Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）

Stephanie Bayer和Jens Groth 2012年论文《Efficient Zero-Knowledge Argument for Correctness of a Shuffle》中提出了shuffle argument算法，该算法主要由Multi-exponentiation Argument和product argument两部分组成。
在博客 Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（1）中介绍了Shuffle argument总体算法以及Multi-exponentiation Argument算法，在本博客中，将重点介绍product argument算法。

1. 背景知识

Witness 向量 $A=\{a_{ij}\}_{i,j=1}^{n,m}$ ，以矩阵方式表示：
$A=\begin{pmatrix} a_{11} & a_{12} & \cdots & a_{1m} \\ a_{21} & a_{22} & \cdots & a_{2m} \\ \cdots & \cdots & \cdots & \cdots \\ a_{n1} & a_{n2} & \cdots & a_{nm} \end{pmatrix}=(\vec{a}_1,\vec{a}_2,\cdots,\vec{a}_m)$

Public info for both Prover AND Verifier，对 $A$ 的每行向量 $\vec{a_i}$ 分别进行commit：
$\vec{c}_A=com_{ck}(A;\vec{r})=(com_{ck}(\vec{a}_1;r_1),\cdots,com_{ck}(\vec{a}_m;r_m))$
需证明 $b=\prod_{i=1}^{n}\prod_{j=1}^{m}a_{ij}=\prod_{i=1}^{n}(\prod_{j=1}^{m}a_{ij})$ 。

思路如下：
构建新的向量 $\vec{b}=(\prod_{j=1}^{m}a_{1j},\cdots,\prod_{j=1}^{m}a_{nj})=(b_1,\cdots,b_n)$ ，对该向量进行commit： $c_b=com_{ck}(b_1,\cdots,b_n;s)$ 。从而将证明 $b=\prod_{i=1}^{n}\prod_{j=1}^{m}a_{ij}=\prod_{i=1}^{n}(\prod_{j=1}^{m}a_{ij})$ 拆分为了两组证明：
1）证明Prover知道相应的witness $a_{11},\cdots,a_{nm}$ ，使得 $c_b=com_{ck}(b_1,\cdots,b_n;s)=com_{ck}(\prod_{j=1}^{m}a_{1j},\cdots,\prod_{j=1}^{m}a_{nj};s)$ 成立。【使用后续要介绍的Hadamard product argument及zero argument实现】
2）当 $c_b=com_{ck}(b_1,\cdots,b_n;s)$ ，证明 $b=\prod_{i=1}^{n}b_i$ 成立。【使用后续要介绍的Single value product argument实现】

2. Hadamard product argument

证明Prover知道相应的witness $a_{11},\cdots,a_{nm}$ ，使得 $c_b=com_{ck}(b_1,\cdots,b_n;s)=com_{ck}(\prod_{j=1}^{m}a_{1j},\cdots,\prod_{j=1}^{m}a_{nj};s)$ 成立。
可进一步转换为：
（1）Witness：
$a_{11},\cdots,a_{nm}$ 以及 $b_1,\cdots,b_n$ 。

（2）Public info for both Prover AND Verifier：

对 $A$ 的每行向量 $\vec{a_i}$ 分别进行commit：
$\vec{c}_A=com_{ck}(A;\vec{r})=(com_{ck}(\vec{a}_1;r_1),\cdots,com_{ck}(\vec{a}_m;r_m))$
$c_b=com_{ck}(\vec{b};s)=com_{ck}(b_1,\cdots,b_n;s)$

（3）待证明：
$b_i=\prod_{j=1}^{m}a_{ij}$ 或 $\vec{b}=(b_1,\cdots,b_n)=\prod_{i=1}^{m}\vec{a}_i$ ，其中 $\prod_{i=1}^{m}$ 代表的即为entry-wise multiplication，即对应为Hadamard product证明。

思路如下：

Prover构建新的矩阵 $B=(\vec{b}_1,\cdots,\vec{b}_m)$ ，其中 $\vec{b}_1=\vec{a}_1,\vec{b}_2=\prod_{i=1}^{2}\vec{a}_i,\cdots,\vec{b}_{m-1}=\prod_{i=1}^{m-1}\vec{a}_i,\vec{b}_m=\prod_{i=1}^{m}\vec{a}_i$ 。
Prover对矩阵 $B$ 的每一列进行commit：
$\vec{c}_B=com_{ck}(B;\vec{s})=(com_{ck}(\vec{b}_1;s_1),\cdots,com_{ck}(\vec{b}_m;s_m))=(c_{B_1},\cdots,c_{B_m})$
同时要求 $c_{B_1}=c_{A_1}$ 且 $c_b=c_{B_m}$ ，使得 $\vec{b}_1=\vec{a}_1$ 及 $\vec{b}_m=\vec{b}$ 成立。
这样Prover的证明内容就改为证明：for each $i=1,\cdots,m-1$ ， $\vec{b}_{i+1}=\vec{a}_{i+1}\vec{b}_i$ 成立，因为有 $\vec{b}_1=\vec{a}_1$ 及 $\vec{b}_m=\vec{b}$ ，从而可证明 $\vec{b}=\prod_{i=1}^{m}\vec{a}_i$ 成立。
Verifier->Prover: challenge $x$ ；
改为证明： $\vec{b}_{i+1}=\vec{a}_{i+1}\vec{b}_i\Rightarrow \sum_{i=1}^{m-1}x^i\vec{b}_{i+1}=\sum_{i=1}^{m-1}\vec{a}_{i+1}(x^i\vec{b}_i)$ 。
收到challenge $x$ 后，Prover构建新的矩阵 $D=(\vec{d}_1,\vec{d}_2,\cdots,\vec{d}_{m-1},\vec{d})=(x\vec{b}_1,x^2\vec{b}_2,\cdots,x^{m-1}\vec{b}_{m-1},\sum_{i=1}^{m-1}x^i\vec{b}_{i+1})$ ，其中 $\vec{d}=\sum_{i=1}^{m-1}x^i\vec{b}_{i+1}$ 。
Prover对矩阵D的每列进行commit，可根据矩阵 $B$ commit的同态属性获得：
for $i=1,\cdots,m-1$ ，有 $c_{D_i}=c_{B_i}^{x^i}$ 。 $c_D=\prod_{i=1}^{m-1}x^i\vec{b}_{i+1}$
使用如上committed值，改为证明 $\vec{d}=\sum_{i=1}^{m-1}x^i\vec{b}_{i+1}=\sum_{i=1}^{m-1}\vec{a}_{i+1}(x^i\vec{b}_i)=\sum_{i=1}^{m-1}\vec{a}_{i+1}\vec{d}_i$ 成立。
Verifier->Prover: challenge $y$ ；
改为证明： $\vec{d}=\sum_{i=1}^{m-1}\vec{a}_{i+1}\vec{d}_i\Rightarrow 0=\sum_{i=1}^{m-1}\vec{a}_{i+1}*\vec{d}_i-\vec{1}*\vec{d}$ 【此时需要使用后续将介绍的zero argument来证明】，其中 $*$ 操作符代表的是bilinear map：

总的算法思路如下：

3. zero argument

Witness: $\vec{a}_1,\vec{b}_0,\cdots,\vec{a}_m,\vec{b}_{m-1}$ 。
Public info: commitment to \vec{a}_1,\vec{b}_0,\cdots,\vec{a}m,\vec{b}{m-1}$。
证明： $0=\sum_{i=1}^{m}\vec{a}_i*\vec{b}_{i-1}$

Prover：随机选择 $\vec{a}_0,\vec{b}_m\leftarrow \mathbb{Z}_q^n$ ，commitment to $\vec{a}_0$ 和 $\vec{b}_m$ 。

$\begin{matrix} & \begin{pmatrix} \ \ \ \ \ \ \ \ \vec{a}_0& \ \ \ \ \ \ \ \ \ \ \ \ \vec{a}_1 & \cdots &\ \ \ \ \ \ \ \ \ \ \ \vec{a} _{m-1}&\ \ \ \ \ \ \ \ \vec{a}_m \end{pmatrix} & \\ \begin{pmatrix} \vec{b_0}\\ \vec{b_1}\\ \vdots\\ \vec{b}_{m-1}\\ \vec{b}_m \end{pmatrix} & \begin{pmatrix} \vec{a}_0*{\vec{b}_0}& \vec{a}_1*{\vec{b}_0} & \ddots & \vec{a}_{m-1}*{\vec{b}_0} & \vec{a}_m*{\vec{b}_0}\\ \vec{a}_0*{\vec{b}_1}& \vec{a}_1*{\vec{b}_1} & \ddots & \vec{a}_{m-1}*{\vec{b}_1} & \vec{a}_m*{\vec{b}_1}\\ \ddots & \ddots & \ddots & \ddots & \ddots\\ \vec{a}_0*{\vec{b}_{m-1}}& \vec{a}_1*{\vec{b}_{m-1}} & \ddots & \vec{a}_{m-1}*{\vec{b}_{m-1}} & \vec{a}_m*{\vec{b}_{m-1}}\\ \vec{a}_0*{\vec{b}_m}& \vec{a}_1*{\vec{b}_m} & \ddots & \vec{a}_{m-1}*{\vec{b}_m} & \vec{a}_m*{\vec{b}_m} \end{pmatrix} & \begin{matrix} \\ d_{2m}\\ d_{2m-1}\\ \vdots\\ d_{m+1}\\ d_m \end{matrix} \\ & \begin{matrix} \ \ \ \ \ \ \ \ d_0 &\ \ \ \ \ \ \ \ \ \ \ \ d_1 & \cdots & \ \ \ \ \ \ \ \ \ \ \ d_{m-1} & \ \ \ \ \ \ \ \ d_m \end{matrix}& \end{matrix}$ ⎝⎜⎜⎜⎜⎜⎜⎛b0b1⋮bm−1bm⎠⎟⎟⎟⎟⎟⎟⎞( a0 a1⋯ am−1 am)⎝⎜⎜⎜⎜⎜⎛a0∗b0a0∗b1⋱a0∗bm−1a0∗bma1∗b0a1∗b1⋱a1∗bm−1a1∗bm⋱⋱⋱⋱⋱am−1∗b0am−1∗b1⋱am−1∗bm−1am−1∗bmam∗b0am∗b1⋱am∗bm−1am∗bm⎠⎟⎟⎟⎟⎟⎞ d0 d1⋯ dm−1 dmd2md2m−1⋮dm+1dm

有：for $k=0,\cdots,2m$ ， $d_k=\sum_{0\leq i,j\leq m; j=(m-k)+i}{\vec{a}_i*\vec{b}_j}$ ，从而转为证明 $d_{m+1}=\sum_{i=1}^{m}{\vec{a}_i}*\vec{b}_{i-1}=0$ 。

Prover：commit to $d_k$ 为 $c_{D_k}$ ，其中 $c_{D_{m+1}}=com_{ck}(0;0)$ 从而让verifier可确定 $d_{m+1}=0$ 。
Verifier给Prover：challenge $x$

因为： $\sum_{k=0}^{2m}d_kx^k=(\sum_{i=0}^{m}x^i\vec{a}_i)*(\sum_{j=0}^{m}x^{m-j}\vec{b}_j)$

Prover：计算 $\vec{a}=\sum_{i=0}^{m}x^i\vec{a}_i$ 和 $\vec{b}=\sum_{j=0}^{m}x^{m-j}\vec{b}_j$ ，将 $\vec{a}$ 和 $\vec{b}$ 发送给Verifier。
Verifier：利用commitment的同态性，只需验证 $\prod_{k=0}^{2m}c_{D_k}^{x^k}=com_{ck}(\vec{a}*\vec{b};t)$ 成立。由于 $d_{m+1}=0$ ，则相应地基于 $x$ 的多项式其 $x^{m+1}$ 系数为0，则可证明 $0=\sum_{i=1}^{m}\vec{a}_i*\vec{b}_{i-1}$ 。

整个zero argument算法流程如下： Efficient Zero-Knowledge Argument for Correctness of a Shuffle学习笔记（2）

4. Single value product argument

采用的是 J.Groth 2010年论文《A verifiable secret shuffle of homomorphic encryptions》中的算法实现。