同态承诺方案

同态承诺方案

一个非交互式承诺方案允许发送方构造一个值的承诺，发送方可以后续打开这个承诺并揭示这个值，承诺的接收者可以检查和验证承诺的值的确是这个特定的值。一个承诺方案必须具备两个特性：hiding 和 binding。hiding 意味着承诺并不会揭示承诺值，binding 意味着不能打开两个不同值的承诺。

一个非交互式承诺方案是一对概率多项式时间算法 $(\mathcal{G},Com)$。初始化算法 $ck\leftarrow \mathcal{G}(1^{\lambda })$ 生成一个承诺密钥 $ck$。$ck$ 指定了一个消息空间 ${\mathcal{M}}_{ck}$，一个随机空间 ${\mathcal{R}}_{ck}$ 和一个承诺空间 ${\mathcal{C}}_{ck}$，可以被描述为函数 $Co{m}_{ck}:{\mathcal{M}}_{ck}\times {\mathcal{R}}_{ck}\to {\mathcal{C}}_{ck}$。给定一个消息 $m\in {\mathcal{M}}_{ck}$，发送者选择一个随机数 $r\leftarrow {\mathcal{R}}_{ck}$ 并计算承诺 $c=Co{m}_{ck}(m;r)$。

同态性

我们有承诺密钥 $ck$，消息 $m_0,m_1\in {\mathcal{M}}_{ck}$ 和随机数 $r_0,r_1\in {\mathcal{R}}_{ck}$，有以下性质：
$$Co{m}_{ck}(m_0;r_0)\cdot Co{m}_{ck}(m_1;r_1)=Co{m}_{ck}(m_0+m_1;r_0+r_1)$$

佩德森承诺

佩德森承诺是具有同态性承诺的一个例子。密钥生成算法 $\mathcal{G}$ 输出一个 $q$ 阶循环群 $\mathbb{G}$，群 $\mathbb{G}$ 的两个生成元 $g,h$。承诺密钥为 $ck=(\mathbb{G},q,g,h)$。为了承诺 $m\in Z_q$，承诺者选择一个随机数 $r\in Z_q$ 并计算 $Co{m}_{ck}(m;r)=g^m{h}^r$。在离散对数假设下，承诺方案是完全hiding 和 binding。
$$\mathrm{Setup}:ck=(\mathbb{G},q,g,h);Co{m}_{ck}(m;r)=(g^m{h}^r)$$