​

🥑原文：密码学承诺之 Pedersen Commitment 原理及应用

🥑写在前面：本文属搬运博客，自己留存学习。
​

1 承诺

密码学承诺方案是一个涉及双方的 二阶段 交互协议，双方分别为 承诺方 和 接收方。

• 第一阶段为承诺阶段：承诺方选择一个消息 $m$，以密文的形式发送给接收方。
• 第二阶段为打开阶段：承诺方公开消息 $m$，接收方验证它和承诺阶段接收到的消息是否一致。

这里看不懂很正常，我也看不懂🙂

承诺方案有两个基本性质：隐藏性 和 绑定性。

• 隐藏性：承诺值不会泄露任何关于消息 $m$ 的信息；
• 绑定性：接收方有能力检验 $m$ 就是该承诺值对应的消息。

根据参与方计算能力的不同，承诺方案一般分为两类：完美隐藏、计算绑定 承诺方案。

原文太离谱了，所以我用自己的话改了一下，不知道对不对。

2 Pedersen

Pedersen 承诺的核心公式：

$$c=g^r\ast h^v$$

其中，$c$ 为生成的承诺值，$g,h$ 为椭圆曲线上的生成元，$r$ 为盲因子，$v$ 为原始信息。由于 $g,h$ 为椭圆曲线上的生成元，因此 $g^r,h^v$ 可以视为公钥。同理，$r,v$ 也可以视为私钥。

如果你没有椭圆曲线密码学的基础知识，这一段当然是看不懂的😎

3 Pedersen 的性质

Pedersen 承诺是一个满足 完美隐藏、计算绑定 的 同态 承诺协议：

• 它的完美隐藏性不依赖于任何困难性假设；
• 它的计算绑定性依赖于离散对数假设。

Pedersen 承诺的构造分为 3 个阶段：

• 初始阶段：选择阶为大素数 $q$ 的乘法群 $G$、生成元 $g$ 和 $h$，公开元组 $(g,h,q)$；
• 承诺阶段：承诺方选择随机数 $r$ 作为 盲因子，计算出 承诺值 $c$ 后发送给接收者；
• 打开阶段：承诺方发送 $(v,r)$ 给接收者，接收者验证 $c$ 是否等于 $(g^v{h}^r)modq$；

如果相等则接受承诺，否则拒绝承诺。

这里的 $v$ 就是前面说的消息 $m$，只不过换了个字母表示。

由于 $r$ 为随机数，Pedersen 承诺具有完美隐藏性，以及基于离散对数假设的计算绑定性。

由于盲因子 $r$ 是一个随机数，因此针对相同的 $v$ 也会产生不同的承诺 $c$，从而提供了信息论安全的隐匿性。这一点类似 ECDSA、Schnorr 签名采用的手法。

4 Pedersen 的同态性

Pedersen 承诺的同态性是指，如果 $c_1,c_2$ 分别是使用盲因子 $r_1,r_2$ 对 $v_1,v_2$ 的承诺，那么 $c_1\ast c_2$ 是使用盲因子 $r_1+r_2$ 对 $v_1+v_2$ 的承诺，这是因为：

$$c=c_1\ast c_2=(g^{v_1}{h}^{r_1})\ast (g^{v_2}{h}^{r_2})=g^{v_1+v_2}{h}^{r_1+r_2}$$

假设有 $v_1+v_2=v_3$，证明方想向验证者证明 $v_1,v_2,v_3$ 的这一关系，但又不想让验证者知道 $v_1,v_2,v_3$ 的明文值，那么可以使用 Pedersen 承诺的同态性来解决这个问题，即只需要验证其盲因子 $r_1+r_2$ 是否等于 $r_3$：

$$\begin{array}{rl}{c}_3& \stackrel{?}{=}{c}_1\ast c_2\\ g^{v_3}{h}^{r_3}& \stackrel{?}{=}(g^{v_1}{h}^{r_1})\ast (g^{v_2}{h}^{r_2})=g^{v_1+v_2}{h}^{r_1+r_2}\\ v_3& \stackrel{?}{=}{v}_1+v_2⟷r_3\stackrel{?}{=}{r}_1+r_2\end{array}$$

如果证明方知道验证方的验证方式是验证 $r_3\stackrel{?}{=}{r}_1+r_2$，那么证明方可以故意构造一个 $r_3=r_1+r_2$，验证方应该如何防止证明方作弊呢？

由于元组 $(g,h,q)$ 是公开的，验证方可以根据盲因子 $r_1$ 来构造一个承诺 $g^{v_1}{h}^{r_1}$，验证与接收到的 $g^{v_1}{h}^{r_1}$ 是否是相等。

第二阶段不是打开阶段吗？怎么保证 $v_1$ 不被验证方知道？