Knowledge-of-Exponent Assumption 简介

假设有这样一个场景，我们在解决一个值得获得图灵奖的一个问题，在最后的关头，需要大量的计算来支持我们的理论，但是由于经费问题，我们本身是无法去完成这样庞大的计算的，所以我们准备和别的实验室合作，借用对方的机器来完成这些计算，但是我们肯定是不希望把这些计算暴露出来，但是我又希望对方没有篡改我输入的数据，怎么办？这就引出了这篇文章所要讲的 KEA ，即 Knowledge-of-Exponent Assumption 。

KEA

假设 q 是一个质数，可推出 2q+1 也是一个质数，而 g 是 $Z_{2q+1}^{*}$ 的阶为 q 的子集的椭圆曲线的生成元。

KEA1

假设我们现在输入 $q，g，g^a$ 而想要从对面返回一个配对 (C,Y) ，其中 $Y=C^a$ 。最简单的一个方法就是对面选取 $c \in Z_q$ ，让 $C=g^c,Y=(g^a)^c$ 。但是 c 这个数我们这边是没有办法知道的。而 KEA1 希望能有一个提取器，能够在相同的输入中返回 c 使得 $g^c=C \ 或者\ (g^a)^c=C$ 。

KEA2

假设我们现在输入 $q，g，g^a，g^b，g^{ab}$ 而想要从对面返回一个配对 (C,Y) ，其中 $Y=C^b$ 。一种方法就是对面选取 $c \in Z_q$ ，让 $C=g^c,Y=(g^b)^c$ ；而另一种方法就是选取 $c \in Z_q$ ，让 $C=(g^a)^c,Y=(g^{ab})^c$ 。但是 c 这个数我们这边是没有办法知道的。而 KEA1 希望能有一个提取器，能够在相同的输入中返回 c 使得 $g^c=C \ 或者\ (g^a)^c=C$ 。

α-变换

假设这样一个场景，Alice 有一个值 a，她想要 Bob 对其进行任意指数的求幂（这里 a 是一个有限域群的生成器），唯一的要求是只能对 a 进行求幂，为了保证这一点，她要：

选择一个随机数 α
计算 $a' = a^\alpha(mod\ n)$
提供一个元组 (a, a’) 给 Bob, 然后让他对这两个值执行任意的求幂运算，返回结果元组 (b, b’)，这里的指数 “ $\alpha$ -变换” 依然保持不变，即 $b^α = b'(mod\ n)$

因为 Bob 无法从元组 (a, a’) 中提取 $\alpha$ 的值，通过暴力破解也难以实现，那就可以推断 Bob 生成有效元组的唯一方法就是执行下面的步骤：

选择一个值 c
计算 $b=(a)^c(mod\ n) 和 b' = (a')^c (mod\ n)$
回复 (b,b’)

有了回复的元组和 α，Alice 就可以验证等式：

$(b)^α = b'$
$(a^c)^α = (a')^c$
$a^{c\cdotα} = (a^α)^c$

结论是：

Bob 在元组的两个值的计算上都用了同一个指数（即 c）
Bob 只能用 Alice 原本的元组来保持 α 关系
Bob 知道指数 c，因为构造验证值 (b,b′) 的唯一方式是用同一个指数
Alice 并不知道 c，这和 Bob 不知道 α 的原因一样
虽然 c 是被加密的，但它的可能取值范围并不足够大到保持其零知识的性质。

最后这个协议提供了一个证明给 Alice ，Bob 确实是用他知道的某个值对 a 进行求幂的，而且他也不能做别的任何操作，例如：乘法，加法，因为这样就会破坏 α-变换关系。

KEA 在 zk-SNARKs 中的使用

我们知道，对于一个多项式而言，其知识就是系数的知识，假设我们有一个简单的多项式 $f(x)=c \cdot x$ ：

verifier 选择随机数 $s，\alpha$ ，然后提供当 x=s 时通过 α-变换后的配对：
$(g^s,g^{\alpha s})$
prover 代入系数 c 进行计算：
$((g^s)^c,(g^{\alpha s})^c)=(g^{cs},g^{\alpha cs})$
verifier 进行验证：
$(g^{cs})^\alpha=g^{\alpha cs}$

这个结构“限制” prover 只能用 verifier 提供的加密的 s 进行计算，因而 prover 只能将系数 c 赋给 verifier 提供的多项式。现在我们可以扩展这种单项式上的方法到多项式上，因为计算是先将每项的分配分开计算然后再 “同态地” 相加在一起的。所以如果给定 prover 一个指数为 s 的幂以及它们的变换的加密值，他就可以计算原始的和变换后的多项式，这里也必须要满足同样的校验。对于阶数为 d 的多项式：

verifier 提供加密值 $g^{s^0},g^{s^1},...,g^{s^d}\ 和他们的变换 g^{\alpha s^0},g^{\alpha s^1},...,g^{\alpha s^d}$
prover 计算给定的带有 s 的幂的加密多项式
$g^{p(s)}=(g^{s^0})^{c_0} \cdot (g^{s^1})^{c_1} \cdot ...(g^{s^d})^{c_d}\\ =g^{(c_0s^0+c_1s^1+...+c_ds^d)}$

以及带有 s 的幂的转换的加密“转换”多项式：

$g^{\alpha p(s)}=(g^{\alpha s^0})^{c_0} \cdot (g^{\alpha s^1})^{c_1} \cdot ...(g^{\alpha s^d})^{c_d}\\ =g^{\alpha (c_0s^0+c_1s^1+...+c_ds^d)}$

然后将计算结果 $g^p,g^{p^{'}}$ 发送给 verifier

verifier校验： $(g^p)^{\alpha}=g^{p^{'}}$

Reference

The Knowledge-of-Exponent Assumptions and 3-Round Zero-Knowledge Protocols

Towards practical public key systems secure against chosen ciphertext attacks

从零开始学习 zk-SNARK（二）——多项式的非交互式零知识证明