37、策略/假名证明协议与实用零知识论证

策略/假名证明协议与实用零知识论证

1. 引言

在现代密码学领域，零知识（ZK）协议扮演着核心角色，是构建各类密码协议的强大工具，尤其在电子商务的密码协议中应用广泛。然而，大多数ZK协议是针对一般NP语言的，需要经过通用的NP约简，难以直接应用于实际场景。另一方面，工业界和应用密码学领域开发了大量的Σ协议，用于特定的数论语言（如离散对数问题DLP和RSA）。这些协议仅对诚实验证者保留ZK属性（并非真正的ZK），但具有很高的实用性。因此，找到一种从Σ协议到实用（真正的）ZK论证的通用且实用的转换方法，弥合理论与实践之间的差距，具有重要的现实意义。

2. 相关工作

近期，Micciancio和Petrank提出了一种在判定Diffie - Hellman（DDH）假设下，从HVZK协议实现ZK证明的转换方法。与之相比，本文的转换是针对ZK论证的，且基于更弱的DLP假设或RSA假设。两种转换所增加的轮复杂度相同，均为3轮。

3. 预备知识

3.1 标准符号和定义

在介绍具体协议之前，先明确一些标准的符号和定义：
- 若A是概率算法，A(x1, x2, · · · ; r)表示在输入x1, x2, · · ·和随机数r下运行A的结果。
- y ← A(x1, x2, · · · )表示随机选取r并让y等于A(x1, x2, · · · ; r)的实验。
- 若S是有限集，x ← S表示从S中均匀选取一个元素。
- 若α既不是算法也不是集合，x ← α是简单的赋值语句。
- [R1; · · · ; Rn : v]表示随机变量v在由随机过程R1, R2, · · ·,