超级会员免费看
可模拟VRF与紧凑电子现金方案解析
1. 验证与定理
验证函数 Verify(params, pk, x, y, π = (C, π1, π2)) 使用Groth - Sahai验证方法来验证π1和π2相对于C、x、pk、y的有效性。在G1的q - DDHI假设以及Groth - Sahai证明系统安全的假设下,具有域大小p的这种构造是一个强可验证随机函数(sVRF)。
2. 伪随机函数的非交互零知识证明(NIZK)协议
在某些应用中,如电子现金应用,需要比sVRF更强的功能。具体来说,需要证明不泄露使用的钱包信息和输入x。因此,构建了针对以下语言的可组合NIZK证明:
[
L_S = {C_s, C_x, y | \exists x, s, \text{open}_x, \text{open}_s \text{ 使得 } C_s = \text{Com}(s, \text{open}_s) \land C_x = \text{Com}(x, \text{open}_x) \land y = F_s(x)}
]
sVRF证明比完整NIZK证明弱的四个方面及解决方法如下:
|序号|sVRF证明弱点|解决方法|
|----|----|----|
|1|sVRF公钥不能保证隐藏私钥|使用承诺方案形成公钥|
|2|sVRF有固定公钥|使用承诺方案,每个证明可使用不同值|
|3|sVRF证明中输入x是明文|用承诺和证明替换x|
|4|sVRF证明不必是完全零知识|添加额外承诺 (C’_s)、(C’_x) 及零知识证明|
NIZK证明成员关
订阅专栏 解锁全文
扫一扫
55
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
