Commitments

給定致盲密鑰,是否有可能獲得 Pedersen 承諾承諾的價值?

  • May 27, 2022

我知道致盲密鑰的目的是讓隱藏值難以獲得。更正式地說:Pedersen 承諾由致盲密鑰組成 $ \alpha $ , 兩個發生器 $ H $ 和 $ G $ 以及我們希望承諾的價值 $ v $ .

我熟悉 Pedersen 承諾的兩個版本,承諾的“正常”版本 $ P=G^\alpha \cdot H^v $ ,以及橢圓曲線版本,其中 $ P = \alpha\cdot G + v\cdot H $ . 在這兩個版本中,假設我獲得了致盲密鑰 $ \alpha $ ,我可以得到 $ v $ ( $ H $ 和 $ G $ 是眾所周知的)以一種有效的方式?

對於定期承諾,我可以看到這是一個難題(在 CDH 假設下),所以我認為沒有有效的方法。但是,對於橢圓曲線上的版本,似乎可以獲得 $ v $ 有效,但我不確定。

恢復 $ v $ 從 $ \alpha $ , $ G $ , $ H $ 和 $ P=\alpha\cdot G + v\cdot H $ 需要解決離散對數問題才能找到 $ v $ . 具體來說,請注意 $ v\cdot H = P - \alpha\cdot G $ 所以你需要用基數找到這個值的離散對數 $ H $ . 因此,如果 $ v $ 那麼你可以找到它。

重要的是要明白,雖然很難找到 $ v $ 一般來說,這並不意味著揭示 $ \alpha $ 沒問題 $ v $ 仍然安全地承諾。這是因為某些部分 $ v $ 可能會被揭示 $ v\cdot H $ . 因此,這既不是一個安全的承諾,也不可能獲得 $ v $ 有效率的。

關於工作模數 $ p $ 或在橢圓曲線上,這本質上沒有什麼不同。

引用自:https://crypto.stackexchange.com/questions/55936