Inner Product点积的零知识证明

1 引言

Inner product具有如下特征：

例子一：Prover声称其有某公钥$P_X$的私钥$x$，$P_X=xG$。典型的Schnoor’s身份协议。
Prover以零知识证明方式来证明他知道$x$，证明过程如下：
a) $P\to V:R$ (P选择随机数k，该值对V保密，$R=kG$。R为a new random curve point。)
b) $V\to P:e$ (a random scalar，也可称为challenge值。)
c) $P\to V:s$， 其中$s=k+ex$。

对于Verifier，只需验证：
$sG=?R+e{P}_X$

例子二：
a) $P\to V:C_0$ (a new commitment to a newly chosen random vector of dimension N)
b) $V\to P:e$ (a random scalar，也可称为challenge值。)
c) $P\to V:(\vec{z},s)$ (a single vector of dimension N, and another scalar)
其中：
$\vec{z}={\sum }_{i=0}^m{e}^i{\vec{x}}_i,s={\sum }_{i=0}^m{e}^i{r}_i$**
对于Verifier，只需验证：
${\sum }_{i=0}^m{e}^i{C}_i=?sH+\vec{z}\vec{G}$

根据以上两个例子，都满足Sigma protocol。整个流程可抽象为：
a) $P\to V:commitment$
b) $V\to P:challenge$
c) $P\to V:response(proof)$

2. Inner Product的零知识证明

Inner Product点积表示为：$<\vec{x},\vec{y}>={\sum }_{i=1}^n{x}_i{y}_i$。
如需零知识证明$z=<\vec{x},\vec{y}>$，则在a)b)c)步骤前，以下三个commitment $C_x,C_y,C_z$为已知：
$C_z=tH+zG$
$C_x=rH+\vec{x}\vec{G}=rH+(x_1{G}_1+x_2{G}_2+...+x_n{G}_n)$
$C_y=sH+\vec{y}\vec{G}=sH+(y_1{G}_1+y_2{G}_2+...+y_n{G}_n)$

以下将类比例子一来构建相应的a)b)c)step。

2.1 a)step $P\to V:commitment$

在本阶段，分别为$\vec{x},\vec{y}$选择相应的随机向量${\vec{d}}_x,{\vec{d}}_y$和随机值$r_d,s_d$，计算：
$A_d=r_{d}H+{\vec{d}}_x\vec{G}$
$B_d=s_{d}H+{\vec{d}}_y\vec{G}$

同时参考例子中c)步骤中计算$ex+k$的方式来构建$<e\vec{x}+{\vec{d}}_x,e\vec{y}+{\vec{d}}_y>=<\vec{x},\vec{y}>e^2+(<\vec{x},{\vec{d}}_y>+<{\vec{d}}_x,\vec{y}>)e+<{\vec{d}}_x,{\vec{d}}_y>$，对该多项式的三个系数提供相应的commitment，其中$<\vec{x},\vec{y}>$的commitment即为$C_z$。另外两个系数的commitment为：【注意此处的三个系数均为scalars，而不是vectors。所以用的是G而不是$\vec{G}$】
$C_1=t_{1}H+(<\vec{x},{\vec{d}}_y>+<{\vec{d}}_x,\vec{y}>)G$
$C_0=t_{0}H+(<{\vec{d}}_x,{\vec{d}}_y>)G$

综上，在a)commitment 阶段：
a) $P\to V:(r_d,s_d,t_1,t_0)$ (为4个salar随机数，对V保密)，$({\vec{d}}_x,{\vec{d}}_y)$ (为2个随机数向量，对V保密)，以及4个Pedersen commitments $(A_d,B_d,C_1,C_0)$（对V公开）。

2.2 b)step $V\to P:challenge$

$V\to P:e$ (单个的scalar随机数)

2.3 c)step $P\to V:response(proof)$

在本阶段，Prover需提供如下值：
${\vec{f}}_x=e\vec{x}+{\vec{d}}_x$
${\vec{f}}_y=e\vec{y}+{\vec{d}}_y$
$r_x=er+r_d$
$s_y=es+s_d$
$t_z=e^{2}t+e{t}_1+t_0$

对于Verifier来说，仅需做如下三个验证：

1. $e{C}_x+A_d=?r_{x}H+{\vec{f}}_x\vec{G}$
2. $e{C}_y+B_d=?s_{y}H+{\vec{f}}_y\vec{G}$
3. $t_{z}H+(<{\vec{f}}_x,{\vec{f}}_y>)G=?e^2{C}_z+e{C}_1+C_0$

证明过程如下：

1. $e{C}_x+A_d=e(rH+\vec{x}\vec{G})+(r_{d}H+{\vec{d}}_x\vec{G})=(er+r_d)H+(e\vec{x}+{\vec{d}}_x)\vec{G}=r_{x}H+{\vec{f}}_x\vec{G}$
2. 同理有$e{C}_y+B_d=s_{y}H+{\vec{f}}_y\vec{G}$
3. $t_{z}H+(<{\vec{f}}_x,{\vec{f}}_y>)G=(e^{2}t+e{t}_1+t_0)H+(<e\vec{x}+{\vec{d}}_x,e\vec{y}+{\vec{d}}_y>)G=e^2{C}_z+e{C}_1+C_0$

由此完成整个Inner Product的零知识证明。
完整的proof信息为$((A_d,B_d,C_1,C_0),e,({\vec{f}}_x,{\vec{f}}_y,r_x,s_y,t_z))$

同样地，对于不honest的prover，他仍然可以伪造proof信息，使得以上的三个验证均能通过，如：$((A_d=(x_{x}H+{\vec{f}}_x\vec{G})-e{C}_x,B_d=(s_{y}H+{\vec{f}}_y\vec{G})-e{C}_y,C_1=t_{1}H+0G,C_0=t_{z}H+(<{\vec{f}}_x,{\vec{f}}_y>)G-e{C}_1-e^2{C}_z),e,({\vec{f}}_x,{\vec{f}}_y,r_x,s_y,t_z))$。

3. 更紧凑的Inner Product零知识证明

完整的proof信息为$((A_d,B_d,C_1,C_0),e,({\vec{f}}_x,{\vec{f}}_y,r_x,s_y,t_z))$，如何进一步减小proof呢？
答案是：使用递归！！！

使用递归可减少proof的大小，同时若基于Fiat Shamir heuristic可切换为非交互式零知识证明，可生成更紧凑的proof。

参考资料：
[1] https://joinmarket.me/static/FromZK2BPs_v1.pdf