Almost Optimal Short Adaptive Non-Interactive Zero Knowledge学习笔记

1. 背景知识

Helger Lipmaa 2014年eprint 论文《Almost Optimal Short Adaptive Non-Interactive Zero Knowledge》：

• 提出新的Hadamard product argument。借助Gennaro等人2013年论文《Quadratic Span Programs and Succinct NIZKs without PCPs》的QAP机制，将Hadamard product argument理解为：The product argument is enssentially a polynomial quadratic arithmetic program (QAP) for the circuit that computes $n$ multiplications in paralle, with additional elements to guarantee security in our setting。且在本文中的新的Hadamard product argument，Prover对应的计算有：3个polynomial interpolation（over ${\mathbb{Z}}_p$），1个polynomial multiplication（over ${\mathbb{Z}}_p$）、1个polynomial division（over ${\mathbb{Z}}_p$）和2个$n-$wide multi-exponentiations。Prover的计算时间为$\Theta (n\log n)$，assuming that $p$ satisfies a mild criterion。
• 采用了新的同态trapdoor commitment scheme——interpolating commitment scheme。【其实就是将2.1节中的$x$替换为多项式$P_i(\sigma )$来构建CRS。Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的CRS特例化为：$P_0(X)=Z(X)=1,P_i(X)=X^i$。】
• 新的shift argument。
• 新的restriction argument。
• 新的range argument。The new range argument can be seen as a short program in the scan vector parallel computation model [Ble90] that operates on committed vectors of length $n$。（可由1个restriction argument，1个shift argument，2个product argument组成。）
  

2. trapdoor commitment scheme

2.1 何为trapdoor commitment scheme？

trapdoor commitment scheme主要针对的是CRS场景，如上图中的$x$为trapdoor key，该key值应对Prover和Verifier均不可知（传说中的有毒垃圾？），否则，如对向量$\vec{0}$的knowledge commitment $(c,\hat{c}),c=g^t,\hat{c}={\hat{g}}^t$，若Prover若知道x值，可将$c$open为任意的消息$a_1,\cdots ,a_n;r=t-{\sum }_{i=1}^n{a}_i{x}^i$，使得Verifier验证$c=g^r{\prod }_{i=1}^n{g}_i^{a_i}$、$\hat{c}={\hat{g}}^r{\prod }_{i=1}^n{\widehat{g_i}}^{a_i}$以及$e(g,\hat{c})=e(\hat{g},c)$均成立，从而破坏了commitment的binding属性要求。

2.2 pairing-based polynomial (trapdoor) commitment scheme

其实就是将2.1节中的$x$替换为多项式$P_i(\sigma )$来构建CRS。Groth 2010年论文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》中的CRS特例化为：$P_0(X)=Z(X)=1,P_i(X)=X^i$。

2.2.1 { P i } \{P_i\} {Pi​}-Commitment Scheme

相应的trapdoor key为$(\sigma ,\alpha )$，其security依赖于$q-$type假设：

2.2.2 Interpolating Commitment Scheme

Interpolating Commitment Scheme的核心思想为：将要commit的向量$\vec{a}=(a_1,\cdots ,a_n)$以$n-1$阶多项式系数表示$L_a(X)=a_1+a_{2}X+\cdots +a_n{X}^{n-1}$，该多项式再用$w_i$【其中$Z(X)=X^n-1，Z(w_i)=0，w_i=w^{i-1}$，其中$w$为n-th of root】进行Lagrange插值，对应的$n-1$阶Lagrange basis polynomial为：$l_i(X)={\prod }_{j\ne i}^{}\frac{X-w_j}{w_i-w_j}，相应地有：l_i(w_i)=1and{l}_i(w_j)=0forj\ne i$。
对应地：$L_a(X)={\sum }_{i=1}^n{a}_i{l}_i(X)$ is the interpolating (Lagrange) polynomial of $\vec{a}$ at points $w_i$，$L_a(w_i)=a_i$。

3. 零知识 Zero Knowledge

4. Hadamard Product Argument

单位矩阵$I_n=\left(\begin{array}{cccc}1& 0& \cdots & 0\\ 0& 1& \cdots & 0\\ \ddots & \ddots & \ddots & 0\\ 0& 0& \cdots & 1\end{array}\right)=\left(\begin{array}{c}{\vec{e}}_1\\ {\vec{e}}_2\\ \cdots \\ {\vec{e}}_n\end{array}\right)$
全1向量为${\vec{1}}_n=(1,\cdots ,1)$

需证明：
$\vec{a}\circ \vec{b}=(a_1{b}_1,\cdots ,a_n{b}_n)=\vec{c}=(c_1,\cdots ,c_n)$
当且仅当：
$({\vec{a}}^T{I}_n)\circ ({\vec{b}}^T{I}_n)=({\vec{c}}^T{I}_n)\circ ({\vec{1}}_n^T{I}_n)$
$\Rightarrow$
$(\sum a_i{\vec{e}}_i)\circ (\sum b_i{\vec{e}}_i)=(\sum c_i{\vec{e}}_i)\circ (\sum {\vec{e}}_i)$

上述公式可理解为：有一个arithmetic circuit $C$，具有$n$个parallel multiplication gates, that on given inputs $\vec{a}$ and $\vec{b}$ returns $\vec{c}$ as the output。

构建多项式：$Q^{\vec{a},\vec{b},\vec{c}}(X)=L_a(X)L_b(X)-L_c(X)L_{1_n}(X)$
借助2.2.2节的Interpolating Commitment Scheme概念，取$n$个不同值$w_1,\cdots ,w_n$，满足$Z(X)=X^n-1，Z(w_i)=0$。同时$L_a(X)={\sum }_{i=1}^n{a}_i{l}_i(X)，L_b(X)={\sum }_{i=1}^n{b}_i{l}_i(X)，L_c(X)={\sum }_{i=1}^n{c}_i{l}_i(X)，L_{1_n}(X)={\sum }_{i=1}^n{l}_i(X)$【$n-1$阶Lagrange basis polynomial $l_i(X)={\prod }_{j\ne i}^{}\frac{X-w_j}{w_i-w_j}，相应地有：l_i(w_i)=1and{l}_i(w_j)=0forj\ne i$。】，从而有$Q^{\vec{a},\vec{b},\vec{c}}(X)$为$(n-1)+(n-1)=2n-2$阶。
若$a_i{b}_i=c_i$成立，则有：
$Q^{\vec{a},\vec{b},\vec{c}}(w_i)=a_i{b}_i-c_i=0$，即$Q^{\vec{a},\vec{b},\vec{c}}(X)$在$n$个不同的$(w_1,\cdots ,w_n)$均evaluate为0。
而$n$阶多项式$Z(X)$亦在$n$个不同的$(w_1,\cdots ,w_n)$均evaluate为0。

因此：
存在$(2n-2)-n=n-2$ 阶多项式$\pi (X)$，使得：
$\pi (X)\cdot Z(X)=Q^{\vec{a},\vec{b},\vec{c}}(X)$成立。

Witness：$\vec{a},\vec{b},\vec{c}$
1）即证明Prover知道相应的$\vec{a},\vec{b},\vec{c}$ 满足$\vec{a}\circ \vec{b}=\vec{c}$

2）改为证明Prover知道相应的$n-2$ 阶多项式$\pi (X)$，满足$\pi (X)\cdot Z(X)=Q^{\vec{a},\vec{b},\vec{c}}(X)$

3）为了保证zero knowledge，引入随机变量$r_a,r_b,r_c{\leftarrow }_r{\mathbb{Z}}_p$，构建具有zero knowledge的多项式：
$Q_{zk}^{\vec{a},\vec{b},\vec{c}}(X)=(L_a(X)+r_{a}Z(X))(L_b(X)+r_{b}Z(X))-(L_c(X)+r_{c}Z(X))L_{1_n}(X)$
证明Prover知道相应的$n-2$ 阶多项式${\pi }_{zk}(X)$，满足${\pi }_{zk}(X)\cdot Z(X)=Q_{zk}^{\vec{a},\vec{b},\vec{c}}(X)$。

$n-2$ 阶多项式 ${\pi }_{zk}(X)=Q_{zk}^{\vec{a},\vec{b},\vec{c}}(X)/Z(X)={\sum }_{i=0}^{n-2}{\pi }_i{X}^i$ 并不会reveal any information about the witness。

4）由于${\pi }_{zk}(X)$ is not of sublinear length in $n$，Prover改为传输 the evaluation of ${\pi }_{zk}(X)$ at a random secret point $\sigma$，同时借助2.2.2节的interpolating commitment scheme对应有：
$co{m}_1(c{k}_1;\vec{a};r_a)=g_1^{r_{a}Z(\sigma )+{\sum }_{i=1}^n{a}_i{P}_i(\sigma )}=g_1^{r_{a}Z(\sigma )+L_a(\sigma )}$
从而有：
$e(g_1^{{\pi }_{zk}(\sigma ),g_2^{Z(\sigma )}})=e(g_2,g_1^{Q_{zk}^{\vec{a},\vec{b},\vec{c}}(\sigma )})=e(co{m}_1(c{k}_1;\vec{a};r_a),co{m}_1(c{k}_2;\vec{b};r_b))/e(co{m}_1(c{k}_1;\vec{c};r_c),co{m}_1(c{k}_2;\vec{1};0))$ 成立。

由于Prover 亦未知 random secret point $\sigma$，Prover需证明其知道 $n-2$ 阶多项式 ${\pi }_{zk}(X)$ 的系数 ${\pi }_0,{\pi }_1,\cdots ,{\pi }_{n-2}$。同时需在CRS中包含相应的$(g_1^{\sigma },g_1^{{\sigma }^2},\cdots ,g_1^{{\sigma }^{n-2}})$。同时，为了实现knowledge commitment of ${\pi }_0,{\pi }_1,\cdots ,{\pi }_{n-2}$，引入secret key $\beta$，构建CRS $(g_1^{\beta \sigma },g_1^{\beta {\sigma }^2},\cdots ,g_1^{\beta {\sigma }^{n-2}})$。
Prover计算：$(\pi ,{\pi }^{\beta })=(g_1,g_1^{\beta })\leftarrow {\prod }_{i=0}^{n-2}(g_1^{{\sigma }^i},g_1^{\beta {\sigma }^i}{)}^{{\pi }_i}$。其中$\pi$即为$g_1^{{\pi }_{zk}(\sigma )}=g_1^{{\sum }_{i=0}^{n-2}{\pi }_i{\sigma }^i}={\prod }_{i=0}^{n-2}{g}_1^{{\sigma }^i}$。

详细的Hadamard Product Argument证明思路如下图所示：

Prover和Verifier相应的计算量为：

5. right-shift-by-$\xi$ argument

6. Restriction Argument

7. Range Argument