雙線性圖+承諾
讓 $ \mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_T $ 是相同順序的 yclic 組和 $ e: \mathbb{G}_1 \times \mathbb{G}_2\rightarrow \mathbb{G}_T $ , 這樣 $ u\in \mathbb{G}_1, g \in \mathbb{G}_2, a,b,r \in \mathbb{Z} $ .
問題1:下面的等式正確嗎?有沒有可能是正確的情況?如果不是為什麼?
$ e(u^a,\frac {u^b}{u^a} g)=e(u^b,g) $
場景:假設我們有兩方: $ A $ 和 $ B $ , 在哪裡 $ A $ 有兩條消息 $ m, m’ $ 和 $ B $ 有消息 $ m $ . $ A $ 對消息的承諾 $ m $ 作為: $ (r.u^m)^a $ , 和 B 承諾相同的消息 $ (r.u^m)^b $ . 他們將他們的承諾發送到伺服器。很明顯,如果 $ A $ 給 $ g^{\frac{1}{a}} $ 到 $ B $ , $ B $ 可以計算 $ w=g^{\frac {b}{a}} $ ,並將其發送到伺服器,讓伺服器檢查是否有兩條消息 $ m $ 對於不同的當事人是平等的: $ e((r.u^m)^a,g^{\frac {b}{a}})=e((r.u^m)^b,g) $
問題2:給定 $ g^{\frac{1}{a}} $ B可以生成嗎 $ w’ $ 說服伺服器它已承諾 $ m’ $ 而不是 $ m $ ?
所有的操作都是 $ \bmod p $ 在哪裡 $ p $ 是一個大素數。
如果你定義 $ u $ 作為元素 $ G_1 $ ,那麼你不能只使用它 $ G_2 $ (在第一個等式中),就像你在等式中所做的那樣。此外,你錯過了陳述,如果 $ u $ 和 $ g $ 是這些群體的生成者。以下成立:
$$ e(u^a,g^{\frac{b}{a}}) = e(u,g)^b = e(u^b,g) $$ 無論如何,您在實際問題中沒有這樣做,我並沒有真正看到與您的構造的聯繫。順便說一句,A 和 B 如何知道他們使用的是相同的值 $ r $ ? 然後:伺服器如何關聯任何東西 $ B $ 發送至 $ m’ $ , 如果伺服器不知道 $ m’ $ 或承諾 $ m’ $ ? 所以不,他不能。因為 $ m’ $ 根本不用於您的施工。
現在的問題是:你的實際目標是什麼?伺服器是否應該能夠確保 A 和 B 承諾相同的值?A 和 B 必須互動才能為此生成見證?你不需要配對。
*編輯:*也許即使愛麗絲也可以在系統中作弊,不發送 $ g^a $ 給鮑勃,但還有別的。那會發生什麼?好吧,如果伺服器檢查返回 true,則“已送出”消息不相等。太多的事情可能會出錯,尤其是這樣 $ r $ ,這沒有意義。