55、Biscuit：新型MPCitH签名方案解析

Biscuit：新型MPCitH签名方案解析

1. MPCitH的改进与发展

MPCitH自提出以来，在多个方面得到了改进。Katz、Kolesnikov和Wang（KKW）将MPCitH范式扩展以支持预处理模型。在该模型中，MPC协议分为离线阶段和在线阶段，离线阶段独立于敏感输入，且通常是效率瓶颈。这种改进的好处是证明者无需将预处理作为各方视图的一部分，而是可以对预处理进行检查。例如，KKW显著减小了初始Picnic版本的签名大小。

此外，还有一种名为超立方体变体的MPCitH技术，它能提高MPC协议中大量参与方的效率。虽然大量参与方会使签名变短，但会增加签名生成和验证时间。该技术具有通用性，可用于大多数基于MPCitH的签名方案。

2. 任意电路的证明系统

不同的研究提出了多种用于生成零知识证明的证明系统。Giacomelli、Madsen和Orlandi展示了MPCitH方法在生成ZKPoK方面的效率，并引入了名为ZKBoo的通用证明系统，该系统最终促成了Picnic签名方案的首个版本。在这个工作中，虚拟/模拟的参与方实际执行一些MPC协议，验证者检查这些执行。

Baum和Nof为算术电路提出了改进的证明系统BN。他们观察到证明者知道电路中的所有线值，因此证明者可以为每个中间线值分配共享，虚拟参与方只需执行检查乘法门正确性的协议，这允许通过随机线性组合进行批量检查。Kales和Zaverucha在BN的基础上进行了多项优化，得到了BN++，通信效率提高了约2.5倍。

BN和BN++证明系统依赖于乘法三元组（或Beaver三元组）的概念。给定 (x, y, z \in F_q)，若 (z = x \cdot y)