Efficient Protocols for Set Membership and Range Proof 学习笔记

已于 2022-02-08 14:50:20 修改
阅读量568 收藏 3
点赞数 1
分类专栏: 零知识证明 文章标签: 零知识证明
于 2022-01-27 18:00:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/122721719
版权

1. 引言

Camenisch等人2008年发表在AsiaCrypto的论文《Efficient Protocols for Set Membership and Range Proof》。

相关代码见:

本论文针对的场景为:

  • public info:commitment C C C,discrete set Φ = { ϕ 1 , ϕ 2 , ⋯   , ϕ n } \Phi=\{\phi_1,\phi_2,\cdots, \phi_n\} Φ={ϕ1,ϕ2,,ϕn}
  • private info: σ \sigma σ
  • relation: C = C o m ( σ ) C=Com(\sigma) C=Com(σ) σ ∈ Φ \sigma\in\Phi σΦ【换种方式可表达为: C = C o m ( ϕ 1 ) C=Com(\phi_1) C=Com(ϕ1) C = C o m ( ϕ 2 ) C=Com(\phi_2) C=Com(ϕ2) C = C o m ( ϕ 3 ) C=Com(\phi_3) C=Com(ϕ3) …… 或 C = C o m ( ϕ n ) C=Com(\phi_n) C=Com(ϕn)。】

其中discrete set Φ \Phi Φ可为a list of cities or clubs,也可为整数范围如 [ 1 , 2 20 ] [1,2^{20}] [1,220]

若采用基于RSA假设的commitment scheme,则仅需要在Prover和Verifier之间交互a constant number of RSA-group elements。
若采用基于bilinear group假设的commitment scheme,之前的研究成果需要 O ( k ) O(k) O(k)个group elements,其中 k k k为security parameter。

基于bilinear group假设, Φ \Phi Φ为整数范围时,本文提供的set-membership proof算法,仅需 O ( k log ⁡ k − log ⁡ log ⁡ k ) O(\frac{k}{\log k-\log\log k}) O(logkloglogkk) 个group elements。【当 Φ \Phi Φ为整数范围时,set-membership proof也可称为range proof。】

1.1 主要创新

可使用 Σ \Sigma Σ-protocol来进行OR证明,具体可参见 基于Sigma protocol实现的零知识证明protocol集锦 2.3节“Protocol 3. Disjunction (OR) of discrete logs”,其proof length 与 条件数 n n n 呈正比。

本文分别基于Strong RSA assumption 和 bilinear group assumption 构建的proof size为 O ( 1 ) O(1) O(1),与条件数 n n n 无关。

1.1.1 range proof

range proof为set membership proof的特例情况,set Φ \Phi Φ对应为a range [ a , a + 1 , a + 2 , ⋯   , b ] [a,a+1,a+2, \cdots, b] [a,a+1,a+2,,b](可表示为 [ a , b ] [a,b] [a,b])。
若基于Strong RSA assumption,则已有efficient proofs的研究成果。但是当range范围较小 或 同一range范围被使用多次时,本文提供的算法效率更高,优于8~10倍。

若不想基于Strong RSA assumption,可改为:Prover对其 secret s s s 的所有 k k k个bits都进行commit,然后证明这 k k k个commitments all encode either a 0 0 0 or a 1 1 1,以及证明这些commitments确实是commit to all the bits of s s s。这样,Verifier即可信任 s s s [ 0 , 2 k + 1 − 1 ] [0,2^{k+1}-1] [0,2k+11]范围内,因为只有 k k k个commitments。这种方式可推广为任意范围,相应的proof size为 O ( k ) O(k) O(k) 个group elements。

也可不采用二进制,而选择更优的 u u u进制来表示secret s s s,然后对每个digit进行commit生成 ℓ \ell 个commitments,再证明 s ∈ [ 0 , u ℓ ] s\in[0,u^\ell] s[0,u]。不过,采用 Σ \Sigma Σ-protocol的 OR proof 来证明每个commitment 对应的digit为 [ 0 , u ) [0,u) [0,u),相应的proof size 为 O ( u ) O(u) O(u)。因此总的proof size仍为 O ( u ⋅ ℓ ) O(u\cdot \ell) O(u),并未减少proof size。

本文的算法在 Σ \Sigma Σ-protocol的基础上进行了改进,相应的proof size为 O ( u + ℓ ) O(u+\ell) O(u+)。通过选择合适的 u u u ℓ \ell 值,可实现proof size为 O ( k log ⁡ k − log ⁡ log ⁡ k ) O(\frac{k}{\log k-\log\log k}) O(logkloglogkk)

2. 相关定义

  • set membership proof 以及 range proof定义:
    在这里插入图片描述
  • bilinear group computational assumption定义:
    在这里插入图片描述在这里插入图片描述
  • Strong Diffie-Hellman Assumption(q-SDH假设):
    在这里插入图片描述

3. 基于签名的set membership

受Jan Camenisch等人2007年论文《Simulatable adaptive oblivious transfer》中的oblivious transfer不经意传输协议启发,核心思想为:

  • Verifier发送给Prover a signature of every element in the set Φ \Phi Φ。【可在其它membership proofs中复用】
  • 然后,Prover收到a signature on the particular element σ \sigma σ σ \sigma σ对应的commitment为 C C C
  • 然后,Prover对收到的签名进行blind,运行a proof of knowledge that she possesses a signature on the committed element。

以上proof的communication complexity取决于 Φ \Phi Φ中的元素数——因为一开始Verifier就需要发送 a signature of every element in the set Φ \Phi Φ,剩下的communication complexity为a constant number of group elements。

mutourend
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
算法证明_「技术」理解零知识证明算法之Bulletproofs:Range Proof I
weixin_39625709的博客
12-24 796
前言Bulletproofs,又一个有意思的零知识证明算法,相信读者已经很熟悉它了。和zk-snark相比,它不需要可信设置;和zk-stark算法相比,它具有较小的proof size。根据论文,它有两个方面的应用:1. 用于range proof;2. 用于一般算术电路的零知识证明。下面,让我们先看一下Bulletproofs是如何高效的实现第一点。Range proof1. 预备知识aL:表...
铜锁 Bulletproofs Range 使用教程
u19967317326的博客
06-29 453
在许多应用场景中,当需要证明一个值满足特定的范围条件、又不希望透露该值的具体大小时,传统的证明方法可能需要暴露更多的信息。而范围证明可以提供一种更高效、更隐私保护的方式来实现这一目标。
RangeProof范围证明
跨链技术践行者
10-09 2219
Pedersen Commitment对应C = r*G + v*H; 将金额v表示成二进制形式:v =bn…b2,b1,b0,bi属于{0、1}; 将私钥r对应拆分为n个随机数分片之和:r = an…+ a2 + a1; 将C对应拆分为n个Ci分片之和:C = Cn…+C2+C1; 其中Ci = ai*G + bi*(2^i)*H; 取Ci、Ci – (2^i)*H为环签名的公钥集,则...
A Non-Interactive Range Proof with Constant Communication
mutourend的博客
04-03 252
1. 背景知识 Rafik Chaabouni,Helger Lipmaa和Bingsheng Zhang 2012年论文《A Non-Interactive Range Proof with Constant Communication》,与Lipmaa 2012年论文《Progression-Free Sets and Sublinear Pairing-Based Non-Interacti...
RingCT 3.0 for Blockchain Confidential Transaction: Shorter Size and Stronger Security 学习笔记
mutourend的博客
10-31 1298
1. 引言 Tsz Hon Yuen 等人2020年论文《RingCT 3.0 for Blockchain Confidential Transaction: Shorter Size and Stronger Security》,发表于Financial Cryptography and Data Security。 本文: 构建了ring confidential transation protocol (RingCT3.0) ,用于隐私保护交易中发送者的身份、接收者的身份以及具体的交易金额。 以经典
A Survey on Long-Range Attacks for Proof of Stake Protocols
02-25
This paper provides a systematic literature review on long-range attacks for proof of stake protocols. If successful, these attacks may take over the main chain and partially, or even completely, ...
Efficient Reconciliation and Flow Control for Anti-Entropy Protocols
03-20
The paper shows that anti-entropy protocols can process only a limited rate of updates, and proposes and evaluates a new state reconciliation mechanism as well as a ...scheme for anti-entropy protocols.
Time-efficient protocols for neighbor discovery in wireless Ad Hoc networks
02-10
Time-efficient protocols for neighbor discovery in wireless Ad Hoc networks
Radio Protocols for LTE and LTE-Advanced
05-09
《Radio Protocols for LTE and LTE-Advanced》一书由SeungJune Yi、SungDuck Chun、YoungDae Lee、SungJun Park和SungHoon Jung共同撰写,他们均来自韩国LG Electronics公司,并于2012年由John Wiley & Sons ...
Two Quantum Protocols for Oblivious Set-member Decision Problem
02-09
<span xss=removed>In this paper, we defined a new secure multi-party computation problem, called Oblivious Set-member Decision problem, which allows one party to decide whether a secret of another ...
论文阅读---基于属性凭证的保密电子票据方案
最新发布
qq_44722300的博客
01-21 550
Privacy-Preserving Electronic Ticket Scheme with Attribute-Based Credentials在 2004 年,Boneh-Boyen 提出了一个短签名方案。该方案常用于构造高效的成员证明(setmembership proof)和范围证明(range proof)。本文中,我们使用该签名方案为我们的 ticket policys 生成 tags。KeyGen. BG(1l)→(e,p,G,Gτ)\mathcal{BG}(1^l)\rightarro
学习笔记:Ring CT 2016
日常学习记录,随缘更新
04-29 662
整理《RING CONFIDENTIAL TRANSACTIONS》by Shen Noether- Monero Research Labs https://ledger.pitt.edu/ojs/ledger/article/view/34 Ring CT 2016Introduction加密货币中的环签名Multilayered Linkable Spontaneous Anonymous Group signatures (MLSAG)Ring coin(2015)的环签名MLSAGConfiden
密码学中的各种假设——DL/SDH...
mutourend的博客
09-23 5684
(B)SDH assumption
拿什么保护你,我的区块链
腾讯技术工程
07-26 1391
被纳入新基建的区块链,以数据不可篡改、可公开监管、便于查证的特性,广泛应用于有多方参与的系统中,为多方交互的信息(行为、数据等)提供可靠的存证。那么,在信息上链接受公开监管的同时,能否为...
Merkle tree for non-membership proof
mutourend的博客
04-07 497
1. 引言 Merkle tree相关前序博客有: Merkle tree及其在区块链等领域的应用 Merkle tree proof【基于Merkle tree的membership proof,或existenceProof】 基于Merkle tree的non-membership proof或NonExistenceProof 相关代码实现见: github.com/confio/ics23 // //NonExistenceProof takes a proof of two neighb
Practical Verifiable Encryption and Decryption of Discrete Logarithms 学习笔记
mutourend的博客
06-02 685
1 引言 Jan Camenisch 和 Victor Shoup 2003年论文《Practical Verifiable Encryption and Decryption of Discrete Logarithms》。 对应的代码实现在:https://github.com/KZen-networks/dlog-verifiable-enc 经验证,node版本用V10.20.1可以,用12版本存在兼容问题。 该代码用到了neon框架:Rust bindings for writing safe a
一个更优的零知识证明:Bulletproofs
omnispace的博客
05-03 2814
在2015年我们宣布机密交易(CT)作为侧链Elements Alpha的主要特征。该特征用Pedersen commitments取代了交易金额,这种一种隐藏金额的加密工具,同时保留了任何人验证在特定交易内余额的能力。CT面临的主要难题是让它交易变得非常大而且验证缓慢,因为它要求每个交易输出包含一个rangeproof,这是一种零知识证明,证明金额太小而不会溢出。普通数字签名小于100个字节,并...
区块链的隐私技术——Mimble-Wimble
kingsley-sun的博客
12-25 1850
区块链上的隐私问题 区块链是公开的分布式交易账本,以比特币为例,链上的数据都是公开可见的,包括交易的金额和交易双方的地址信息等。尽管通过使用比特币地址而不是实名账户可以一定程度上保证用户的隐私需求,但是如果有人可以用比特币的地址链接到所有者的真实身份,那么所有者的比特币交易记录——不管是过去的、现在的,还是未来的,都会被暴露。可怕的是,把比特币地址和真实身份链接起来并不困难。虽然一笔交易的发送方和...
CCIE Routing & Switching深度学习笔记
- BGP(边界网关协议)是互联网上的核心路由协议,笔记中推荐了《Cisco BGP design and implementation》以及《Cisco BGP-4 Command and Configuration Handbook》来深入学习。 - IS-IS(Intermediate System to ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值