Tạo một bằng chứng hoặc bằng chứng cho một danh sách các phần tử nhất định với đầu vào công khai

Để cho $g\in G$ và $h\in H$ là hai máy phát điện nhóm. Cho một danh sách L gồm m phần tử nhóm, trong đó $L=(L_1,...,L_m)$, một người chứng minh muốn thuyết phục người xác minh công khai (cụ thể là người xác minh chỉ có đầu vào công khai) rằng một yếu tố $L_i$ trong danh sách $L$ (không tiết lộ i) có thể được tạo từ phần tử công khai $u =u_i$ (nơi tôi không nên tiết lộ) và một số bí mật $s_i$, ví dụ: chứng minh rằng có một số $i$ như vậy mà cho mà $L_i = g^{u_i}h^{s_i}$ cho công chúng $u_i$ và bí mật $s_i$. Có thể tạo bằng chứng như vậy với cam kết của Pedersen hoặc với cam kết của Groth-Sahai không?

Lưu ý rằng $s_i$ và $u_i$ phải là số vô hướng (số nguyên dương nhỏ hơn thứ tự nhóm $\ell$ của trình tạo) chứ không phải các phần tử trường.

Trong ký hiệu phụ gia:

Bạn có một tập hợp các cam kết Pedersen có dạng $L_i = s_iG+u_iH$ ở đâu $s_i$ là yếu tố mù ngẫu nhiên và $u_i$ là giá trị được cam kết.

Để chứng minh rằng cam kết của Pedersen $L_i$ cam kết giá trị $u$, chỉ cần cung cấp một chữ ký cho $L_i - uH$ trên máy phát điện $G$. Điều này chứng minh các giá trị (trên máy phát điện $H$) triệt tiêu nhau một cách chính xác, bởi vì nếu chúng không triệt tiêu lẫn nhau thì chữ ký sẽ không thể thực hiện được (vì $G$ và $H$ được chọn sao cho $h$ là không thể biết như vậy mà $H=hG$). Khóa riêng, chỉ bạn biết, sẽ là $s_i$.

Để chứng minh rằng một trong danh sách các cam kết của Pedersen là cam kết đối với một số $u$ giá trị, thay vào đó chỉ cần cung cấp chữ ký vòng. Điều này sẽ chứng minh rằng trong ít nhất một trong các trường hợp, bạn đã cam kết với giá trị đó. Danh sách các khóa công khai trong chữ ký vòng sẽ là $\{L_i - uH\}$, và chỉ ở đâu $u\overset{?}{=} u_i$ sẽ có một khóa riêng tương ứng có thể biết được $s_i$.