密码学 | 承诺：Pedersen 承诺 + ZKP

​

🥑原文：Toward Achieving Anonymous NFT Trading

🥑写在前面：看了篇 22 年 SCI 3 区论文，里面提到在 Pedersen 承诺的揭示阶段可以使用零知识证明，而不必揭示消息明文和随机数。姑且记录一下这个方法。

1 Pedersen 承诺

以下是原文对 Pedersen 承诺的介绍😽

​一个承诺方案在承诺者 C 和接收者 R 之间进行。承诺者首先对一个秘密消息进行承诺，并将承诺发送给接收者。将来，这个秘密消息被打开给接收者，并且有一个有效的算法来验证打开的消息确实是用于生成承诺的确切消息。

这一段是对承诺的介绍，承诺全称就是承诺方案。

为此，公布一个具有阶 $q$ 的群 $\mathcal{G}$ 和两个生成元 $G$ 和 $H$ 作为公共参数。C 随机选择 $r\in Z_q$，并通过生成 $com=mG+rH$ 来对消息 $m$ 进行承诺，其中 $com$ 发送给 R 。C 通过透露 $(m,r)$ 来打开这个承诺，以便 $R$ 可以检查 $com=mG+rH$ 是否成立。

我真是服了：$\mathcal{G}$ 和 $G$ 都是字母 G，只不过使用了不同的字体，以区分一个是循环群，一个是生成元。

2 Pedersen 承诺 + ZKP

为了保护消息 $m$ 不被泄露给他人，C 可以生成一个关于消息打开过程的 知识证明，这样就能证明自己对消息内容的知晓，而不必直接透露消息本身，这一方案建立在如下原理之上。

在之前的学习中，C 都是直接揭示的消息 $m$ 明文。如果消息 $m$ 不涉及隐私，那么公布明文也无所谓，承诺的主要作用也只是为了防止 C 胡乱解读消息；如果消息 $m$ 涉及隐私，那么我们将不希望公布明文。

承诺阶段

C 选择随机数 $r$ 为消息 $m$ 生成承诺：

$$com=m\ast G+r\ast H$$

C 将承诺 $com$ 发送给 R 。

承诺阶段的操作没有改变。

揭示阶段

C 并不直接给 R 发送 $(m,r)$，而是 $(P,x^{\prime },y^{\prime })$：

$$\begin{array}{rl}& x,y\leftarrow Z_q\\ & P=x\ast G+y\ast H\\ & h\leftarrow RO(P)\\ & x^{\prime }=x+h\ast m,y^{\prime }=y+h\ast r\end{array}$$

R 收到 $(P,x^{\prime },y^{\prime })$ 后验证：

$$\begin{array}{rl}& h\leftarrow RO(P)\\ & P+h\ast com\stackrel{?}{=}{x}^{\prime }\ast G+y^{\prime }\ast H\end{array}$$

注意：RO 是指 Random Oracle 随机预言机 这一抽象概念，在具体实现中通常是一个抗碰撞的哈希函数。

我的证明

对式子 $(6)$ 的证明如下：

$$\begin{array}{rl}P+h\ast com& =(x\ast G+y\ast H)+h\ast (m\ast G+r\ast H)\\ & =(x+h\ast m)\ast G+(y+h\ast r)\ast H\\ & =x^{\prime }\ast G+y^{\prime }\ast H\end{array}$$