77、并发非可锻造承诺方案解析

并发非可锻造承诺方案解析

1. 协议概述

协议基于Feige - Shamir的零知识协议，同时采用Dolev、Dwork和Naor的消息调度技术。为简化说明，假设存在具有高效可识别值域的单向函数，但协议也可轻松修改以适用于任意单向函数。协议在共同输入提交者的身份 id ∈ {0, 1}^l 和安全参数 n 的情况下，分三个阶段进行：
- 阶段1 ：接收者选择一个随机字符串 r ∈ {0, 1}^n ，并通过具有高效可识别值域的单向函数 f 将其映像 s = f(r) 发送给提交者。提交者检查 s 是否在 f 的值域内，否则终止。
- 阶段2 ：提交者发送 c = com(v) ，其中 com(·) 是任何统计绑定的承诺方案。
- 阶段3 ：提交者证明 c 是 v 的有效承诺，或者 s 在 f 的映像集中。这通过4l次特殊可靠的WI证明来完成，消息根据 id 进行调度。具体来说，有 l 轮，在第 i 轮中，先执行 design_idi ，然后执行 design_1