25、多变量多项式的零知识证明方案

多变量多项式的零知识证明方案

1. 零知识证明基础理论

在多变量多项式的零知识证明中，假设存在一个虚假证明者 C 能回答所有问题，那么 C 要么会为承诺方案 Com 计算出一个碰撞，要么会为 (F, v) 提取出一个解。通过四个特定的传输记录，我们可以得到一系列等式关系。

设四个传输记录为 ((c0, c1, c2, c3, c4), Q0, Rsp0), ((c0, c1, c2, c3, c4), Q1, Rsp1), ((c0, c1, c2, c3, c4), Q2, Rsp2), ((c0, c1, c2, c3, c4), Q3, Rsp3)，其中 Qi = i 且所有响应都被接受。将响应解析后，我们得到以下等式：
- (c0 = Com( r^{(2)}_1, r^{(2)}_2, v - G(t^{(2)}_1, r^{(2)}_1, r^{(2)}_2) - f^{(2)}_1 - h^{(2)}_1 + e^{(2)}_1 - F(r^{(2)}_1 + r^{(0)}_2) + F(r^{(2)}_1) + F(r^{(2)}_2) ) = Com( r^{(3)}_1, r^{(3)}_2, G(t0, r^{(3)}_1, r^{(3)}_2) + f0 + h0 - e0 ))
- (c1 = Com( r^{(0)}_1, r^{(0)}_0 - t^{(0)}_1, F(r^{(0)}_0) - e^{(0)}_1, F(r^{(0)}_0 + r^{(0)}_1) - f^{(0)}_1 ) = Com( r^{(3)}_1, t0, e0, f0 ))
- (c2 = Com(r^{(0)}_1, t^{(0)}_1, e^{(0)}