Cam kết đầu ra của các chức năng ngẫu nhiên có thể kiểm chứng

Cách đặt vấn đề như sau. Giả sử tồn tại một đầu vào công khai $x$ và người tục ngữ đánh giá $y \gets VRF_{sk}(x)$, nhưng người tục ngữ không muốn tiết lộ đầu ra $y$. Câu hỏi của tôi là liệu có thể để người tục ngữ công bố cam kết của $y$, Nói $com_y$, sau đó chứng minh rằng giá trị cam kết của $com_y$ được tạo chính xác bằng cách đánh giá VRF bằng khóa bí mật $sk$ và đầu vào của công chúng $x$?

Tôi đánh giá cao sự giúp đỡ của bạn.

Để đơn giản hóa, ECVRF được mô tả trong dự thảo-irtf-cfrg-vrf-02 sẽ sử dụng một cặp khóa $(x, Y=xG)$ và lấy một đầu vào $\alpha$. Nó sẽ trở lại $P = xH$, ở đâu $H = H_p(Y \mathbin\|\alpha)$, cùng với bằng chứng tương đương nhật ký rời rạc (DLeq) dựa trên Schnorr chứng minh rằng $P$ chia sẻ cùng khóa riêng $x$ với $Y$ trên các điểm máy phát điện $H$ và $G$ tương ứng. Điều này do đó chứng minh rằng $P$ đã được tính toán chính xác như $xH$. $H_p()$ có nghĩa là tạo một hàm băm dẫn đến một điểm EC, đây là điểm mà tài liệu được liên kết gọi là $\texttt{ECVRF_hash_to_curve}$. $G$ đề cập đến một điểm cơ sở nổi tiếng cho đường cong.

một sửa đổi $\texttt{ECVRF_prove}$ chức năng có thể được tạo cho các mục đích tạo ra một cam kết. Nó sẽ chọn một yếu tố mù ngẫu nhiên thống nhất $b$, và sẽ trở lại $B = bG$ và $P' = x(H+B)$ thay vì $P = xH$. Nó sẽ trả về một bằng chứng DLeq sẽ chứng minh rằng $P'$ chia sẻ cùng khóa riêng $x$ với $Y$ trên các điểm máy phát điện $(H+B)$ và $G$ tương ứng, và do đó chứng minh rằng $P'$ đã được tính toán như mong đợi.

một sửa đổi $\texttt{ECVRF_verify}$ chức năng có thể được tạo ra để xác minh cam kết. nó sẽ mất $B$ như một đối số bổ sung, để nó có thể xác minh rằng bằng chứng DLeq hoạt động với trình tạo $(H+B)$ thay vì $H$.

Sau khi xác minh sửa đổi này, người xác minh biết chắc chắn rằng $P' = x(H+B) = xH + xB$. Từ $x$ là riêng tư, người xác minh không thể tính toán $xB$ để xác định giá trị cam kết $xH$. Điều này cũng có nghĩa là người xác minh không thể cố gắng khám phá xem liệu đây có phải là cam kết đối với bất kỳ mục tiêu cụ thể nào hay không. $xH$ giá trị.

Người châm ngôn có thể mở lời cam kết bằng cách tiết lộ $xB$ và cung cấp bằng chứng DLeq rằng $xB$ và $Y$ chia sẻ cùng khóa riêng $x$ trên các điểm máy phát điện $B$ và $G$ tương ứng. Vì người xác minh biết chắc chắn rằng $P'==x(H+B)$, và cũng biết chắc chắn rằng $xB$ được tính toán chính xác (do bằng chứng DLeq), trình xác minh biết chắc chắn rằng giá trị chính xác của $xH$ có thể được tính như $P'-xB$.

Các $xH$ giá trị đã được cam kết sẽ giống hệt với giá trị $xH$ giá trị sẽ được tạo ra bởi bản gốc chưa sửa đổi $\texttt{ECVRF_prove}$ chức năng.

Lưu ý rằng sau khi mở cam kết, người xác minh chỉ có thể sử dụng cam kết đã sửa đổi $\texttt{ECVRF_verify}$ Hàm kiểm tra giá trị đúng của $xH$ đã được cung cấp. Nếu vì bất kỳ lý do gì, người xác minh cần một bằng chứng riêng có thể được sử dụng với bản gốc chưa sửa đổi $\texttt{ECVRF_verify}$ chức năng, bằng chứng bổ sung này có thể được cung cấp bởi người chứng minh cùng lúc với cam kết được mở.