Homomorphic-Encryption
在同態密文的重新隨機化過程中保持 ZKP 的有效性,而無需連結到先前的密文
問題: 如何使同態密文的 ZKP 在所述密文被重新隨機化後仍然有效?
背景: 在許多電子投票系統中,同態加密用於計算個人選票,以保護個人選民的隱私,因為只顯示總數。每個投票者必須提供有效的 ZKP 證明他們的投票是正確形成的以及可能的值之一。
實現隱私的一種方法是重新隨機化密文以及相應的 ZKP。使用 Groth-Sahai 證明這似乎是可能的,儘管我不明白 ZKP 如何必須以某種方式綁定到密文。
首先(如果不是這樣的話)你必須仔細閱讀原始的 Groth-Sahai 論文。
我們可以專注於一個具體的例子來理解為什麼它是可能的:例如在“SXDH”設置中(第 24 頁);假設我們有一個送出 $ \vec{c_1} $ 對於元素的向量 $ G_1 $ 和一個送出 $ \vec{c_2} $ 對於元素的向量 $ G_2 $ . 和一個證明 $ (\vec \pi, \vec \theta) $
您可以更改隨機化承諾 $ c_2 $ (通過添加 $ R’\vec{u} $ 至 $ \vec{c} $ 例如),但如果你這樣做,證明將不再有效。
然後你還必須在證明中添加相應的隨機性,這意味著你必須添加到 $ \vec\pi $ $ R’\Gamma c_2 $ .
更一般地說,您必須同時隨機化送出和證明(請注意,在 groth sahai 模型中,送出不被視為密碼,而是作為證明的一部分)。