Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记2

1. 引言

在博客 Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1中，主要对 Alogrand团队Gorbunov等人2020年论文《Pointproofs: Aggregating Proofs for Multiple Vector Commitments》做了一个总体的梳理。该论文在 Libert和Yung 2010年论文《Concise mercurial vector commitments and independent zero-knowledge sets with short proofs》的基础上，做了以下改进：

• 采用了非对称bilinear pairing group，并针对$\mathbb{G}_1$G1​域内的运算效率>$\mathbb{G}_2$G2​>$\mathbb{G}_T$GT​，对Verify算法做了优化（计算$r=(\sum_{i\in S}m_it_i)^{-1}\ mod\ p$r=(∑i∈S​mi​ti​)−1 mod p，将$\mathbb{G}_T$GT​域内的运算转移到$\mathbb{G}_1$G1​域内）：
  
• 采用Random Oracle Model，基于hash函数$H$H引入了随机参数$t_i=H(i,C,S,\vec{m}[S])$ti​=H(i,C,S,m[S])来实现same-commitment aggregation；基于hash函数$H$H和$H'$H′引入了随机参数$t_{j,i}=H(i,C_j,S_j,\vec{m}_j[S_j])$tj,i​=H(i,Cj​,Sj​,mj​[Sj​])和$t_j'=H'(j,\{C_j,S_j,\vec{m}_j[S_j]\}_{j\in[l]})$tj′​=H′(j,{Cj​,Sj​,mj​[Sj​]}j∈[l]​)来实现cross-commitment aggregation。

本博客将重点关注：

• proof of correctness/binding for same-commitment aggregation
• proof of correctness/binding for cross-commitment aggregation
• same-commitment aggregation from CDH-like assumption
• weak binding and realization
• cross-commitment aggregation from polynomial commitments
• https://github.com/algorand/pointproofs 代码解析

该论文实现的binding属性是基于AGW+ROM model under the $l$l-wBDHE assumption：（详细定义参见博客 Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1 1.1节内容）

2. proof of correctness/binding for same-commitment aggregation

2.1 same commitment aggregation

具体的实现为：

• Setup($1^{\lambda},1^N$1λ,1N)：取随机值$\alpha\leftarrow \mathbb{Z}_p$α←Zp​，输出：【其中$\vec{a}=(\alpha,\alpha^2,\cdots,\alpha^N)$a=(α,α2,⋯,αN)】
  $g_1^{\vec{a}}=(g_1^\alpha,\cdots,g_1^{\alpha^N})$g1a​=(g1α​,⋯,g1αN​)
  $g_1^{\alpha^N\vec{a}[-1]}=(g_1^{\alpha^{N+2}},\cdots,g_1^{\alpha^{2N}})$g1αNa[−1]​=(g1αN+2​,⋯,g1α2N​)
  $g_2^{\vec{a}}=(g_2^\alpha,\cdots,g_2^{\alpha^N})$g2a​=(g2α​,⋯,g2αN​)
  $g_T^{\alpha^{N+1}}=e(g_1^{\alpha},g_2^{\alpha^N})$gTαN+1​=e(g1α​,g2αN​)
  Prove key为：$g_1^{\vec{a}}，g_1^{\alpha^N\vec{a}[-1]}$g1a​，g1αNa[−1]​
  Verify key为：$g_2^{\vec{a}},g_T^{\alpha^{N+1}}$g2a​,gTαN+1​
  而$\alpha$α为有毒垃圾，trusted setup后应直接丢弃，must never be known to the adversary。

• Commit($\vec{m}$m) for $\vec{m}\in \mathbb{Z}_p^N$m∈ZpN​：
  $C=g_1^{\vec{m}^T\vec{a}}=g_1^{\sum_{i\in S}m_i\alpha^i}$C=g1mTa​=g1∑i∈S​mi​αi​

• UpdateCommit($C,S,\vec{m}[S],\vec{m}'[S]$C,S,m[S],m′[S])：
  $C'=C\cdot g_1^{(\vec{m}'[S]-\vec{m}[S])^T\vec{a}[S]}=C\cdot g_1^{\sum_{i\in S}(m_i'-m_i)\alpha^i}$C′=C⋅g1(m′[S]−m[S])Ta[S]​=C⋅g1∑i∈S​(mi′​−mi​)αi​

• Prove($i,\vec{m}$i,m)：open第$i$i个位置。
  $\pi_i=g_1^{\alpha^{N+1-i}\vec{m}[-i]^T\vec{a}[-i]}=g_1^{\sum_{j\in [N]-\{i\}}m_j\alpha^{N+1-i+j}}$πi​=g1αN+1−im[−i]Ta[−i]​=g1∑j∈[N]−{i}​mj​αN+1−i+j​
  其中$g_1^{\alpha^{N+1-i}\vec{a}[-i]}$g1αN+1−ia[−i]​均已包含在了Prove key中了。
  若$m_j$mj​ at index $j\neq i$j​=i changes to $m_j'$mj′​，则$\pi_i'=\pi\cdot g_1^{(m_j'-m_j)\alpha^{N+1-i+j}}$πi′​=π⋅g1(mj′​−mj​)αN+1−i+j​，若$m_i$mi​ changes to $m_i'$mi′​，则proof 不变$\pi_i'=\pi_i$πi′​=πi​。但是两种情况下，commitment $C$C均需要更新为$C'$C′。

• Aggregate($C,S,\vec{m}[S],\{\pi_i:i\in S\}$C,S,m[S],{πi​:i∈S})：
  $\hat{\pi}=\prod_{i\in S}\pi_i^{t_i}$π^=∏i∈S​πiti​​
  其中 $t_i=H(i,C,S,\vec{m}[S])$ti​=H(i,C,S,m[S])

• Verify($C,S,\vec{m}[S],\hat{\pi}$C,S,m[S],π^)：
  验证$e(C,g_2^{\sum_{i\in S}\alpha^{N+1-i}t_i})=e(\hat{\pi},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i}$e(C,g2∑i∈S​αN+1−iti​​)=e(π^,g2​)⋅gTαN+1∑i∈S​mi​ti​​ 是否成立。
  其中 $t_i=H(i,C,S,\vec{m}[S])$ti​=H(i,C,S,m[S])

2.2 proof of correctness for same-commitment aggregation

对于任意的$i\in [N],\pi_i=Prove(i,\vec{m})=g_1^{\alpha^{N+1-i}\vec{m}[-i]^T\vec{a}[-i]}$i∈[N],πi​=Prove(i,m)=g1αN+1−im[−i]Ta[−i]​，对Commit/Prove/Aggregate/Verify整个流程，可分两步证明：

• 1）证明$e(C,g_2^{\alpha^{N+1-i}})=e(\pi_i,g_2)\cdot g_T^{\alpha^{N+1}m_i}$e(C,g2αN+1−i​)=e(πi​,g2​)⋅gTαN+1mi​​
• 2）证明$e(C,g_2^{\sum_{i\in S}\alpha^{N+1-i}t_i})=e(\hat{\pi},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i}$e(C,g2∑i∈S​αN+1−iti​​)=e(π^,g2​)⋅gTαN+1∑i∈S​mi​ti​​

具体为：
1）有 $\vec{m}^T\vec{a}=\vec{m}[-i]^T\vec{a}[-i]+\alpha^im_i$mTa=m[−i]Ta[−i]+αimi​
等式左右两边同时乘以$\alpha^{N+1-i}$αN+1−i，有：
$(\vec{m}^T\vec{a})\alpha^{N+1-i}=\alpha^{N+1-i}\vec{m}[-i]^T\vec{a}[-i]+\alpha^{N+1}m_i$(mTa)αN+1−i=αN+1−im[−i]Ta[−i]+αN+1mi​
转换为pairing计算，有：
$e(g_1^{\vec{m}^T\vec{a}},g_2^{\alpha^{N+1-i}})=e(g_1^{\alpha^{N+1-i}\vec{m}[-i]^T\vec{a}[-i]},g_2)\cdot g_T^{\alpha^{N+1}m_i}$e(g1mTa​,g2αN+1−i​)=e(g1αN+1−im[−i]Ta[−i]​,g2​)⋅gTαN+1mi​​
从而证明了$e(C,g_2^{\alpha^{N+1-i}})=e(\pi_i,g_2)\cdot g_T^{\alpha^{N+1}m_i}$e(C,g2αN+1−i​)=e(πi​,g2​)⋅gTαN+1mi​​ 成立。

2）在$e(C,g_2^{\alpha^{N+1-i}})=e(\pi_i,g_2)\cdot g_T^{\alpha^{N+1}m_i}$e(C,g2αN+1−i​)=e(πi​,g2​)⋅gTαN+1mi​​的基础上，等式左右两侧均进行$t_i$ti​次幂乘，则有：
$e(C,g_2^{\alpha^{N+1-i}t_i})=e(\pi_i^{t_i},g_2)\cdot g_T^{\alpha^{N+1}m_it_i}$e(C,g2αN+1−iti​​)=e(πiti​​,g2​)⋅gTαN+1mi​ti​​
将要open的$S$S集合内的所有公式均乘一块，有（for all $i\in S$i∈S）：
$e(C,g_2^{\sum_{i\in S}\alpha^{N+1-i}t_i})=e(\prod_{i\in S}\pi_i^{t_i},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i}=e(\hat{\pi},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i}$e(C,g2∑i∈S​αN+1−iti​​)=e(∏i∈S​πiti​​,g2​)⋅gTαN+1∑i∈S​mi​ti​​=e(π^,g2​)⋅gTαN+1∑i∈S​mi​ti​​ 成立。

证明UpdateCommit算法正确性的思路为：
$\vec{m}'^T\vec{a}=(\vec{m}'[S]-\vec{m}[S])^T\vec{a}[S]+\vec{m}^T\vec{a}$m′Ta=(m′[S]−m[S])Ta[S]+mTa 等式恒成立。

2.3 proof of binding for same-commitment aggregation

采用归谬法来证明，假设adversary 可计算$C=g_1^{\vec{z}^T\vec{a}}$C=g1zTa​，并为$(S,\vec{m}[S])$(S,m[S])提供proof $\hat{\pi}$π^【其中$\vec{m}[S]\neq \vec{z}[S]$m[S]​=z[S]】，使得$\hat{\pi}$π^可被Verify通过。
$e(g_1^{\vec{z}^T\vec{a}},g_2^{\sum_{i\in S}\alpha^{N+1-i}t_i})=e(\hat{\pi},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i}=e(\hat{\pi},g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}z_it_i}$e(g1zTa​,g2∑i∈S​αN+1−iti​​)=e(π^,g2​)⋅gTαN+1∑i∈S​mi​ti​​=e(π^,g2​)⋅gTαN+1∑i∈S​zi​ti​​

注意adversary也不知道$g_1^{\alpha^{N+1}}$g1αN+1​，即$\log_{g_1}\hat{\pi}$logg1​​π^ 中 $\alpha^{N+1}$αN+1 项的系数应为 $0$0。
比较上述等式中$g_T^{\alpha^{N+1}}$gTαN+1​的系数应满足：
$\sum_{i\in S}m_it_i\equiv_p \sum_{i \in S}z_it_i$∑i∈S​mi​ti​≡p​∑i∈S​zi​ti​
用向量表示，应满足：
$\vec{z}[S]^T\vec{t}\equiv_p \vec{m}[S]^T\vec{t}$z[S]Tt≡p​m[S]Tt
其中$\vec{t}=(H(i,C,S,\vec{m}[S]),i\in S)$t=(H(i,C,S,m[S]),i∈S)

假设当$(S,\vec{z}[S],\vec{m}[S])$(S,z[S],m[S])确定后，$\vec{t}\leftarrow \mathbb{Z}_p^{|S|}$t←Zp∣S∣​为chosen uniformly at random 时，则有：
$\Pr_{\vec{t}}[\vec{z}[S]\not\equiv_p \vec{m}[S]\ and\ \vec{z}[S]^T\vec{t}\equiv_p \vec{m}[S]^T\vec{t}]=1/p$Prt​[z[S]​≡p​m[S] and z[S]Tt≡p​m[S]Tt]=1/p
即相应的概率可忽略。

因此问题的关键在于：ensure the uniform choice of $\vec{t}$t for any fixed $(S,\vec{z}[S],\vec{m}[S])$(S,z[S],m[S])。
注意有：

• $C$C determines $\vec{z}$z in AGM；
• $C,S,\vec{m}[S]$C,S,m[S]为random oracle $H(i,\cdot,\cdot,\cdot)$H(i,⋅,⋅,⋅) 的input，输出为 $t_i$ti​。

若adversary可以找到相应的$m_i\neq z_i$mi​​=zi​值，使得：
$\sum_{i\in S}z_it_i\equiv_p \sum_{i \in S}m_it_i$∑i∈S​zi​ti​≡p​∑i∈S​mi​ti​
成立，则binding属性不成立。

$t_i=H(i,\cdot,\cdot,\cdot)$ti​=H(i,⋅,⋅,⋅)，为什么需要将$S,\vec{m}[S]$S,m[S]作为$H$H的input？

• 若$t_i$ti​与$m_i$mi​无关，则adversary可指定$|S|-1$∣S∣−1个$m_i$mi​的值，并根据$\sum_{i\in S}z_it_i\equiv_p \sum_{i \in S}m_it_i$∑i∈S​zi​ti​≡p​∑i∈S​mi​ti​等式计算最后一个$m_i$mi​的值。从而破坏了binding属性。
• 若$t_i=H(i,C)$ti​=H(i,C)，Wanger’s attack可产生a $2^{\sqrt{\log p}}$2logp​ algorithm that given $\{z_it_i,m_it_i\}_{i \in [N]}${zi​ti​,mi​ti​}i∈[N]​，从而计算a set $S$S of size $2^{\sqrt{\log p}}$2logp​ 使得 $\sum_{i\in S}z_it_i\equiv_p \sum_{i \in S}m_it_i$∑i∈S​zi​ti​≡p​∑i∈S​mi​ti​ 等式成立。对于128-bit security level for the curve(如 $\log p\approx 256$logp≈256)，$2^{\sqrt{\log p}}\approx 2^{16}$2logp​≈216，which makes for a very pratical attack。
• 若$t_i=H(i,C,S)$ti​=H(i,C,S)，可能存在与$t_i=H(i,C)$ti​=H(i,C)类似的攻击。【It seems plausible that the attack also extends to the setting of $t_i = H(i, C, S)$ti​=H(i,C,S): it would suffice to extend Wagner’s algorithm to finding values that sum to a given constant, because the values of the elements of S are not committed, and thus, although $\sum_{i\in S} z_it_i$∑i∈S​zi​ti​ is fixed, the attacker can choose from a list of random $m_i$mi​ for each $i \in S$i∈S.】