椭圆曲线形式下的Pedersen commitment——vector commitment和polynomial commitment

1. 椭圆曲线下的Pedersen commitment

椭圆曲线下Pedersen commitment可用scalar multiplication of curve points来表示：
$C=rH+aG$
其中，$C$为椭圆曲线上的一个点curve point，作为commitment；$a$为commit to 的数值；$r$为随机数，可提供隐藏功能；$G$为所选择椭圆曲线广泛接受的generator；$H$为椭圆曲线上的另一个点，且保证无任何可推导$q$，使得$H=qG$，这个H与G直接无明确关系非常重要。

如需open commitment $C$，需要提供r值和a值。

Pedersen commitment具有加法同态性：
$C(r_1,a_1)+C(r_2,a_2)=r_{1}H+a_{1}G+r_{2}H+a_{2}G=(r_1+r_2)H+(a_1+a_2)G=C(r_1+r_2,a_1+a_2)$

2. Vector Pedersen Commitment 向量commitment

$C=rH+(v_1{G}_1+v_2{G}_2+....+v_n{G}_n)=rH+\vec{v}\vec{G}$
其中，各个$G_i$可由$Hash(encode(G)||i)$来获取。

如需open commitment $C$，需要提供随机数r值和向量值$\vec{v}$。

向量值$\vec{v}$中可以有大量元素，但最终的commitment只为椭圆曲线上的一个点$C$。

也可以同时对多个Vector进行commitment，如对$\vec{v},\vec{w}$同时commitment：
$C=rH+\vec{v}\vec{G}+\vec{w}\vec{H}$
其中，各个$H_i$可由$Hash(encode(H)||i)$来获取，即curve point $H$不在vector $\vec{H}$中。

3. A zero knowledge argument of knowledge of a set of vectors——一系列向量的零知识证明

假设有m个向量${\vec{x}}_1,{\vec{x}}_2,...,{\vec{x}}_m$，且每个向量都有N个元素（$N!=m$）。已知各个向量的commitment为：
$C_1=r_{1}H+{\vec{x}}_1\vec{G}$
$C_2=r_{2}H+{\vec{x}}_2\vec{G}$
$...$
$C_m=r_{m}H+{\vec{x}}_m\vec{G}$

以下$P$代表prover, $V$代表Verifier。
a) $P\to V:C_0$ (a new commitment to a newly chosen random vector of dimension N)
b) $V\to P:e$ (a random scalar，也可称为challenge值。)
c) $P\to V:(\vec{z},s)$ (a single vector of dimension N, and another scalar)
其中：
$\vec{z}={\sum }_{i=0}^m{e}^i{\vec{x}}_i,s={\sum }_{i=0}^m{e}^i{r}_i$

通过随机数$e$，可很好的隐藏向量$\vec{x}$，如取$\vec{z}$向量的第二个元素——$z_2=x_{02}+e{x}_{12}+...+e^m{x}_{m2}$。
有1*m维矩阵：
$(1,e,e^2,...,e^m)$
使得z值无法获取相应的x值。

对于Verifier，只需验证：
${\sum }_{i=0}^m{e}^i{C}_i=?sH+\vec{z}\vec{G}$

证明过程如下：
$sH+\vec{z}\vec{G}={\sum }_{i=0}^m{e}^i(r_{i}H)+{\sum }_{i=0}^m{e}^i{\vec{x}}_i\vec{G}={\sum }_{i=0}^m{e}^i(r_{i}H+{\vec{x}}_i\vec{G})={\sum }_{i=0}^m{e}^i{C}_i$

由以上证明可知，Verifer可根据信息$(C_0,e,(\vec{z},s))$，可信服honest prover的proof $(\vec{z},s)$。

但是对于不诚信的prover，他可以随机选择$e,(\vec{z},s)$值，并根据之前已生成的$C_1,C_2,...,C_m$值，推导出$C_0=(sH+\vec{z}\vec{G})-({\sum }_{i=1}^m{e}^i{C}_i)$，
使得${\sum }_{i=0}^m{e}^i{C}_i=C_0+{\sum }_{i=1}^m{e}^i{C}_i=(sH+\vec{z}\vec{G})-({\sum }_{i=1}^m{e}^i{C}_i)+{\sum }_{i=1}^m{e}^i{C}_i=sH+\vec{z}\vec{G}$恒成立，因此，对于此种情况，不诚信的prover可伪造相应的证明。

若需要open此种情况下的commitment，需要提供$C_1,C_2,...C_m$对应的共m个scalar数$r_1,r_2,...,r_m$，以及$m\ast N$个向量元素$x_{11},x_{12},...,x_{mN}$。

3.1 一系列向量的零知识证明的soundness验证

修改上面的流程，重复a)b)c)步骤m+1次，每次均为scalar e提供不同的随机值$e_j$：
$(C_{0,0},e_0,({\vec{z}}_0,s_0))$
$(C_{0,1},e_1,({\vec{z}}_1,s_1))$
$(C_{0,2},e_2,({\vec{z}}_2,s_2))$
$...$
$(C_{0,m},e_m,({\vec{z}}_m,s_m))$

相应地：
${\vec{z}}_j={\sum }_{i=0}^m{e}_j^i{\vec{x}}_i,s_j={\sum }_{i=0}^m{e}_j^i{r}_i,其中j\in [0,m]$

则 有(m+1)*(m+1)维矩阵：
$A^{-1}=\left(\begin{array}{ccccc}1& e_0& e_0^2& ...& e_0^m\\ 1& e_1& e_1^2& ...& e_1^m\\ 1& e_2& e_2^2& ...& e_2^m\\ ...& & & & \\ 1& e_m& e_m^2& ...& e_m^m\end{array}\right)$
使得z值无法获取相应的x值。该矩阵为Vandermonde 矩阵。
若$e_0,e_1,...,e_m$互异，则存在对应的逆矩阵为：
$A=\left(\begin{array}{ccccc}{a}_{00}& a_{01}& a_{02}& ...& a_{0m}\\ a_{10}& a_{11}& a_{12}& ...& a_{1m}\\ a_{20}& a_{21}& a_{22}& ...& a_{2m}\\ ...& & & & \\ a_{m0}& a_{m1}& a_{m2}& ...& a_{mm}\end{array}\right)$

相应的Z也为矩阵，满足：
$Z=A^{-1}X=\left(\begin{array}{ccccc}1& e_0& e_0^2& ...& e_0^m\\ 1& e_1& e_1^2& ...& e_1^m\\ 1& e_2& e_2^2& ...& e_2^m\\ ...& & & & \\ 1& e_m& e_m^2& ...& e_m^m\end{array}\right)\left(\begin{array}{c}{\vec{x}}_0\\ {\vec{x}}_1\\ {\vec{x}}_2\\ ...\\ {\vec{x}}_m\end{array}\right)=\left(\begin{array}{c}{\sum }_{i=0}^m{e}_0^i{\vec{x}}_i\\ {\sum }_{i=0}^m{e}_1^i{\vec{x}}_i\\ {\sum }_{i=0}^m{e}_2^i{\vec{x}}_i\\ ...\\ {\sum }_{i=0}^m{e}_m^i{\vec{x}}_i\end{array}\right)=\left(\begin{array}{c}{\vec{z}}_0\\ {\vec{z}}_1\\ {\vec{z}}_2\\ ...\\ {\vec{z}}_m\end{array}\right)$

即相当于求m+1个方程式，存在唯一解$({\vec{x}}_0,{\vec{x}}_1,...,{\vec{x}}_m)$。即可保证soundness。

若$e_0,e_1,...,e_m$不互异，则可逆矩阵A不存在，也不能保证解的唯一性。

根据矩阵基础知识，矩阵B存在可逆矩阵的充分必要条件为B的判别式不为零，即det|B|!=0。
A的可逆矩阵A^-1之间的关系有：$A{A}^{-1}=I,I为单位矩阵$，即：
$A{A}^{-1}=\left(\begin{array}{ccccc}{a}_{00}& a_{01}& a_{02}& ...& a_{0m}\\ a_{10}& a_{11}& a_{12}& ...& a_{1m}\\ a_{20}& a_{21}& a_{22}& ...& a_{2m}\\ ...& & & & \\ a_{m0}& a_{m1}& a_{m2}& ...& a_{mm}\end{array}\right)\left(\begin{array}{ccccc}1& e_0& e_0^2& ...& e_0^m\\ 1& e_1& e_1^2& ...& e_1^m\\ 1& e_2& e_2^2& ...& e_2^m\\ ...& & & & \\ 1& e_m& e_m^2& ...& e_m^m\end{array}\right)=\left(\begin{array}{ccccc}1& 0& 0& ...& 0\\ 0& 1& 0& ...& 0\\ 0& 0& 1& ...& 0\\ ...& & & & \\ 0& 0& 0& ...& 1\end{array}\right)=\left(\begin{array}{ccccc}{\delta }_{00}& {\delta }_{01}& {\delta }_{02}& ...& {\delta }_{0m}\\ {\delta }_{10}& {\delta }_{11}& {\delta }_{12}& ...& {\delta }_{1m}\\ {\delta }_{20}& {\delta }_{21}& {\delta }_{22}& ...& {\delta }_{2m}\\ ...& & & & \\ {\delta }_{m0}& {\delta }_{m1}& {\delta }_{m2}& ...& {\delta }_{mm}\end{array}\right)$

上面公式中，$e_j$为challenge值，有：
${\delta }_{hi}={\sum }_{j=0}^m{a}_{hj}{e}_j^i$

当$h==i$时，有${\delta }_{hi}=1$；当$h!=i$时，有${\delta }_{hi}=0$。也可称${\delta }_{hi}$为Kronecker delta函数。

基于${\delta }_{hi}$的特性，有：
$C_h={\sum }_{i=0}^m{\delta }_{hi}{C}_i$
$\iff C_h={\sum }_{i=0}^m{\delta }_{hi}{C}_i={\sum }_{i=0}^m({\sum }_{j=0}^m{a}_{hj}{e}_j^i)C_i$
$\iff 根据加法交换律有:C_h={\sum }_{i=0}^m({\sum }_{j=0}^m{a}_{hj}{e}_j^i)C_i={\sum }_{j=0}^m{a}_{hj}({\sum }_{i=0}^m{e}_j^i{C}_i)$
$\because C_i=r_{i}H+{\vec{x}}_i\vec{G},{\vec{z}}_j={\sum }_{i=0}^m{e}_j^i{\vec{x}}_i,s_j={\sum }_{i=0}^m{e}_j^i{r}_i,以及加法结合律$
$\therefore C_h={\sum }_{j=0}^m{a}_{hj}({\sum }_{i=0}^m{e}_j^i(r_{i}H+{\vec{x}}_i\vec{G}))={\sum }_{j=0}^m{a}_{hj}({\sum }_{i=0}^m{e}_j^i{r}_{i}H)+{\sum }_{j=0}^m{a}_{hj}({\sum }_{i=0}^m{e}_j^i{\vec{x}}_i\vec{G})={\sum }_{j=0}^m{a}_{hj}{s}_{j}H+{\sum }_{j=0}^m{a}_{hj}{\vec{z}}_j\vec{G}$
$\Rightarrow C_h$is a commitment to ${\sum }_{j=0}^m{a}_{hj}{\vec{z}}_j$ with randomness ${\sum }_{j=0}^m{a}_{hj}{s}_j$
$\because C_h=r_{h}H+{\vec{x}}_h\vec{G}，以及有且仅有一个值对应一个commitment$
$\Rightarrow {\vec{x}}_h={\sum }_{j=0}^m{a}_{hj}{\vec{z}}_j$

以上公式推导可知，当有m+1个不同的方程式时，可以通过$({\vec{z}}_0,{\vec{z}}_1,{\vec{z}}_2,...,{\vec{z}}_m)$一一对应的提取出所有的witness向量值$({\vec{x}}_0,{\vec{x}}_1,{\vec{x}}_2,...,{\vec{x}}_m)$

通过本算法，根据proof信息，可提取witness信息，且为唯一解，即保证了“knowledge-soundness”。由于解的唯一性，当Prover不知道解的情况下，无法提供可验证通过的proof。

3.2 Polynomial Interpolation多项式插值

$Z=A^{-1}X=\left(\begin{array}{ccccc}1& e_0& e_0^2& ...& e_0^m\\ 1& e_1& e_1^2& ...& e_1^m\\ 1& e_2& e_2^2& ...& e_2^m\\ ...& & & & \\ 1& e_m& e_m^2& ...& e_m^m\end{array}\right)\left(\begin{array}{c}{\vec{x}}_0\\ {\vec{x}}_1\\ {\vec{x}}_2\\ ...\\ {\vec{x}}_m\end{array}\right)=\left(\begin{array}{c}{\sum }_{i=0}^m{e}_0^i{\vec{x}}_i\\ {\sum }_{i=0}^m{e}_1^i{\vec{x}}_i\\ {\sum }_{i=0}^m{e}_2^i{\vec{x}}_i\\ ...\\ {\sum }_{i=0}^m{e}_m^i{\vec{x}}_i\end{array}\right)=\left(\begin{array}{c}{\vec{z}}_0\\ {\vec{z}}_1\\ {\vec{z}}_2\\ ...\\ {\vec{z}}_m\end{array}\right)$
以上公式，可抽象为一个多项式，该多项式的变量为e，系数分别为${\vec{x}}_0,{\vec{x}}_1,{\vec{x}}_2,...,{\vec{x}}_m$：
$Z(e)={\vec{x}}_0+{\vec{x}}_{1}e+{\vec{x}}_2{e}^2+...+{\vec{x}}_m{e}^m$

对$Z(e)$多项式的变量$e$分别取m+1不同的值$e_0,e_1,e_2,...,e_m$,可通过Lagrange interpolation来唯一确定$Z(e)$多项式的系数${\vec{x}}_0,{\vec{x}}_1,{\vec{x}}_2,...,{\vec{x}}_m$。

参考资料：
[1] http://www0.cs.ucl.ac.uk/staff/J.Groth/MatrixZK.pdf
[2] https://joinmarket.me/static/FromZK2BPs_v1.pdf