21、加密协议与抗胁迫选举方案解析

加密协议与抗胁迫选举方案解析

1. 加密协议基础结构

在某些加密协议中，基本结构是Peggy向随机化器证明投票的有效性。随机化器在满足特定条件时会接受投票，条件如下：
- 初始条件：$e = d + \tilde{d}$，$a_1 = g^{b y^d}$，$a_2 = h^{b z^d}$，$\tilde{a}_1 = g^{\tilde{b} \tilde{y}^{\tilde{d}}}$，$\tilde{a}_2 = h^{\tilde{b} \tilde{z}^{\tilde{d}}}$。
- 转换后条件：$e = d’ + \tilde{d}’$，$a’_1 = g^{b’ y’^{d’}}$，$a’_2 = h^{b’ z’^{d’}}$，$\tilde{a}’_1 = g^{\tilde{b}’ \tilde{y}’^{\tilde{d}’}}$，$\tilde{a}’_2 = h^{\tilde{b}’ \tilde{z}’^{\tilde{d}’}}$。

随机化器不会获取选民投票的任何信息。底层协议是一种交互式诚实验证者零知识证明。在正常情况下，如果挑战是随机选择的，验证者（这里是随机化器）不会得到关于秘密的任何信息。在转移证明中，挑战由哈希函数$H$生成，并且由选民应用该哈希函数。根据随机预言机假设，挑战确实是均匀随机选择的。

此外，这种交互不会给选民提供构建收据的信息。元素$\beta$，$\tilde{\beta}$，$\gamma \in Z_q$由随机化器随机且独立选择，因此$d’$，$b’$，$\tilde{b}’$是独立的随机元素。证明$(d’, \tilde{d}’, b’, \tilde{b}’)$是从所有满足验证条件$d’