalid ciphertext。

2. In-band secret distribution (Sapling)——in-band秘密分发

在Sapling中，note中需要秘密发送给接收方的信息有$d,v,rcm$，同时也发送相应的memo field。

为了在不需要out-of-band communication channel的情况下将这些秘密安全的发送给接收方，会使用diversified transmission key $p{k}_d$对这些秘密进行加密。拥有相应incoming viewing key $ivk$的接收方可重构出原始的note和memo field。

与Sprout不同，每个Sapling shielded output会用新的ephemeral public key来加密。

2.1 Encryption (Sapling)

• $p{k}_d$：为 the diversified transmission key for the intended recipient address of a new Sapling note。为Jubjub point，$KA.PublicPrimeSubgroup$。
• $g_d$：为diversifier $d$对应的diversified base，$g_d=DiversifyHash(d)$。为Jubjub point，$KA.PublicPrimeSubgroup$。

仅在sending notes环节会对Sapling notes进行加密，此处可假设$g_d$已计算且不为$\perp$。同时此处也假设ephemeral private key $esk$也已选定。

$ovk$： B Y [ l o v k / 8 ] ∪ { ⊥ } \mathbb{B}^{\mathbb{Y}^{[l_{ovk}/8]}}\cup \{\perp\} BY[lovk​/8]∪{⊥}，为可用于decrypt 该payment的outgoing viewing key，$ovk$的取值可为以下之一：

• payment发送方（或发送方之一）的outgoing viewing key；
• the outgoing viewing key for all payments associated with an “account”，具体见ZIP-32中定义。
• 为$\perp$，if the sender should not be able to decrypt the payment once it has deleted its own copy。

n p = ( l e a d B y t e : B Y , d : B [ l d ] , v : { 0.. 2 l v a l u e − 1 } , m e m o : B Y [ 512 ] ) \mathbf{np}=(leadByte:\mathbb{B}^{\mathbb{Y}}, d:\mathbb{B}^{[l_d]},v:\{0..2^{l_{value}}-1\}, memo:\mathbb{B}^{\mathbb{Y}^{[512]}}) np=(leadByte:BY,d:B[ld​],v:{0..2lvalue​−1},memo:BY[512])：为Sapling note plaintext。【实际代码实现时，SaplingNotePlaintext组成为(leadbyte, note, memo)，具体见github.com/zcash/zcash/src/zcash/note.hpp中相关定义，即实际 n p = ( l e a d B y t e : B Y , d : B [ l d ] , v : { 0.. 2 l v a l u e − 1 } , m e m o : B Y [ 512 ] , p k d , r c m ) \mathbf{np}=(leadByte:\mathbb{B}^{\mathbb{Y}}, d:\mathbb{B}^{[l_d]},v:\{0..2^{l_{value}}-1\}, memo:\mathbb{B}^{\mathbb{Y}^{[512]}}, pk_d, rcm) np=(leadByte:BY,d:B[ld​],v:{0..2lvalue​−1},memo:BY[512],pkd​,rcm)】

$cv$：为Output description中的value commitment。
$cm$：为Output description中的note commitment。

需要使用$cm,cv$来派生the outgoing cipher key $ock$，需要利用outgoing cipher key $ock$来加密生成 outgoing ciphertext $C^{out}$。

详细的加密流程为：
1）令$P^{enc}$为$\mathbf{n}\mathbf{p}$的raw encoding。
2）令$epk=KA.DerivePublic(esk,g_d)$。
3）令$ephemeralKey=LEBS2OS{P}_{l_{\mathbb{G}}}(rep{r}_{\mathbb{G}}(epk))$。
4）令$sharedSecret=KA.Agree(esk,p{k}_d)$。
5）令$K^{enc}=KDF(sharedSecret,ephemeralKey)$，其输入为the shared Diffie-Hellman secret $sharedSecret$ 和 the ephemeral public key $epk$，输出为对称加密中的秘钥。$KD{F}^{Sapling}:K{A}^{Sapling}.SharedSecret\times {\mathbb{B}}^{{\mathbb{Y}}^{[l_{\mathbb{J}}/8]}}\to Sym.\mathbf{K}$。
6）对称加密 $C^{enc}=Sym.Encryp{t}_{K^{enc}}(P^{enc})$
7.1）若$ovk=\perp$，则选择随机$ock{\leftarrow }_{R}Sym.\mathbf{K},\mathbf{o}\mathbf{p}{\leftarrow }_R{\mathbb{B}}^{{\mathbb{Y}}^{[(l_{\mathbb{G}}+256)/8]}}$。
7.2）若$ovk\ne \perp$，则有：
令$cv=LEBS2OS{P}_{l_{\mathbb{G}}}(rep{r}_{\mathbb{G}}(cv))$
令$cm\ast =LEBS2OS{P}_{256}(Extrac{t}_{{\mathbb{G}}^{(r)}}(cm))$。【实际为encode the $u$-coordinate of the note commitment。】
令$ock=PR{F}_{ovk}^{ock}(cv,cm\ast ,ephemeralKey)$
令$\mathbf{o}\mathbf{p}=LEBS2OS{P}_{l_{\mathbb{G}}+256}(rep{r}_{\mathbb{G}}(p{k}_d)||l2LEBS{P}_{256}(esk))$
8）对称加密 $C^{out}=Sym.Encryp{t}_{ock}(\mathbf{o}\mathbf{p})$。

最终加密后的transmitted note ciphertext 为 $(ephemeralKey,C^{enc},C^{out})$。

注意：若改为依赖于out-of-band transmission of the note to the recipient，从技术角度来看，可将特定note的$C^{enc}$替换为随机（且不可解密）的密文。此时，为了保证indistinguishability from other Output descriptions，ephemeral key 仍然必须生成为random public key（而不是a random bit sequence）。这种操作模式有其它安全性的考量，如如何validate a Sapling note received out-of-band，在zcash协议文档中未详细阐述。

2.2 采用incoming viewing key来解密（Sapling）【接收方】

• $ivk$： { 0.. 2 251 − 1 } \{0..2^{251}-1\} {0..2251−1}，为接收方的incoming viewing key。
• $(ephemeralKey,C^{enc},C^{out})$：为the transmitted note ciphertext from the Output description。
• $cm\ast$：为Output description的$cmu$ field。

接收方将尝试解密transmitted note ciphertext中的$ephemeralKey$和$C^{enc}$，具体的解密流程为：
1）令$epk=abs{t}_{\mathbb{G}}(ephemeralKey)$，若$epk=\perp$，则返回$\perp$。
2）令$sharedSecret=KA.Agree(ivk,epk)$。
3）令$K^{enc}=KDF(sharedSecret,ephemeralKey)$，其输入为the shared Diffie-Hellman secret $sharedSecret$ 和 the ephemeral public key $epk$，输出为对称加密中的秘钥。$KD{F}^{Sapling}:K{A}^{Sapling}.SharedSecret\times {\mathbb{B}}^{{\mathbb{Y}}^{[l_{\mathbb{J}}/8]}}\to Sym.\mathbf{K}$。
4）对称解密 $P^{enc}=Sym.Decryp{t}_{K^{enc}}(C^{enc})$，若$P^{enc}=\perp$，则返回$\perp$。
5）decode $P^{enc}$，提取 n p = ( l e a d B y t e : B Y , d : B [ l d ] , v : { 0.. 2 l v a l u e − 1 } , m e m o : B Y [ 512 ] , p k d , r c m ) \mathbf{np}=(leadByte:\mathbb{B}^{\mathbb{Y}}, d:\mathbb{B}^{[l_d]},v:\{0..2^{l_{value}}-1\}, memo:\mathbb{B}^{\mathbb{Y}^{[512]}}, pk_d, rcm) np=(leadByte:BY,d:B[ld​],v:{0..2lvalue​−1},memo:BY[512],pkd​,rcm)
6）令$rcm=LEOS2I{P}_{256}(rcm)$，$g_d=DiversifyHash(d)$，若$rcm\ge r_{\mathbb{G}}或g_d=\perp$，则返回$\perp$。
7）计算$p{k}_d=KA.DerivePublic(ivk,g_d)$。
8）令$\mathbf{n}=(d,p{k}_d,v,rcm)$
9）计算$cm{\ast }^{\prime }=NoteCommitment(\mathbf{n})$，若$l2LEOS{P}_{256}(Extrac{t}_{{\mathbb{G}}^{(r)}}(cm{\ast }^{\prime }))=cm\ast$不成立，则返回$\perp$。
10）最终解密结果为 $(\mathbf{n},memo)$。

注意：
1）通常情况下，只有区块交易中的transmitted note ciphertexts 需要被解密。此时，任何received Sapling note都必须为positioned note，使得可快速计算相应的$\rho$值。
2）在Sapling中，每个positioned note有关联的$\rho$值，该$\rho$值可根据note commitment $cm$ 和 note position $pos$计算出来：
$\rho =MixingPedersenHash(cm,pos)$
对于Sapling note，其nullifier $nf$ 可derived as $PR{F}_{nk\star }^{nfSapling}(\rho \star )$，其中$nk\star$代表与note关联的nullifier deriving key，$\rho \star =rep{r}_{\mathbb{J}}(\rho )$。
3）判断某个Sapling note是否为unspent的，需用到nullifier deriving key，并根据以上公式计算出nullifier值，判断该nullifier值是否在区块链的nullifier set中，若在，则表示该Sapling note已花费。
4）从区块链节点的角度来看，note由unspent变为spent是通过best valid block chain中的新交易实现的。若区块链重构了，选择了一条不同的best valid block chain，则可能会存在某个note 为output的交易不在区块链中的情况。
5）客户端可能会尝试解密mempool中交易的transmitted note ciphertext。但是，此时，不应假设该交易即将mined，而应将解密后的信息看成是临时的、私有的。？？？

2.3 采用full viewing key解密（Sapling）【发送方的outgoing viewing key】

• $ovk$：${\mathbb{B}}^{{\mathbb{Y}}^{[l_{ovk}/8]}}$，为发送方的outgoing viewing key。【若加密过程中使用的$ovk$为$\perp$，则该payment无法用本节办法解密。】
• $(ephemeralKey,C^{enc},C^{out})$：为the transmitted note ciphertext from the Output description。
• $cm\ast$：为Output description的$cmu$ field。
• $cv$：为Output description的$cv$ field。

拥有outgoing viewing key的发送方，将尝试解密transmitted note ciphertext中的$ephemeralKey$和$C^{enc}$以及$C^{out}$，具体的解密流程为：
1）令$ock=PR{F}_{ovk}^{ock}(cv,cm\ast ,ephemeralKey)$
2）对称解密 $\mathbf{o}\mathbf{p}=Sym.Decryp{t}_{ock}(C^{out})$，若$\mathbf{o}\mathbf{p}=\perp$，则返回$\perp$。
3）从$\mathbf{o}\mathbf{p}$中提取出$(pk{\star }_d:{\mathbb{B}}^{[l_{\mathbb{G}}]},esk:{\mathbb{B}}^{{\mathbb{Y}}^{[32]}})$。
4）令$esk=LEOS2I{P}_{256}(esk),p{k}_d=abs{t}_{\mathbb{G}}(pk{\star }_d)$，若$esk\ge r_{\mathbb{G}}$或$p{k}_d=\perp$，则返回$\perp$。
5）令$sharedSecret=KA.Agree(esk,p{k}_d)$。
6）令$K^{enc}=KDF(sharedSecret,ephemeralKey)$，其输入为the shared Diffie-Hellman secret $sharedSecret$ 和 the ephemeral public key $epk$，输出为对称加密中的秘钥。$KD{F}^{Sapling}:K{A}^{Sapling}.SharedSecret\times {\mathbb{B}}^{{\mathbb{Y}}^{[l_{\mathbb{J}}/8]}}\to Sym.\mathbf{K}$。
7）对称解密 $P^{enc}=Sym.Decryp{t}_{K^{enc}}(C^{enc})$，若$P^{enc}=\perp$，则返回$\perp$。
8）decode $P^{enc}$，提取 n p = ( l e a d B y t e : B Y , d : B [ l d ] , v : { 0.. 2 l v a l u e − 1 } , m e m o : B Y [ 512 ] , p k d , r c m ) \mathbf{np}=(leadByte:\mathbb{B}^{\mathbb{Y}}, d:\mathbb{B}^{[l_d]},v:\{0..2^{l_{value}}-1\}, memo:\mathbb{B}^{\mathbb{Y}^{[512]}}, pk_d, rcm) np=(leadByte:BY,d:B[ld​],v:{0..2lvalue​−1},memo:BY[512],pkd​,rcm)
9）令$rcm=LEOS2I{P}_{256}(rcm)$，$g_d=DiversifyHash(d)$，若$rcm\ge r_{\mathbb{G}}或g_d=\perp$ 或 $p{k}_d\notin {\mathbb{J}}^{(r)}$，则返回$\perp$。【注意，此处增加了 要求the decoded point $p{k}_d$ of a Sapling note to be in the subgroup ${\mathbb{J}}^{(r)}$，即判断 $若p{k}_d\notin {\mathbb{J}}^{(r)}，返回\perp$。】
10）令$\mathbf{n}=(d,p{k}_d,v,rcm)$
11）计算$cm{\ast }^{\prime }=NoteCommitment(\mathbf{n})$，若$l2LEOS{P}_{256}(Extrac{t}_{{\mathbb{G}}^{(r)}}(cm{\ast }^{\prime }))=cm\ast$不成立，则返回$\perp$。
12）若$rep{r}_{\mathbb{G}}(KA.DerivePublic(esk,g_d))\ne ephemeralKey$，则返回$\perp$。
10）最终解密结果为 $(\mathbf{n},memo)$。

3. Block chain scanning (Sapling)

在Sapling中，区块链扫描仅需$nk$和$ivk$。之前的Sprout中扫描需要spending key。【Sapling中区块扫描的实际代码实现，还额外用到了$ak$，即需要的key参数有$(ak,nk,ivk)$。】

已知$(nk,ivk)$，对区块链扫描可获取 each note sent to the corresponding shielded payment address, its memo field, and its final status (spent or unspent)。完整的扫描流程为：

注意：
1）以上算法并不需要用到$ovk$，或者transmitted note ciphertext中的$C^{out}$。原因在于，当扫描整个区块链时，确实不需要$ovk$或$C^{out}$。之所以支持使用$ovk$来解密（如2.3节所示），是为了允许在仅有交易本身的情况下，可恢复交易中发送的note plaintext信息。
2）当扫描区块链中部分区块时，采用$ovk$来解密每笔交易中的$C^{out}$是有益的。可以扫描出区块区间中所spent的note信息，尽管该note的receive信息可能在区块区间之外。
3）以上算法无法发现 通过“out-of-band” 或者 with incorrect transmitted note ciphertexts 的notes信息。It is possible to detect whether such notes were spent only if their nullifiers are known。

Zcash的rustzcash.rs实际实现中，计算note nullifier值 $\mathbf{n}\mathbf{f}$时，不只用到了$nk$，还用到了$ak$。

/// Compute Sapling note nullifier.
#[no_mangle]
pub extern "system" fn librustzcash_sapling_compute_nf(
    diversifier: *const [c_uchar; 11],
    pk_d: *const [c_uchar; 32],
    value: uint64_t,
    r: *const [c_uchar; 32],
    ak: *const [c_uchar; 32],
    nk: *const [c_uchar; 32],
    position: uint64_t,
    result: *mut [c_uchar; 32],
) -> bool {
    let note = match priv_get_note(diversifier, pk_d, value, r) {
        Ok(p) => p,
        Err(_) => return false,
    };

    let ak = match edwards::Point::<Bls12, Unknown>::read(&(unsafe { &*ak })[..], &JUBJUB) {
        Ok(p) => p,
        Err(_) => return false,
    };

    let ak = match ak.as_prime_order(&JUBJUB) {
        Some(ak) => ak,
        None => return false,
    };

    let nk = match edwards::Point::<Bls12, Unknown>::read(&(unsafe { &*nk })[..], &JUBJUB) {
        Ok(p) => p,
        Err(_) => return false,
    };

    let nk = match nk.as_prime_order(&JUBJUB) {
        Some(nk) => nk,
        None => return false,
    };

    let vk = ViewingKey { ak, nk };
    let nf = note.nf(&vk, position, &JUBJUB);
    let result = unsafe { &mut *result };
    result.copy_from_slice(&nf);

    true
}

参考资料

[1] Zcash Protocol Specification