密码学承诺协议

承诺协议

密码学承诺方案是一个涉及两方的二阶段交互协议，双方分别为承诺方和接收方。第一阶段为承诺阶段$c\leftarrow Com(x,r)$，承诺方将声明$x$和随机数$r$用OWF做变换，发送承诺$c$给接收方。第二阶段为打开阶段$(x,r)\leftarrow Decom(c)$，承诺方简单地发送$c$对应的$x,r$给接收方，接收方判断$c=Com(x,r)$是否满足。

承诺方案需要满足的两个基本性质：

1. 隐藏性（Hiding）：对于任意PPT敌手，声明$x_1$和声明$x_2$的承诺$c_1,c_2$不可区分。即承诺不泄露声明的额外信息。

2. 绑定性（Binding）：对于任意PPT敌手，找到两个声明$x_1\ne x_2$以及随机数$r_1,r_2$，使得$c_1=c_2$的概率可以忽略。即不同的声明难以生成相同的承诺。

根据参与方计算能力的不同，承诺方案一般分为两类：计算隐藏完美绑定承诺方案、计算绑定完美隐藏承诺方案。

构造

Hash承诺

1. 承诺阶段：承诺者计算声明 x ∈ { 0 , 1 } ∗ x\in\{0,1\}^* x∈{0,1}∗和随机数$r$的承诺$Com(x,r):=Hash(x||r)$，发送承诺$c$给接收者
2. 打开阶段：承诺者解承诺$Decom(c):=(x,r)$，公开声明$x$和随机数$r$，接收者判断$c=Hash(x||r)$是否满足

用途：校验数据是否发生改变或丢失。

基于PRG的比特承诺

1. 承诺阶段：接收者生成$l$长随机串$A\leftarrow PRG(s)$发送给承诺者，承诺者生成$l$长随机串$B\leftarrow PRG(s^{\prime })$，并计算声明 x ∈ { 0 , 1 } x \in \{0,1\} x∈{0,1}的承诺$Com(x,A,B):=B\oplus (x\wedge A)$，发送承诺$C$给接收者
2. 打开阶段：承诺者解承诺$Decom(C):=(x,s^{\prime })$，公开声明$x$和随机种子$s^{\prime }$，接收者判断$C=PRG(s^{\prime })\oplus (x\wedge A)$是否满足

基于加密算法的承诺

1. 承诺阶段：接收者随机选择 r ∈ { 0 , 1 } ∗ r\in\{0,1\}^* r∈{0,1}∗发给承诺者，承诺者随机选择密钥$K$，计算声明 x ∈ { 0 , 1 } ∗ x\in\{0,1\}^* x∈{0,1}∗的承诺$Com(x,r):=En{c}_K(x||r)$，发送承诺$c$给接收者
2. 打开阶段：承诺者发送密钥$K$给接收者，接收者解承诺$Decom(c):=De{c}_K(c)$得到声明$x$和随机数$r^{\prime }$，接收者判断$r=r^{\prime }$是否满足

Pedersen承诺

1. 初始化阶段：选择乘法群$G=Z_q^{\ast }$，生成元为$g,h$，公开三元组$(g,h,q)$
2. 承诺阶段：承诺者随机选择$r\in Z_q$，计算声明$x\in Z_q$的承诺$Com(x,r):=g^x{h}^r\mathrm{m}\mathrm{o}\mathrm{d}q$，发送承诺$c$给接收者
3. 打开阶段：承诺者解承诺$Decom(c):=(x,r)$，公开声明$x$和随机数$r$，接收者判断$c=g^x{h}^r\mathrm{m}\mathrm{o}\mathrm{d}q$是否满足

加法同态性质：
$$Com(x_1,r_1)\cdot Com(x_2,r_2)\equiv g^{x_1+x_2}{h}^{r_1+r_1}\equiv Com(x_1+x_2,r_1+r_2)$$
用途：恒等关系验证，证明两数之和等于第三个数，并且不透露具体取值。

基于二次剩余的比特承诺

1. 初始化阶段：选择素数$q\equiv 3\mathrm{m}\mathrm{o}\mathrm{d}4$，群$G=Z_q^{\ast }$中元素$y\equiv -1\mathrm{m}\mathrm{o}\mathrm{d}q$，公开二元组$(y,q)$
2. 承诺阶段：承诺者随机选择$r\in Z_q$，计算声明 x ∈ { 0 , 1 } x \in \{0,1\} x∈{0,1}的承诺$Com(x,r):=y^x{r}^2\mathrm{m}\mathrm{o}\mathrm{d}q$，发送承诺$c$给接收者
3. 打开阶段：承诺者解承诺$Decom(c):=(x,r)$，公开声明$x$和随机数$r$，接收者判断$c=y^x{r}^2\mathrm{m}\mathrm{o}\mathrm{d}q$是否满足

由于$q\equiv 3\mathrm{m}\mathrm{o}\mathrm{d}4$，所以Legendre符号满足$(\frac{-1}{q})=-1$，因此$x=0$当仅当 c = C o m ( x , r ) ∈ Q R q = { c ∈ Z q ∗ ∣ ∃ r ∈ Z q ∗ , r ≡ c 2 m o d    q } c=Com(x,r) \in QR_q=\{c\in Z_q^*|\exist r \in Z_q^*,r \equiv c^2 \mod q\} c=Com(x,r)∈QRq​={c∈Zq∗​∣∃r∈Zq∗​,r≡c2modq}，这是NP问题。

加法同态性质：
$$Com(x_1,r_1)\cdot Com(x_2,r_2)\equiv y^{x_1+x_2}(r_1{r}_2{)}^2\equiv Com(x_1\oplus x_2,r_1{r}_2)$$
用途：双方协同掷硬币，硬币正反面取决于异或值。

例子

电子游戏“砸金蛋”：一共有$10$个蛋，其中一个是“金蛋”（可以孵化出小恐龙），其他的都是“银蛋”（只能孵化出小鸡）。玩家选择一个蛋打开，如何让玩家相信是自己没砸中“金蛋”呢？
我们简单地可以给玩家放一段小鸡破壳而出的动画！（开个玩笑）

实际步骤如下：

1. 系统随机生成“金蛋”位置，并对$10$个蛋做编码，比如码字$m=0b0010000000$表示第三个蛋实际上是“金蛋”
2. 系统将$m$用随机数$r$做承诺，$c\leftarrow Com(m,r)$，发送给玩家
3. 玩家选择一个蛋打开，比如码字$m^{\prime }=0b0000100000$表示玩家选择第五个蛋
4. 系统做解承诺，$Decom(c)\to m,r$，发送给玩家
5. 玩家验证$c=Com(m,r)$，并比较$m,m^{\prime }$获知自己是否砸开了“金蛋”

这里，承诺的作用是：1. 系统在不知道玩家的选择之前已经生成了“金蛋”位置，即使之后获得了玩家的选择信息，系统再无法更改已有的“金蛋”位置。2. 玩家虽然知道承诺值，但无法获知“金蛋”位置的任何信息，也就只能随机选择一个蛋。即：“金蛋”确实存在，且系统生成的“金蛋”位置与玩家的选择相独立，这是公平的游戏。