密码协议学习笔记(8.15):知识证据详解

在开始前,先回顾以下的知识点:

离散对数问题(Discrete logarithm Problem,DLP)难解性猜想:

给定以大素数$p$为阶的循环群$G$,$g,h\in G$是两个生成元(在素数阶群上等价于非恒等元),求解$t$,使得$h^t=g$在计算上是不可行的.

Diffie-Hellman的计算难解性(Computational Diffie-Hellman,CDH)猜想:

已知$a,b\in Z_p$但不知道其具体值,给定以大素数$p$为阶的循环群$G$,$g$是其生成元,只知道$g^a,g^b$的情况下,计算$g^{ab}$在计算上是不可行的.

Diffie-Hellman的判定难解性(Decisional Diffie-Hellman,DDH)猜想

已知$a,b,c\in Z_p$,但不知道其具体值,给定以大素数$p$为阶的循环群$G$,$g$是其生成元,对于如下两个四元组

$$(g,g^a,g^b,g^c)$$

$$(g,g^a,g^b,g^{ab})$$

以不可忽略的正确概率进行区分,在计算上是不可行的.

考虑如下的问题:

在以大素数$p$为阶的循环群$G$上,生成元$g$是公开信息,Alice的手中持有私钥$s$,现在Alice向Bob发送$d_1=g^s$,Alice要如何在不透露$s$具体是多少的前提下,证明$d_1$就是以$g$为底,以$s$为指数的值呢?

思路:如果$G$的另一个生成元$h$是公开的(但没人知道$g^{?}=h$),Bob持有另外一个值$d_2$,并且Bob相信$d_2=h^s$,那么Alice可以使用以下的方法证明二者的指数相等(即${\log }_g{d}_1={\log }_h{d}_2$)

该方案需要使用一个Hash函数,记为$H:\{0,1{\}}^{\ast }\to [0,p-1]$,记$||$为字符串拼接操作(博主有时候在多个字符串拼接起来作为函数输入的情况下,会混用拼接符号与逗号,如$f(\cdot ||\cdot )$与$f(\cdot ,\cdot )$)

1. 选取一个随机数$\omega \in [0,p-1]$
2. 计算$$a=g^{\omega }$$ $$b=h^{\omega }$$
3. 计算$$c=H(d_1||d_2||a||b)$$
4. 计算$$r=\omega -sc$$
5. 将$PROOF=(c,r)$作为知识证据发送

Bob在收到知识证据后,计算

$$a^{\prime }=g^r{d}_1^c$$

$$b^{\prime }=h^r{d}_2^c$$

$$c^{\prime }=H(d_1||d_2||a^{\prime }||b^{\prime })$$

然后判断$c=c^{\prime }$是否成立,若成立,则认可$d_1$有效(或者说,认可${\log }_g{d}_1={\log }_h{d}_2$)

实际上

$$\begin{array}{rl}{a}^{\prime }=& g^r{d}_1^c\\ =& g^{\omega -sc}\cdot (g^s{)}^c\\ =& g^{\omega }\\ =& a\end{array}$$

$$\begin{array}{rl}{b}^{\prime }=& h^r{d}_2^c\\ =& h^{\omega -sc}\cdot (h^s{)}^c\\ =& h^{\omega }\\ =& b\end{array}$$

那么显然有

$$\begin{array}{rl}{c}^{\prime }=& H(d_1||d_2||a^{\prime }||b^{\prime })\\ =& H(d_1||d_2||a||b)\\ =& c\end{array}$$

注意,两个生成元$g,h$之间的对数$t={\log }_{h}g$不可公开(或者干脆随机生成$g,h$,我自己也不知道$t$是多少,嘿嘿).否则,如果有人知道了$t$,使得$h^t=g$,那么它就可以在仅知道$d_2=h^s$的情况下,计算出$(d_2{)}^t=(h^s{)}^t=h^{ts}=g^s=d_1$

问题来了,如何让Bob在不知道$s$的情况下,相信自己手中的$d_2=h^s$呢?借助可信第三方TTP不失为一个办法,然而既然有了TTP,干嘛还需要知识证据呢?

下面看一个知识证据在PVSS(回顾密码协议学习笔记(8.1):秘密分享 - Isakovsky - 博客园 (cnblogs.com))里的应用:

在此方案中,验证者只需要认可加密的函数值(即$Y_i=y_i^{p(x)}$)正确地来自于加密的系数(即$C_j=g^{{\alpha }_j}$)构成的函数即可.

给定大质数分发者Deliver做如下工作,以加密的秘密碎片形式分发秘密碎片:

1. 选取形如$$p(x)={\alpha }_0+{\alpha }_{1}x+{\alpha }_2{x}^2+\cdots +{\alpha }_{t-1}{x}^{t-1}$$的随机多项式,其中${\alpha }_i\in [1,p-1]$
2. 计算出$p(1),p(2)\cdots ,p(n)$
3. 计算$s_1,s_2,\cdots ,s_n$,其中$$s_i=h^{p(i)}$$
4. 使用参与者的公钥$y_1,y_2,\cdots ,y_n$计算并公开加密的秘密碎片$Y_1,Y_2,\cdots ,Y_n$,其中$$Y_i=(y_i{)}^{p(i)}$$

为了达到加密的秘密碎片的公开可验证,Deliver需要进行以下操作:

1. 计算并公开多项式$p(x)$的每个系数${\alpha }_0,{\alpha }_1,\cdots ,{\alpha }_{t-1}$分别对应的公共承诺$C_0,C_1,\cdots ,C_{t-1}$,其中$$C_j=g^{{\alpha }_j}$$
2. 通过公共承诺计算出对每个成员$P_1,P_2,\cdots ,P_n$的私人承诺$X_1,X_2,\cdots ,X_n$,其中$$\begin{array}{rl}{X}_i=& {\mathrm{\Pi }}_{j=0}^{t-1}(C_j{)}^{(i^j)}\\ =& {\mathrm{\Pi }}_{j=0}^{t-1}(g^{{\alpha }_j}{)}^{(i^j)}\\ =& g^{{\alpha }_0}\cdot g^{{\alpha }_1\cdot i}\cdot g^{{\alpha }_2{i}^2}\cdots g^{{\alpha }_{t-1}{i}^{t-1}}\\ =& g^{{\alpha }_0+{\alpha }_{1}i+{\alpha }_2{i}^2+\cdots +{\alpha }_{t-1}{i}^{t-1}}\\ =& g^{p(i)}\end{array}$$ 但私人承诺可以不必直接公开,实际上,公共承诺与私人承诺是等价的,因为任何人都可以通过公开的公共承诺,计算对某个成员的私人承诺.
3. 选取随机数${\omega }_1,{\omega }_2,\cdots ,{\omega }_n\in [0,p-1]$
4. 计算$a_1,a_2,\cdots ,a_n$,其中$$a_i=g^{{\omega }_i}$$
5. 计算$b_1,b_2,\cdots ,b_n$,其中$$b_i=y_i^{{\omega }_i}$$
6. 计算公共质询值$$c=H(X_1,X_2,\cdots ,X_n,Y_1,Y_2,\cdots ,Y_n,a_1,a_2,\cdots ,a_n,b_1,b_2,\cdots ,b_n)$$
7. 计算对成员$P_1,P_2,\cdots ,P_n$的应答$r_1,r_2,\cdots ,r_n$,其中$$r_i={\omega }_i-p(i)c$$
8. 将$PROO{F}_D=(c,r_1,r_2,\cdots ,r_n)$作为知识证据公开

获得Deliver的公开信息后,任何人想验证加密的秘密碎片$Y_1,Y_2,\cdots ,Y_n$的有效性,需要进行以下步骤:

在既不知道$p(x)$的表达式中的系数${\alpha }_j$,也不知道任何一个$p(i)$的情况下,通过$PROO{F}_D$,来确认$Y_i=y_i^{p(x)}$的确来自于$C_j=g^{{\alpha }_j}$构成的函数

1. 使用公共承诺自行计算出所有的私人承诺$$X_i={\mathrm{\Pi }}_{j=0}^{t-1}(C_j{)}^{(i^j)}=g^{p(i)}$$
2. 观察$X_i=g^{p(i)},Y_i=y_i^{p(i)}$,因为$X_i,Y_i$的底数$g,y_i$均是已知的,只需要比较它们的指数是否相同,但由于离散对数问题的难解性,进行这样的比较需要借助知识证据$PROO{F}_D$,并且绕几个弯:
   1. 计算所有的

      $$\begin{array}{rl}{a}_i^{{}^{\prime }}=& g^{r_i}(X_i^{{}^{\prime }}{)}^c\\ =& g^{r_i}{X}_i^c\\ =& g^{{\omega }_i-p(i)c}(g^{p(i)}{)}^c\\ =& g^{{\omega }_i}\\ =& a_i\end{array}$$

      $$\begin{array}{rl}{b}_i^{{}^{\prime }}=& {y_i}^{r_i}{Y}_i^c\\ =& {y_i}^{r_i}{Y}_i^c\\ =& {y_i}^{{\omega }_i-p(i)c}(y_i^{p(i)}{)}^c\\ =& y_i^{{\omega }_i}\\ =& b_i\end{array}$$

   2. 然后计算

      $$c^{\prime }=H(X_1^{{}^{\prime }},X_2^{{}^{\prime }},\cdots ,X_n^{{}^{\prime }},Y_1,Y_2,\cdots ,Y_n,a_1^{{}^{\prime }},a_2^{{}^{\prime }},\cdots ,a_n^{{}^{\prime }},b_1^{{}^{\prime }},b_2^{{}^{\prime }},\cdots ,b_n^{{}^{\prime }})$$

      如果$c^{\prime }=c$,则接受Deliver的所有输出为有效.

      不考虑哈希碰撞,显然$c^{\prime }=c$当且仅当Deliver正确运行了协议.

如此,验证者便对所有的$Y_1,Y_2,\cdots ,Y_n$建立了信任.

$Y_i$不仅可以表示为$Y_i=y_i^{p(i)}$,在参与者提交了$S_i$之后,还可以表示为$Y_i=S_i^{x_i}$

而实际上,$y_i=h^{x_i}$,$h$是公开的.

之后其他参与者$P_i$可用开头的方案将验证者对$Y_i$的信任传递,,以让验证者确信,提交$S_i$的自己确实掌握着$x_i$