Paillier 參數的零知識證明

對於 RSA，可以給出一個非互動式零知識證明，即 RSA 帶參數 $ (e,N) $ 形成相關 RSA 密鑰的排列和知識證明。例如，可以使用Poupard 和 Stern給出這樣的證明。我想知道 Paillier 是否存在類似的證據。從某種意義上說，證明參數是有效的，並且擁有相關的 Paillier 密鑰。有任何想法嗎？

Poupard-Stern 協議證明了分解的知識。知道 Paillier 加密方案中的密鑰相當於知道分解，因此可以使用完全相同的協議來證明知道 Paillier 密鑰。

你問題的第二部分，證明參數 $ N $ 形成良好，要困難得多。例如，在本文中已經對其進行了研究，但仍然非常低效，因為必須證明承諾的數字是素數，這是通過在零知識中證明它們通過機率素性測試的所有步驟來完成的（每個這樣的步驟都涉及冪，因此每個這樣的證明都需要證明承諾值之間的指數關係，這同樣是相對低效的）。

引用自：https://crypto.stackexchange.com/questions/68509