作者:@warm3snow https://github.com/warm3snow
微信公眾號:密碼應用技術實戰
部落格園首頁:https://www.cnblogs.com/informatics/
標籤:技術分享模板
- 簡介
- 承諾方案原理
- 符號定義
- 方案定義
- 常見承諾方案和原理
- 雜湊承諾
- ElGamal承諾
- Pedersen承諾
- 零知識證明承諾
- Sigma承諾
- Sigma承諾正確性證明
- Sigma承諾隱藏性證明
- Sigma承諾繫結性證明
- Sigma承諾零知識性證明
- Sigma非互動式零知識證明承諾
- Pedersen零知識承諾
- Pedersen零知識承諾的正確性證明
- Pedersen零知識承諾的零知識性證明
- Sigma承諾
- 承諾方案對比
- 總結
- 參考文獻
簡介
承諾方案(Commitment Scheme)是一個重要的密碼學原語(cryptographic primitive), 承諾方案是一種加密協議,允許傳送者承諾一個選擇的值(或宣告),同時對接收者保持隱藏,而接收者能夠在稍後驗證所承諾的值。承諾方案通常可以分為兩個階段。
- 承諾階段(Commitment Phase): 傳送方傳送一個承諾值給接收方,這個值是傳送方選擇的,接收方無法知道這個值的內容。
- 開啟階段(Opening Phase): 傳送方開啟這個承諾,接收方可以驗證這個值的內容。
密碼學承諾方案在多個領域有廣泛的應用,以下是一些主要的應用場景:
- 電子投票:在電子投票系統中,承諾方案可以確保選民在投票時能夠保密其選擇,同時在投票結束後能夠驗證其投票的有效性。
- 拍賣:在拍賣中,承諾方案可以讓競標者在拍賣開始時提交他們的出價,而不透露具體的出價金額。拍賣結束時,所有出價可以被揭示並驗證,以確保競標者的出價是誠實的。
- 安全多方計算:在多方計算中,參與者可以使用承諾方案來承諾他們的輸入,而不需要在計算過程中透露這些輸入。這有助於保護參與者的隱私。
- 數字簽名:承諾方案可以用於構建數字簽名方案,確保訊息的完整性和不可否認性。
- 區塊鏈和加密貨幣:在區塊鏈技術中,承諾方案可以用於確保交易的隱私和安全性。例如,某些隱私幣(如Zcash)使用承諾方案來隱藏交易金額和傳送者資訊。
- 身份驗證:承諾方案可以用於身份驗證協議中,允許使用者在不透露其身份資訊的情況下證明其身份。
- 遊戲理論:在博弈論中,承諾方案可以用於設計機制,使參與者能夠在不透露其策略的情況下進行合作或競爭。
承諾方案原理
符號定義
- \(C\): 承諾值
- \(m\): 明文
- \(r\): 隨機數,需要保證每次承諾的隨機數不同
- \(H\): 雜湊函式
- \(||\): 字串連線
- \([m]\): 明文\(m\)的承諾值
- \([m;r]\): 明文\(m\)和隨機數\(r\)的承諾值
- \(G_p\): 模素數\(p\)的階為\(q\)的迴圈群
- \(g\): \(G_p\)的生成元
- \(h\): \(G_p\)的生成元, 與\(g\)為獨立生成元,即g和h生成的子群相互獨立
- \(G\): 橢圓曲線上的點,即\((G_x, G_y)\), 通常情況下\(G\)是橢圓曲線的生成元
- \(H\): 橢圓曲線上的點,即\((H_x, H_y)\), 通常境況下\(H\)隨機選取
- 明文\(m\)的Pedersen承諾值:\([m;r] = g^m \cdot h^r\)
方案定義
承諾方案是一個三元組, 包含\((Commit, Open, Verify)\),其中:
- \(Commit\):傳送方的承諾演算法,通常傳送方選擇一個明文\(m\)和一個隨機數\(r\),計算承諾值\(C\)。
- \(Open\):傳送方的開啟演算法, 通常傳送方揭示明文\(m\)和隨機數\(r\)。
- \(Verify\):接收方的驗證演算法, 通常接收方驗證承諾的正確性。
承諾值有兩個屬性:
- 隱藏性(Hiding):接收方無法知道傳送方的承諾值對應的明文。
- 繫結性(Binding):傳送方無法在承諾值開啟之後更改明文。
注:以上兩種描述並不嚴謹
承諾方案一般涉及到兩方,傳送方和接收方。傳送方選擇一個明文\(m\)和一個隨機數\(r\),計算承諾值\(C\),併傳送\(C\)給接收方。在某個時刻,傳送方開啟承諾,揭示\(m\)和\(r\)。接收方使用\(C\)和揭示的\(m\)和\(r\)驗證承諾的正確性。
常見承諾方案和原理
常見的承諾方案有 雜湊承諾、ElGamal承諾、Pedersen承諾和 Sigma承諾等。雖然承諾方案的實現方式不同,但其基本原理相似。
關鍵流程如下:
[01] 傳送承諾:Sender選取隨機數\(r\), 並計算\(m\)的承諾值\(C\),傳送給Receiver。(這裡的隨機數\(r\)是為了保證每次承諾的值不同)
[02] 開啟承諾:Sender開啟承諾,揭示\(m\)和\(r\)。
[03] 驗證承諾:Receiver重新計算承諾值\(C^{'}\),並驗證\(C^{'}\)和\(C\)是否相等。相等則認為承諾驗證透過,否則承諾驗證失敗。
雜湊承諾
雜湊承諾是一種簡單的承諾方案,透過雜湊函式來實現承諾。假設\(H\)是一個雜湊函式,\(m\)是明文。
雜湊承諾的構造如下:
- 承諾階段:傳送方選擇一個明文\(m\),計算承諾值\(C = H(m)\),併傳送\(C\)給接收方。
- 開啟階段:傳送方揭示明文\(m\)。
- 驗證階段:接收方重新計算承諾值\(C^{'} = H(m)\),並驗證\(C^{'}\)和\(C\)是否相等。
雜湊承諾的隱藏性和繫結性是基於雜湊函式的性質,雜湊函式是單向函式,接收方無法從承諾值\(C\)推匯出明文\(m\)。同時,雜湊函式是抗碰撞的,傳送方無法找到兩個不同的\(m\),使得\(C = H(m)\)。
雜湊承諾隱藏性較差,在明文空間有限的情況下,可能會發生碰撞; 雜湊承諾對於相同的明文\(m\),承諾值\(C\)是固定的,雖然引入隨機數\(r\)可以解決這個問題,但會破壞繫結性,因為傳送方可以在保證\(m||r\)不變的情況下,隨便更改\(m\)和\(r\)的值。
ElGamal承諾
ElGamal承諾是一種基於離散對數問題的困難性假設構造的承諾方案。假設\(G_p\)是階為\(q\)的迴圈群,\(g, h\)是生成元, \(m\)是明文
ElGamal承諾的構造如下:
- 承諾階段:傳送方選擇一個明文\(m\)和一個隨機數\(r\),計算承諾值\(C = (g^r, m \cdot h^r)\),併傳送\(C\)給接收方。
- 開啟階段:傳送方揭示明文\(m\)和隨機數\(r\)。
- 驗證階段:接收方重新計算承諾值\(C^{'} = (g^r, m \cdot h^r)\),並驗證\(C^{'}\)和\(C\)是否相等。
ElGamal承諾的隱藏性和繫結性是基於離散對數問題的困難性假設,接收方無法從承諾值\(C\)推匯出明文\(m\),傳送方無法找到兩個不同的\((r_1, m_1)\)和\((r_2, m_2)\),使得\(C = (g^{r_1}, m_1 \cdot h^{r_1}) = (g^{r_2}, m_2 \cdot h^{r_2})\)。
假設傳送方找到兩個不同的\((r_1, m_1)\)和\((r_2, m_2)\),使得\(C = (g^{r_1}, m_1 \cdot h^{r_1}) = (g^{r_2}, m_2 \cdot h^{r_2})\),則有:
與假設矛盾,因此ElGamal承諾具有繫結性。
Pedersen承諾
Pedersen承諾是一種基於離散對數問題的困難性假設構造的承諾方案。假設\(G_p\)是階為\(q\)的乘法群,\(g, h\)是獨立生成元,\(m\)是明文。
Pedersen承諾的構造如下:
- 承諾階段:傳送方選擇一個明文\(m\)和一個隨機數\(r\),計算承諾值¥C = g^m \cdot h^r\(,併傳送\)C$給接收方。
- 開啟階段:傳送方揭示明文\(m\)和隨機數\(r\)。
- 驗證階段:接收方重新計算承諾值\(C^{'} = g^m \cdot h^r\),並驗證\(C^{'}\)和\(C\)是否相等。
Pedersen承諾的隱藏性和繫結性是基於離散對數問題的困難性假設,接收方無法從承諾值\(C\)推匯出明文\(m\),傳送方無法找到兩個不同的\((r_1, m_1)\)和\((r_2, m_2)\),使得\(C = g^{m_1} \cdot h^{r_1} = g^{m_2} \cdot h^{r_2}\)。
假設傳送方找到兩個不同的\((r_1, m_1)\)和\((r_2, m_2)\),使得\(C = g^{m_1} \cdot h^{r_1} = g^{m_2} \cdot h^{r_2}\),則有:
由於\(g\)和\(h\)是獨立生成元, 即它們生成的子群沒有重疊,這意味著\(g^{m_1 - m_2} = h^{r_2 - r_1}\)只有在\(_1 - m_2 = 0\)和\(r_2 - r_1 = 0\)時才成立,即:
與假設矛盾,因此Pedersen承諾具有繫結性。
Pedersen承諾也可以基於ECC構造,假設\(G\)和\(H\)是橢圓曲線上的點,\(m\)是明文,\(r\)是隨機數。
- 承諾階段:傳送方選擇一個明文\(m\)和一個隨機數\(r\),計算承諾值\(C = mG + rH\),併傳送\(C\)給接收方。
- 開啟階段:傳送方揭示明文\(m\)和隨機數\(r\)。
- 驗證階段:接收方重新計算承諾值\(C^{'} = mG + rH\),並驗證\(C^{'}\)和\(C\)是否相等。
隱藏性和繫結性略,與上述類似。
Pedersen承諾有一個重要的性質:同態性。即兩個Pedersen承諾的和等於明文的和的Pedersen承諾。假設\(C_1 = g^{m_1} \cdot h^{r_1}\)和\(C_2 = g^{m_2} \cdot h^{r_2}\)是兩個Pedersen承諾,\(m_1, m_2\)是明文,\(r_1, r_2\)是隨機數。則有:
使用ECC構造的Pedersen承諾也具有同樣的性質。如下:
Pedersen承諾的同態性可以用於保證密態的加法性,即兩個密文的和等於明文的和的密文。如在門羅幣中,礦工節點透過驗證Pedersen承諾可以檢查交易UTXO的輸入和是否等於輸出和(是否憑空產生門羅幣)。
零知識證明承諾
在上一章中介紹的承諾方案中,傳送方和接收方之間的通訊是明文的,即接收方可以獲得傳送方的明文資訊。在某些情況下,傳送方希望向接收方證明自己擁有某個明文,而不透露明文的具體內容。這時,可以使用 零知識證明承諾方案。
零知識證明承諾是一種特殊的承諾方案,允許傳送方向接收方證明自己擁有某個明文,而不透露明文的具體內容。零知識證明承諾方案根據在證明階段是否互動可以分為:
- 互動式零知識證明承諾:傳送方和接收方之間需要互動,傳送方向接收方傳送證明,接收方驗證證明。
- 非互動式零知識證明承諾:傳送方可以在不與接收方互動的情況下生成證明,接收方可以驗證證明。
Sigma承諾
Sigma承諾是一種基於離散對數問題的困難性假設構造的零知識承諾方案。Sigma承諾的互動式證明流程如下:
- [01] 傳送承諾:Sender選取隨機數\(r\),並生成承諾\(C = r.G\),傳送\(C\)給Receiver。
- [02] 傳送挑戰:Receiver傳送一個隨機挑戰\(e\)給Sender;
- [03] 傳送挑戰:Sender計算證明\(z = m + er\),併傳送給Receiver。(注這裡的proof是z,用於隱藏r和m)
- [04] 承諾驗證:Receiver驗證Proof, 即驗證\(z.G == C + e.Q\)。
Sigma承諾正確性證明
等式左邊等於等式右邊,因此按照Sigma承諾協議流程,驗證方Receiver可以正確驗證
Sigma承諾隱藏性證明
非嚴格證明,由於Receiver僅知道\(C\),根據離散對數問題的困難性假設,Receiver無法計算出\(r\)的值,保證了承諾的隱藏性。
Sigma承諾繫結性證明
假設Receiver可以找到兩個不同的\((r_1)\)和\((r_2)\),使得\(C = r_1.G = r_2.G\),則有:
與假設矛盾,因此Sigma承諾具有繫結性。
Sigma承諾零知識性證明
非嚴格證明,由於Receiver僅知道\((Q, C, e, z)\),並且基於該已知資訊,無法計算出\(m\)的值,保證了承諾的零知識性
Sigma非互動式零知識證明承諾
Sigma承諾也可以使用Fiat-Shamir heuristic構造為非互動式零知識證明承諾。具體流程如下:
- [01] 計算承諾:Sender選取隨機數\(r\),並生成承諾\(C = r.G\);
- [02] 計算挑戰:Sender計算挑戰\(e = H(Q, C)\),並計算證明\(z = r + e.m\);
- [03] 傳送(e, z):Sender傳送挑戰\(e\)和證明\(z\)給Receiver;
- [04] 驗證:Receiver計算\(A = z.G - e.Q\),並驗證\(e == H(Q, A)\)。
Sigma承諾的非互動式零知識證明承諾的正確性、隱藏性、繫結性和零知識性證明與互動式零知識證明承諾類似。需要注意的是:
- 非互動式零知識證明承諾的安全性與雜湊函式的選擇有關,需要選擇一個安全的雜湊函式。
- 與互動式零知識證明承諾相比,非互動式零知識證明承諾的效能更好,因為傳送方和接收方之間不需要互動。
- 與互動式零知識證明承諾相比,非互動式零知識證明承諾傳送的資料量更小,資料量只有挑戰\(e\)和證明\(z\),不需要傳送承諾值\(C\)。
Pedersen零知識承諾
Pedersen承諾也可以構造為零知識承諾方案。 下面我們直接介紹非互動式版本的Pedersen零知識承諾方案。
- [01] 傳送承諾:Sender選取隨機數\(r\),並生成承諾\(C = m.G + r.H\),傳送\(C\)給Receiver。(承諾階段不變)
- [02] 生成挑戰:Sender生成兩個隨機數\(x\)和\(y\);
- [03] 生成證明:Sender計算\(P = x.G + y.H\),並計算\(h = H(P)\),然後計算\(x^{'} = x + h.m\)和\(y^{'} = y + h.r\);
- [04] 傳送證明:Sender傳送證明\((P, x^{'}, y^{'})\)給Receiver;
- [05] 驗證:Receiver驗證證明,計算\(h = H(P)\),並驗證\(P + h.C == x^{'}G + y^{'}H\)。
Pedersen零知識承諾的隱藏性、繫結性與Pedersen承諾類似。需要注意的是:
- Pedersen零知識承諾的安全性與雜湊函式的選擇有關,需要選擇一個安全的雜湊函式。
Pedersen零知識承諾的正確性證明
等式左邊等於等式右邊,因此按照Pedersen零知識承諾協議流程,驗證方Receiver可以正確驗證.
Pedersen零知識承諾的零知識性證明
非嚴格證明,由於Receiver僅知道\((C, P, x^{'}, y^{'})\),並且基於該已知資訊,無法計算出\(m\)和\(r\)的值,保證了承諾的零知識性。
承諾方案對比
下表對比了雜湊承諾、ElGamal承諾、Pedersen承諾和Sigma承諾的性質:
| 承諾方案 | 隱藏性 | 繫結性 | 同態性 | 零知識性 | 效能 | |
|---|---|---|---|---|---|
| 雜湊承諾 | 差 | 差 | 否 | 否 | 高 |
| ElGamal承諾 | 好 | 好 | 是 | 否 | 較高 |
| Pedersen承諾 | 好 | 好 | 是 | 否 | 較高 |
| Sigma承諾-互動式 | 好 | 好 | 是 | 是 | 一般 |
| Sigma承諾-非互動式 | 好 | 好 | 是 | 是 | 較高 |
| Pedersen零知識承諾-非互動式 | 好 | 好 | 是 | 是 | 較高 |
透過對比發現,Pedersen承諾和Sigma承諾是比較優秀的承諾方案,具有隱藏性、繫結性和同態性。Sigma承諾是一種零知識承諾方案,可以保證傳送方向接收方證明自己擁有某個明文,而不透露明文的具體內容。Pedersen承諾具有同態性,可以用於保證密文的加法性。因此,Pedersen承諾和Sigma承諾在實際應用中具有廣泛的應用。
總結
本文介紹了承諾方案的基本原理和常見的承諾方案,包括雜湊承諾、ElGamal承諾、Pedersen承諾和Sigma承諾。承諾方案是一種重要的密碼學原語,可以用於保證傳送方的承諾值對應的明文,同時隱藏明文的具體內容。承諾方案在多個領域有廣泛的應用,包括電子投票、拍賣、安全多方計算、數字簽名、區塊鏈和加密貨幣、身份驗證和遊戲理論等。透過對比發現,Pedersen承諾和Sigma承諾是比較優秀的承諾方案,具有隱藏性、繫結性和同態性。Pedersen承諾具有同態性,可以用於保證密文的加法性。Sigma承諾是一種零知識承諾方案,可以保證傳送方向接收方證明自己擁有某個明文,而不透露明文的具體內容。因此,Pedersen承諾和Sigma承諾在實際應用中具有廣泛的應用。
希望透過本文的介紹,讀者對承諾方案有一個更深入的瞭解,為實際應用提供參考。
參考文獻
- 【1】Pedersen Commitment
- 【2】Zero-Knowledge Proofs: An illustrated primer
- 【3】Sigma Protocol
- 【4】Zero Knowledge Proofs: Example with Pedersen Commitments in Monero