在同態密文的重新隨機化過程中保持 ZKP 的有效性，而無需連結到先前的密文

問題： 如何使同態密文的 ZKP 在所述密文被重新隨機化後仍然有效？

背景： 在許多電子投票系統中，同態加密用於計算個人選票，以保護個人選民的隱私，因為只顯示總數。每個投票者必須提供有效的 ZKP 證明他們的投票是正確形成的以及可能的值之一。

實現隱私的一種方法是重新隨機化密文以及相應的 ZKP。使用 Groth-Sahai 證明這似乎是可能的，儘管我不明白 ZKP 如何必須以某種方式綁定到密文。

首先（如果不是這樣的話）你必須仔細閱讀原始的 Groth-Sahai 論文。

我們可以專注於一個具體的例子來理解為什麼它是可能的：例如在“SXDH”設置中（第 24 頁）；假設我們有一個送出 $ \vec{c_1} $ 對於元素的向量 $ G_1 $ 和一個送出 $ \vec{c_2} $ 對於元素的向量 $ G_2 $ . 和一個證明 $ (\vec \pi, \vec \theta) $

您可以更改隨機化承諾 $ c_2 $ （通過添加 $ R’\vec{u} $ 至 $ \vec{c} $ 例如），但如果你這樣做，證明將不再有效。

然後你還必須在證明中添加相應的隨機性，這意味著你必須添加到 $ \vec\pi $ $ R’\Gamma c_2 $ .

更一般地說，您必須同時隨機化送出和證明（請注意，在 groth sahai 模型中，送出不被視為密碼，而是作為證明的一部分）。

引用自：https://crypto.stackexchange.com/questions/74417