区块链中的数学 - Kate承诺 | 登链社区

区块链中的数学 - Kate承诺

blocksight
更新于 2021-02-28 17:58
阅读 5589

与上一篇初步方案相比，Kate承诺实现了多项式的隐藏和部分打开验证，实际上方法1生成的结果在zk-snark项目中称为SRS（structure reference string）或者CRS（common reference string），是承诺方P和验证方V所共有，实际选择曲线配对不是对称的，而是非对称两个群，以后说到具体的项目代码可以看得比较清楚。

## 写在前面

上一篇介绍了[多项式知识和承诺](https://learnblockchain.cn/article/2165)， 本文继续讲述完整的Kate承诺。

## Kate承诺

Kate承诺是Kate，Zaverucha，Goldberg等人在2010年提出的多项式承诺方案。
该方案包含以下六个方法：

### 1\. Setup

选择适当的椭圆曲线，选择对称双线性映射的子群,生成元G, 配对函数$e: G * G = G_T$,  随机选择秘密 $\alpha$（作用类似于私钥）。
假设目标多项式最大的度是t, 产生t+1 个元组${g,g^{\alpha},g^{{\alpha}^2},...,g^{{\alpha}^t}}$，该元组公开（作用类似于公钥），并销毁（或者遗忘）$\alpha$值。

### 2\. Commit

令要承诺的多项式是$φ(x)= \sum^d_{j=0} a_jx^j$,其中d是φ(x)的度且小于等于t,计算承诺$C = \prod^d_{j=0}(g^{\alpha^j})$,注意区分$\alpha$与系数a的表示区别.

### 3\. Open(Reveal)

输出初始原始多项式φ(x)

### 4.VerifyPoly

根据已知承诺C，和多项式φ(x)，验证承诺，直接代入方法2中即可验证。

### 5.CreateWitness

给定特定多项式输入i,计算i处多项式的值，令$ψ_i(x)=\frac{φ(x)\ φ(i)}{x\ i}$, 计算$w_i=g^{ψ_i(α)},(ψ_i(x),w_i)$是i处多项式的值的见证

### 6.VerifyEval

输入：i处多项式的值$φ(i)$， 多项式承诺C，见证$w_i$
验证：
$e(C, g) = e(w_i,g^α/g^i)*e(g,g)^{φ(i)}$
等式成立，则多项式承诺为真。

知其然知其所以然，看看为什么成立？
推导过程：
$e(w_i,g^α/g^i)*e(g,g)^{φ(i)}$
$=e(g^{ψ_i(\alpha)},g^{\alpha -i}) * e(g,g)^{φ(i)}$
$=e(g,g)^{ψ_i(\alpha)(\alpha \  i)+φ(i)}$
$=e(g,g)^{φ(\alpha)}$
$=  e(C, g)$

其中用到了方法5，变形得到：$ψ_i(x)(x-i)+φ(i)=φ(x)$

## 分析比较

方法1是创建了一个密文空间，使得多项式的输入被隐藏，承诺者P在不知道输入的情况下是难以伪造的，这一点在[前一篇文章](https://learnblockchain.cn/article/2165)末尾分析过。

方法2在密文空间中计算多项式承诺。

方法3属于完全打开（披露）多项式，供验证者验证，这种方式不具有零知识的性质。

方法4用来检验承诺对应的多项式。

方法5用在部分打开（披露）的场景，在需要零知识性质的场景下，验证者不能知晓完整的多项式信息，取而代之，是随机选择输入挑战i，由承诺者P生成i处的多项式值和见证。

方法5检验在输入i处的部分打开（披露），如果通过，则认可承诺C所表示的多项式在i处求值φ(i)是正确的，

与[上一篇](https://learnblockchain.cn/article/2165)初步方案相比，Kate承诺实现了多项式的隐藏和部分打开验证，实际上方法1生成的结果在zk-snark项目中称为SRS（structure reference string）或者CRS（common reference string），是承诺方P和验证方V所共有，实际选择曲线配对不是对称的，而是非对称两个群，以后说到具体的项目代码可以看得比较清楚。
通常setup过程采用MPC安全多方计算来保证安全。

## 小结

Kate承诺方案还有一种变种形式，详细可以参考其paper，本文讲述的是最常用的形式。

多项式承诺的方案不止Kate方案一种，常用的还有基于FRI的承诺方案，以后如果用到再说吧。

本文参考：
Polynomial Commitments：http://cacr.uwaterloo.ca/techreports/2010/cacr2010-10.pdf

[零知识算法解析3--多项式承诺](https://mp.weixin.qq.com/s?__biz=MzA5NzI4MzkyNA==&mid=2247484435&idx=1&sn=9764bb926f7c373c2f6eeefc11278ba9&channel_session_id=&sessionid=svr_60845abd2a9&scene=21&subscene=136#wechat_redirect)

好了，有了这些铺垫，[下一篇](https://learnblockchain.cn/article/2252)可以继续零知识证明的整体介绍了！

---

原文链接：https://mp.weixin.qq.com/s/W1Q4VijtEpDIgHX2NiCYrA
欢迎关注公众号：blocksight

---

### 相关阅读

[区块链中的数学 - 多项式承诺](https://learnblockchain.cn/article/2165)  多项式知识和承诺

[区块链中的数学 - Pedersen密钥共享](https://learnblockchain.cn/article/2164)  Pedersen 密钥分享

[区块链中的数学 - Pedersen承诺](https://learnblockchain.cn/article/2096)    密码学承诺--Pedersen承诺

[区块链中的数学 - 哈希承诺](https://learnblockchain.cn/article/2085)    密码学承诺--hash承诺

[区块链中的数学 - 不经意传输](https://learnblockchain.cn/article/2022)    不经意传输协议

[区块链中的数学- BLS 基石（双线性函数）和配对](https://learnblockchain.cn/article/1963)    双线性映射（配对）

[区块链中的数学 - BLS门限签名](https://learnblockchain.cn/article/1962)    BLS m of n门限签名

[区块链中的数学 - BLS密钥聚合](https://learnblockchain.cn/article/1912)    BLS密钥聚合

[区块链中的数学 - BLS数字签名](https://learnblockchain.cn/article/1905)  BLS签名及验证

[区块链中的数学 - 参与者 < 门限值t的密钥更新Amir Herzberg方案](https://learnblockchain.cn/article/1843)   Amir Herzberg改进方案

[区块链中的数学 - Feldman的可验证的密钥分享](https://learnblockchain.cn/article/1789)   Feldman可验证密钥分享方案

[区块链中的数学 - Ed25519签名](https://learnblockchain.cn/article/1663)   Ed25519签名

[Schorr签名与椭圆曲线](https://learnblockchain.cn/article/2450)   Schorr签名与椭圆曲线

[区块链中的数学-Uniwap自动化做市商核心算法解析](https://learnblockchain.cn/article/1494) Uniwap核心算法解析（中）

写在前面

上一篇介绍了多项式知识和承诺，本文继续讲述完整的Kate承诺。

Kate承诺

Kate承诺是Kate，Zaverucha，Goldberg等人在2010年提出的多项式承诺方案。该方案包含以下六个方法：

1. Setup

选择适当的椭圆曲线，选择对称双线性映射的子群,生成元G, 配对函数$e: G * G = G_T$, 随机选择秘密 $\alpha$（作用类似于私钥）。假设目标多项式最大的度是t, 产生t+1 个元组${g,g^{\alpha},g^{{\alpha}^2},...,g^{{\alpha}^t}}$，该元组公开（作用类似于公钥），并销毁（或者遗忘）$\alpha$值。

2. Commit

令要承诺的多项式是$φ(x)= \sum^d_{j=0} ajx^j$,其中d是φ(x)的度且小于等于t,计算承诺$C = \prod^d{j=0}(g^{\alpha^j})$,注意区分$\alpha$与系数a的表示区别.

3. Open(Reveal)

输出初始原始多项式φ(x)

4.VerifyPoly

根据已知承诺C，和多项式φ(x)，验证承诺，直接代入方法2中即可验证。

5.CreateWitness

给定特定多项式输入i,计算i处多项式的值，令$ψ_i(x)=\frac{φ(x)\ φ(i)}{x\ i}$, 计算$w_i=g^{ψ_i(α)},(ψ_i(x),w_i)$是i处多项式的值的见证

6.VerifyEval

输入：i处多项式的值$φ(i)$，多项式承诺C，见证$w_i$ 验证： $e(C, g) = e(w_i,g^α/g^i)*e(g,g)^{φ(i)}$ 等式成立，则多项式承诺为真。

知其然知其所以然，看看为什么成立？推导过程： $e(w_i,g^α/g^i)e(g,g)^{φ(i)}$ $=e(g^{ψ_i(\alpha)},g^{\alpha -i}) e(g,g)^{φ(i)}$ $=e(g,g)^{ψ_i(\alpha)(\alpha \ i)+φ(i)}$ $=e(g,g)^{φ(\alpha)}$ $= e(C, g)$

其中用到了方法5，变形得到：$ψ_i(x)(x-i)+φ(i)=φ(x)$

分析比较

方法1是创建了一个密文空间，使得多项式的输入被隐藏，承诺者P在不知道输入的情况下是难以伪造的，这一点在前一篇文章末尾分析过。

方法2在密文空间中计算多项式承诺。

方法3属于完全打开（披露）多项式，供验证者验证，这种方式不具有零知识的性质。

方法4用来检验承诺对应的多项式。

方法5检验在输入i处的部分打开（披露），如果通过，则认可承诺C所表示的多项式在i处求值φ(i)是正确的，

小结

Kate承诺方案还有一种变种形式，详细可以参考其paper，本文讲述的是最常用的形式。

多项式承诺的方案不止Kate方案一种，常用的还有基于FRI的承诺方案，以后如果用到再说吧。

本文参考： Polynomial Commitments：http://cacr.uwaterloo.ca/techreports/2010/cacr2010-10.pdf

零知识算法解析3--多项式承诺

好了，有了这些铺垫，下一篇可以继续零知识证明的整体介绍了！

原文链接：https://mp.weixin.qq.com/s/W1Q4VijtEpDIgHX2NiCYrA 欢迎关注公众号：blocksight