BulletProof-内积证明

BulletProof-内积证明

Inner Product Proof Full Math Defination

首先，我们观察到 Prover 可以简单发送向量 $\mathbf{l}(x)$ 和 $\mathbf{r}(x)$，Verifier 可以直接检查向量内积 $t(x)$ 和承诺 P 是否正确。我们给出内积 $t(x)$ 和一个承诺 P 的关系：
$$\begin{array}{c}t(x)=<\mathbf{l}(x),\mathbf{r}(x)>\\ \\ P=<\mathbf{l}(x),\mathbf{G}>+<\mathbf{r}(x),\mathbf{H}>\end{array}$$
为了保证符号的简洁性，我们使用内积参数的常用符号表示：
$$\begin{array}{c}\mathbf{a},\mathbf{b}\in Z_p^n\\ \\ \mathbf{G},\mathbf{H}\in G^n\\ \\ c=<\mathbf{a},\mathbf{b}>\\ \\ P=<\mathbf{a},\mathbf{G}>+<\mathbf{b},\mathbf{H}>\end{array}$$
在以上的定义中我们需要有以下关系的知识证明：

我们使用一个不确定的变量 $w\in Z_p^{\ast }$ 并且使用生成元 $B\in G$ 加上第二个等式，来结合上述的两个论证：
$$P=<\mathbf{a},\mathbf{G}>+<\mathbf{b},\mathbf{H}>+cwB=<\mathbf{a},\mathbf{b}>wB$$
我们使用以下的符号定义来简化这个结果等式：
$$k=lgn,P^{\prime }=P+cwB,Q=wB$$
这个等式就变成了：
$$P^{\prime }=<\mathbf{a},\mathbf{G}>+<\mathbf{b},\mathbf{H}>+<\mathbf{a},\mathbf{b}>\cdot Q$$
让我们加入不确定的变量 $u_k\in Z_p^{\ast }$ 并且通过变量 $u_k$ 将左右部分相加来压缩这些向量：
$$\begin{array}{c}{\mathbf{a}}^{(k-1)}={\mathbf{a}}_{lo}\cdot u_k+{u_k}^{-1}\cdot {\mathbf{a}}_{hi}\\ \\ {\mathbf{b}}^{(k-1)}={\mathbf{b}}_{lo}\cdot {u_k}^{-1}+u_k\cdot {\mathbf{b}}_{hi}\\ \\ {\mathbf{G}}^{(k-1)}={\mathbf{G}}_{lo}\cdot {u_k}^{-1}+u_k\cdot {\mathbf{G}}_{hi}\\ \\ {\mathbf{H}}^{(k-1)}={\mathbf{H}}_{lo}\cdot u_k+{u_k}^{-1}\cdot {\mathbf{H}}_{hi}\end{array}$$
我们使 $P_k=P^{\prime }$ 并且使用与 $P_k$ 相同的等式来定义 $P_{k-1}$ ，但是使用压缩向量：
$$P_{K-1}=<{\mathbf{a}}^{(\mathbf{k}-1)},{\mathbf{G}}^{(\mathbf{k}-1)}>+<{\mathbf{b}}^{(\mathbf{k}-1)},{\mathbf{H}}^{(\mathbf{k}-1)}>+<{\mathbf{a}}^{(\mathbf{k}-1)},{\mathbf{b}}^{(\mathbf{k}-1)}>\cdot Q$$
展开这个等式得到：
$$\begin{array}{c}{P}^{\prime }=<{\mathbf{a}}_{lo}\cdot u_k+{u_k}^{-1}\cdot {\mathbf{a}}_{hi},{\mathbf{G}}_{lo}\cdot {u_k}^{-1}+u_k\cdot {\mathbf{G}}_{hi}>+\\ \\ <{\mathbf{b}}_{lo}\cdot {u_k}^{-1}+u_k\cdot {\mathbf{b}}_{hi},{\mathbf{H}}_{lo}\cdot u_k+{u_k}^{-1}\cdot {\mathbf{H}}_{hi}>+\\ \\ <{\mathbf{a}}_{lo}\cdot u_k+{u_k}^{-1}\cdot {\mathbf{a}}_{hi},{\mathbf{b}}_{lo}\cdot {u_k}^{-1}+u_k\cdot {\mathbf{b}}_{hi}>\cdot Q\end{array}$$
拆分成更简单的形式：
$$\begin{array}{c}{P}_{k-1}=<{\mathbf{a}}_{lo},{\mathbf{G}}_{lo}>+<{\mathbf{a}}_{hi},{\mathbf{G}}_{hi}>+u_k^2<{\mathbf{a}}_{lo},{\mathbf{G}}_{lo}>+u_k^{-2}<{\mathbf{a}}_{hi},{\mathbf{G}}_{lo}>+\\ \\ <{\mathbf{b}}_{lo},{\mathbf{H}}_{lo}>+<{\mathbf{b}}_{hi},{\mathbf{H}}_{hi}>+u_k^2<{\mathbf{b}}_{hi},{\mathbf{H}}_{lo}>+u_k^{-2}<{\mathbf{b}}_{lo},{\mathbf{H}}_{hi}>+\\ \\ (<{\mathbf{a}}_{lo},{\mathbf{b}}_{lo}>+<{\mathbf{a}}_{hi},{\mathbf{b}}_{hi}>)\cdot Q+(u_k^2<{\mathbf{a}}_{lo},{\mathbf{b}}_{hi}>+u_k^{-2}<{\mathbf{a}}_{hi},{\mathbf{b}}_{lo}>)\cdot Q\end{array}$$
我们发现左边的内容就是 $P_k$ 的定义：$P_k=<{\mathbf{a}}^k,{\mathbf{G}}^k>+<{\mathbf{b}}^k,{\mathbf{H}}^k>+<{\mathbf{a}}^k,{\mathbf{b}}^k>\cdot Q$，右边的式子是 $u_k$ 和 $u_k^{-2}$ 将 $P_k$ 分为左右两部分。我们将被 $u_k$ 划分的部分为 $L_k$，被 $u_k^{-2}$ 划分的部分为 $R_k$：
$$\begin{array}{c}{P}_{k-1}=P_k+u_k^2\cdot L_k+u_k^{-2}\cdot R_k\\ \\ L_k=<{\mathbf{a}}_{lo},{\mathbf{G}}_{hi}>+<{\mathbf{b}}_{hi},{\mathbf{H}}_{lo}>+<{\mathbf{a}}_{lo},{\mathbf{b}}_{hi}>\cdot Q\\ \\ R_k=<{\mathbf{a}}_{hi},{\mathbf{G}}_{lo}>+<{\mathbf{b}}_{lo},{\mathbf{H}}_h>+<{\mathbf{a}}_{hi},{\mathbf{b}}_{lo}>\cdot Q\end{array}$$

我们使用 $u_{k-1}$ 来压缩 $P_{k-1}$ 就像 $u_k$ 的压缩方法一样，不断的重复这样的步骤，直到我们得到向量
$$\begin{array}{c}{P}_0=a_0^{(0)}{G}_0^{(0)}+b_0^{(0)}{H}_0^{(0)}+a_0^{(0)}{b}_0^{(0)}Q\\ \\ P_0=P_k+{\sum }_{j=1}^k(L_j{u}_j^2+u_j^{-2}{R}_j)\end{array}$$

重写以上定义：$P_k=P^{\prime }=P+cwB$ 并且 $Q=wB$，得到了最终表述结果：
$$\begin{array}{c}P+cwB=a_0^{(0)}{G}_0^{(0)}+b_0^{(0)}{H}_0^{(0)}+a_0^{(0)}{b}_0^{(0)}wB-{\sum }_{j=1}^k(L_j{u}_j^2+u_j^{-2}{R}_j)\end{array}$$
此时 Prover 可以传送两个标量 $a_0^{(0)}$ 和 $b_0^{(0)}$ 给 Verifier，Verifier 通过计算，检验等式两边是否成立。

这个协议压缩产生结果有 lg n 步，Prover 需要发送每一步 $j=k,...,1$ 产生的 $(L_j,R_j)$ 给 Verifier，到最后一步也是发送一对标量 $(a_0^{(0)},b_0^{(0)})$ 并检查最终关系的正确性。

原文链接
Inner product proof notes