IPA多项式承诺方案--(2)预备知识

在进入正题前，这篇文章笔者对方案的解析理解思路，叙述和理解过程可能存在一些错误，欢迎大家留言讨论。

基于内积定理（Inner Product Argument）实现的多项式承诺方案，为了方便，简称为IPA多项式承诺方案。在阅读承诺方案前，需要掌握Pedersen承诺、内积和$\Sigma$ 协议相关知识，Pedersen承诺在前文已介绍。此外，还需掌握一些常见方法来缩小证明大小。

内积

对于$a=(a_0,a_1,\cdots ,a_{n-1})$和$G=(G_0,G_1,\cdots ,G_{n-1})$的内积计算公式为

$$<a,G>=a_0{G}_0+a_1{G}_1+\cdots +a_{n-1}{G}_{n-1}$$

内积满足以下性质

• 乘法交换律：$\forall b\in F,<ba,G>=<a,bG>=b<a,G>$

• 乘法分配律1：$\forall a,b,G\in F^n$ ,$<a+b,G>=<a,G>+<b,G>$

• 乘法分配律2:$\forall a,b,G_1,G_2\in F^n,<a+b,G_1+G_2>=<a,G_1>+<a,G_2>+<b,G_1>+<b,G_2>$

对于多项式$f(X)=a_0+a_{1}X+\cdots +a_{n-1}{X}^{n-1}$在$z$点的值为$f(z)=a_0+a_{1}z+\cdots +a_{n-1}{z}^{n-1}$，可以写成内积的形式，即$f(z)=<a,G>$，其中$a=(a_0,a_1,\cdots ,a_{n-1})$，$b=(1,z,\cdots ,z^{n-1})$。

如何将多个验证等式合并为一个验证等式？–随机线性化组合

举个例子，假设证明者声明$P_1,P_2$由$<a,G>$和$<b,G>$计算的两个内积，其中$G$是公开的，$a,b$只有证明者知道。证明者将$a,b$发送给验证方进行如下验证。

$$\begin{gathered} P_1=<a,G> \\ {P}_2=<b,G> \end{gathered}$$

验证等式成立，则证明$P_1,P_2$通过$<a,G>$和$<b,G>$计算，具体流程如图所示。

如何将两个验证等式合并为一个等式且确保以上等式均成立？考虑两个等式相乘，因无法确保$P_1$和$P_2$是否存在公因数，这是不可行的。考虑两个等式想加，如下

$$P_1+P_2=<\mathbf{a},\mathbf{G}>+<\mathbf{b},\mathbf{G}>$$

显而易见，左边两项均由证明方生成，则验证者可以声明两个错误的值$P_1^{\prime },P_2^{\prime }$是由$<a,G>$和$<b,G>$计算的两个内积，如下所示。

此时验证等式成立，但无法确保原本的两个等式成立，如下。

$$\begin{gathered} P_1^{\prime }\ne <\mathbf{a},\mathbf{G}> \\ {P}_2^{\prime }\ne <\mathbf{b},\mathbf{G}> \end{gathered}$$

为了抵御以上攻击，即验证等式左边任意两项不能均由证明者计算。验证者选择一个随机数$r$，合并两个验证等式如下

$$P_1+r{P}_2=<\mathbf{a},\mathbf{G}>+r<\mathbf{b},\mathbf{G}>$$

验证者验证以上等式成立时，可确保等式$P_1=<a,G>$和$P_2=<b,G>$同时成立。

目前我们知道了如何将两个验证等式合并为一个验证等式，如何多个验证如何合并为一个验证等式？ 假设有以下$k$个验证等式

$$\begin{gathered} P_1=<{\mathbf{a}}_1,\mathbf{G}> \\ {P}_2=<{\mathbf{a}}_2,\mathbf{G}> \\ \dots \\ {P}_k=<{\mathbf{a}}_{\mathbf{k}},\mathbf{G}> \end{gathered}$$

为了确保任意验证等式左边两项不能由证明者独自计算，有两种合并方式。

1. 验证者可以选择$k$个不同的随机数$x_1,x_2,\dots x_k$将多个验证等式合并成一个等式，如下所示。

$$x_1{P}_1+x_2{P}_2+\cdots +x_k{P}_k=x_1<{\mathbf{a}}_1,\mathbf{G}>+x_2<{\mathbf{a}}_2,\mathbf{G}>+\cdots +x_k<{\mathbf{a}}_{\mathbf{k}},\mathbf{G}>$$

2. 验证者选择一个随机数$x$也可合并成一个等式。

$$P_1+x{P}_2+\cdots +x^{k-1}{P}_k=<{\mathbf{a}}_1,\mathbf{G}>+x<{\mathbf{a}}_2,\mathbf{G}>+\cdots +x^{k-1}<{\mathbf{a}}_{\mathbf{k}},\mathbf{G}>$$

相较而言，第一种方式的安全性是强于第二种的。

思考：若合并形式如下可行吗？

$$x^2{P}_1+x^4{P}_2+\cdots +x^{2k}{P}_k=x^2<{\mathbf{a}}_1,\mathbf{G}>+x^4<{\mathbf{a}}_2,\mathbf{G}>+\cdots +x^{2k}<{\mathbf{a}}_{\mathbf{k}},\mathbf{G}>$$

答：可行，因为任意两项都不由证明者独立计算。

当前知道验证方如何将多个验证等式合并为一个等式，但还是有些疑惑，随机线性化组合有什么作用呢？

在密码协议中，随机线性化组合发挥着巨大的作用，例如随机线性化组合可以缩小验证时间、减少证明大小或者来实现零知识等。以缩小证明大小为例。

缩小证明大小

若验证等式的右侧项形式相同可以合并同类项，则可以缩小证明的大小。回到两个验证等式合并的等式，其可进行如下合并：

$$P_1+r{P}_2=<\mathbf{a},\mathbf{G}>+r<\mathbf{b},\mathbf{G}>=<\mathbf{a}+r\mathbf{b},G>$$

即验证等式为$P_1+r{P}_2=<a+rb,G>$。 验证者将$r$发送给证明者，证明者只需要发送证明$\mathbf{a}+r\mathbf{b}$ 就能证明原来的两个等式成立，流程如下所示。

可以看出，相较于原本的证明$\mathbf{a},b$，元素为$2n$个，现在仅需发送$n$个元素，即$a+rb$。

基于内积分配律和随机线性化组合来缩小证明$a$的大小（针对验证等式$P=<a,G>$）

上面知道可以通过合并验证等式来缩小证明大小。但针对一个验证等式该如何添加辅助项来缩减证明大小还存在疑问。因此在介绍方法之前，先了解一个内积分配律的特殊情况。

分配律的扩展

已知内积满足分配律，对于长度为$n=2^k$的向量$a=(a_L,a_R)$,其中$a_L=(a_0,\cdots ,a_{\frac{n}{2}-1})$ ，$a_R=(a_{\frac{n}{2}},\cdots ,a_{n-1})$，同理$G=(G_L,G_R)$。则$<a,G>=<a_L,G_L>+<a_R,G_R>$。

$\forall x_1,x_2,x_3,x_4\in F$ 时，满足

$$\begin{array}{rl}<x_1{a}_L+x_2{a}_R,x_3{G}_L+x_4{G}_R>=& x_1{x}_3<a_L,G_L>+x_1{x}_4<a_L,G_R>\\ & +x_2{x}_3<a_R,G_L>+x_2{x}_4<a_R,G_R>\end{array}$$

当$x_1{x}_3=x_2{x}_4=k$时，

$$\begin{array}{c}\begin{array}{rl}<x_1{a}_L+x_2{a}_R,x_3{G}_L+x_4{G}_R>=& k<a,G>+\frac{k^2}{x_2{x}_3}<a_L,G_R>\\ & +x_2{x}_3<a_R,G_L>\end{array}\end{array}$$

此时，验证左侧等式的证明为$x_1{a}_L+x_2{a}_R$，长度大小为$\frac{n}{2}$；验证右侧等式的证明为$a$，大小为$n$；

方法

证明者声明$P$通过$<a,G>$计算得到，其中$G$是公开的，$a$只有证明者知道。证明者将$a$发送给验证方进行如下验证。因为$a$由$n$个元素组成。

考虑能否增加两项辅助验证等式使其满足公式(1)右侧中的所有项，并且能合并合并成公式(1)等式左侧的形式。首先，证明者计算辅助验证等式的值为

$$\begin{gathered} K_1=<{\mathbf{a}}_{\mathbf{L}},{\mathbf{G}}_{\mathbf{R}}> \\ {K}_2=<{\mathbf{a}}_{\mathbf{R}},{\mathbf{G}}_{\mathbf{L}}> \end{gathered}$$

将 $K_1,K_2$和$P$发送给验证者，验证者验证以下等式。

$$\begin{gathered} P=<\mathbf{a},\mathbf{G}> \\ {K}_1=<{\mathbf{a}}_{\mathbf{L}},{\mathbf{G}}_{\mathbf{R}}> \\ {K}_2=<{\mathbf{a}}_{\mathbf{R}},{\mathbf{G}}_{\mathbf{L}}> \end{gathered}$$

验证者选择三个随机数$r_1,r_2,r_3\in F$，将其合并为一个验证等式。

$$r_{1}P+r_2{K}_2+r_3{K}_1=r_1<\mathbf{a},\mathbf{G}>+r_2<{\mathbf{a}}_{\mathbf{R}},{\mathbf{G}}_{\mathbf{L}}>+r_3<{\mathbf{a}}_{\mathbf{L}},{\mathbf{G}}_{\mathbf{R}}>$$

此时，当$r_1,r_2,r_3$满足什么条件时，可以将验证等式右侧合并为一项？

从公式(1)可知，当满足$r_2=\frac{r_1^2}{r_3}$时，验证等式右侧可以合并为一项，即$r_{1}P+r_2{K}_2+r_3{K}_1=<x_1{a}_L+x_2{a}_R,x_3{G}_L+x_4{G}_R>$。

同时$r_1,r_2,r_3$还需满足合并的条件，即$r_1\ne r_2\ne r_3$。

使用一个随机数$x$进行合并，同样需要满足上述条件。举个例子，当$r_1=1$，$r_2=x$,$r_3=x^{-1}$，验证多项式为$P+x{K}_2+x^{-1}{K}_1=<x^{-1}{a}_L+a_R,x{G}_L+G_R>$

若验证者将随机值发送给证明者，证明者发送证明$x^{-1}{a}_L+a_R$，验证等式成立，则证明$P$ 是$<a,G>$的值，且证明大小仅为原本的一半。

综上，此时具体流程如图所示。

将左侧验证等式表示为$P^{\prime }=P+x{K}_2+x^{-1}{K}_1$ ，右侧验证等式表示为$<a^{\prime },G^{\prime }>=<x^{-1}{a}_L+a_R,x{G}_L+G_R>$，验证等式写成$P^{\prime }=<a^{\prime },G^{\prime }>$，因此可以继续采取措施缩减证明的大小，直至证明大小为1。如图所示。

$\Sigma$协议

$\Sigma$协议是一个基础的零知识证明协议，它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。

假设存在一个论断$P=aG$，$G$是一个定义在椭圆曲线上的加法群元素，$P$和$G$都是都是公开信息。证明者想证明自己知道$a$，最直接的方式是公开$a$，让验证者验证等式$P=aG$。但证明者并不想泄漏$a$的信息，证明者可以生成一个同形式的随机项$R=rG$作为辅助验证等式，验证者验证以下两个等式。

$$\begin{gathered} R=rG \\ P=aG \end{gathered}$$

此时，验证者选择一个随机数$x$将其合并成一个验证等式$R+xP=(r+xa)G$，证明者只需出示证明$r+xa$即可证明知道隐私信息$a$。具体流程如图所示。