Lecture 6. One-Time Signature and Adaptive NIZK

Lamport 的单次签名 (Lamport’s One-Time Signature Scheme). 假设 $f$ 是一个（单向）函数，令 $l(\kappa)$ 表示要签名的消息的长度。

$\text{SigGen}(1^\kappa)\rightarrow (vk,sk)$ . $x_{i,0},x_{i,1}\leftarrow \{0,1\}^\kappa,i\in[l]; y_{i,0/1}=f(x_{i,0/1}),i\in[l]$ . 那么令

sk=\left(\begin{matrix}x_{1,0}&x_{2,0}&\cdots&x_{l,0}\\x_{1,1}&x_{2,1}&\cdots&x_{l,1}\end{matrix}\right),\quad vk=\left(\begin{matrix}y_{1,0}&y_{2,0}&\cdots&y_{l,0}\\y_{1,1}&y_{2,1}&\cdots&y_{l,1}\end{matrix}\right)

$\text{Sign}(sk,m)\rightarrow\sigma$ . 设 $m\in\{0,1\}^l$ ，那么返回 $\sigma=(x_{1,m_1},x_{2,m_2},\cdots,x_{l,m_l})$ .

$\text{Vrfy}(vk,(m,\sigma))$ . 给定 $m=(m_1,m_2,\cdots,m_l)$ 以及 $\sigma=(x_1,x_2,\cdots,x_l)$ ，验证是否满足 $\wedge_{i=1}^l (f(x_i)=y_{i,m_i})$ ；如果是返回 1，否则返回 0。

💡

该单次签名的单次不可伪造性 (OT-UF-CMA) 是由单向函数的 $f$  的存在性提供的，也就是说：如果存在能打破该单次签名的单次不可伪造性的敌手

\mathcal{F}

，那么我们可以利用其构造中间敌手

\mathcal{I}

打破函数

f

的单向性。

【证明】考虑安全规约：

\color{darkblue}\small\begin{matrix}\mathcal{C'}& &\mathcal{I/C} & &\mathcal{F}\\ & \stackrel{1^\kappa, f,y}{\longrightarrow} & i^*\leftarrow[l],b^*\leftarrow\{0,1\},y_{i^*,b^*}=y \\ & & i\in[l],b\in\{0,1\},(i,b)\ne(i^*,b^*):x_{i,b}\leftarrow\{0,1\}^\kappa,y_{i,b}=f(x_{i,b})\\& & vk=\left(\begin{matrix}y_{1,0}&y_{2,0}&\cdots&y_{l,0}\\y_{1,1}&y_{2,1}&\cdots&y_{l,1}\end{matrix}\right) \\& & sk=\left(\begin{matrix}x_{1,0}&x_{2,0}&\cdots&x_{i^*,b^*}/x_{i^*,1-b^*}& \cdots&x_{l,0}\\x_{1,1}&x_{2,1}&\cdots&x_{i^*,1-b^*}/x_{i^*,b^*}&\cdots&x_{l,1}\end{matrix}\right) & \stackrel{vk}{\longrightarrow} \\ & &\text{if }m_{i^*}=b^*, \text{ return } \perp & \stackrel{m}{\longleftarrow}\\ & & \sigma=(x_{1,m_1},\cdots,x_{l,m_l}) & \stackrel{\sigma}{\longrightarrow} \\ & \stackrel{\sigma_{i^*}'}{\longleftarrow} &\sigma'=(\sigma_1',\sigma_2',\cdots,\sigma_l') & \stackrel{(m',\sigma')}{\longleftarrow}\end{matrix}

简单来说：我们把挑战者给的 $y$ 嵌入第 $b^*$ 行的第 $i^*$ 个比特中，然后希望两点：

敌手 $\mathcal{F}$ 询问的签名的第 $i^*$ 个比特不是 $b^*$ ：因为如果是 $b^*$ ，我们需要给出 $y_{i^*,b^*}=y$ 对应的原象 $x$ ，而这是我们给不出来的。这里的满足要求的概率是 $1/2$ 。

敌手 $\mathcal{F}$ 伪造的签名的第 $i^*$ 个比特正好就是 $b^*$ ：因为如果是 $b^*$ ，从验证算法我们得知，一定有 $f(\sigma_{i^*}=x_{i^*,b^*})=y_{i^*,b^*}=y$ ，即我们可以打破 $f$ 的单向性。另一个等价说法是我们希望 $m$ 和 $m'$ 在第 $i^*$ 个位置的比特不一样。考虑极端情况下 $m$ 和 $m'$ 就一个比特不一样，那么有 $1/l$ 的概率在第 $i^*$ 个位置，满足这个要求。

因此，注意到敌手 $\mathcal{F}$ 并不知道中间敌手 $\mathcal{I}$ 把 $y$ 嵌在什么位置，因此

\begin{aligned}\text{negl}(\kappa)&\ge \text{Pr}[x\leftarrow\{0,1\}^\kappa;y=f(x);x'\leftarrow\mathcal{I}(1^\kappa,y):f(x')=y] \\ &=\text{Pr}[(m_{i^*}\ne b^*)\wedge(m_{i^*}' =b)\wedge \mathcal{F}\text{ wins}]\\&=\text{Pr}[(m_{i^*}\ne b^*)\wedge(m_{i^*}' \ne m_{i^*})\wedge \mathcal{F}\text{ wins}] \\&=\text{Pr}[m_{i^*}\ne b^*]\cdot\text{Pr}[m_{i^*}' \ne m_{i^*}]\cdot\text{Pr}[\mathcal{F}\text{ wins}] \\ &\ge \frac{1}{2}\cdot\frac{1}{l}\cdot\text{Pr}[\mathcal{F}\text{ wins}]\\&=\frac{1}{2l}\text{Pr}[\mathcal{F}\text{ wins}]\end{aligned}

于是，如果 OWF 存在，则 Lamport 单次签名有 OT-UF-CMA 性质。

💡

【定理】如果

f

是一个单向置换 (One-Way Permutation, OWP)，那么 Lamport 的构造就具有强单次不可伪造性。

【说明】OWP 需要是双射，因此每个 $m$ 只能对应唯一一个签名 $\sigma$ ，所以如果 $m=m'$ ，合法的签名 $\sigma,\sigma'$ 一定满足 $\sigma=\sigma'$ ，于是 $(m,\sigma)=(m',\sigma')$ 。这也就自然说明了强不可伪造性。于是 Lamport 的构造具有强单次不可伪造性，具有 strong-OT-UF-CMA 安全。

通用单向哈希 (Universal One-Way Hash Function). 考虑一族函数 $\mathcal{H}=\{H:\mathcal{X}\rightarrow\mathcal{Y}\}$ ，该函数族是通用单向哈希当且仅当对于任意 PPT $\mathcal{A}$ ，下面的概率（碰撞）是可忽略的：

\begin{aligned}\text{Pr}\left[(x,s)\leftarrow \mathcal{A}_1;H\leftarrow\text{Gen}(1^\kappa);x'\leftarrow\mathcal{A}_2(H,s):H(x)=H(x')\wedge x\ne x'\right]=\text{negl}(\kappa)\end{aligned}

💡

如果

(\text{Gen},H)

是一个通用单向哈希 (Universal One-Way Hash Function)，那么将上述构造的

f

替换为

H_s(s\leftarrow\text{Gen})

也具有 strong-OT-UF-CMA 安全。

说明：因为如果伪造了签名 $\sigma\ne\sigma'$ 在某个位置 $i$ 上不等，但消息 $m_i=m_i'$ ，这就意味着 $\sigma_i\ne \sigma_i'$ 但

H(\sigma_i)=y_{i,m_i}=y_{i,m_i'}=H(\sigma_i')

与通用单向哈希的碰撞可忽略矛盾，因此，这样的构造仍然有 strong-OT-UF-CMA 安全。

说明：即使有着多对一的 universal one-way hash function，只要碰撞的概率是可忽略的，这样够早的 Lamport 单次签名仍然有着 strong-OT-UF-CMA 安全。

隐藏比特模型下的非交互式零知识证明系统 (NIZK in the Hidden-Bits Model). $(P,V)$ . 对语言 $L$ :

完备性 Completeness. $\forall x \in L\cap\{0,1\}^{p_1(\kappa)}$ 以及 witness $w_x$ ：
$\text{Pr}[r\leftarrow\{0,1\}^{p_2(\kappa)},(\pi{\color{red},I})\leftarrow P(r,x,w_x):V(r_{\color{red}I},x,\pi{\color{red},I})=1]=1$
- 这里的 $I$ 是位置集合，即 Verifier 只能看到部分的 CRS（被 $I$ 指定）。

自适应可靠性 Adaptive Soundness. $\forall \tilde{P}$ (all powerful $\tilde{P}$ ):
$\begin{aligned}\text{Pr}[r\leftarrow\{0,1\}^{p_2(\kappa)},(x,\tilde{\pi}{\color{red},I})\leftarrow \tilde{P}(1^\kappa,r):V(r_{\color{red}I},x,\tilde{\pi}{\color{red},I})=1 \wedge x\notin L]=\text{negl}(\kappa)\end{aligned}$

零知识 Zero-Knowledge. 存在一个 PPT 仿真器 $\text{Sim}$ 使得 $\forall \mathcal{A}$ ，下面分布是计算不可区分的。
$\begin{matrix}\{r\leftarrow\{0,1\}^{\text{poly}(\kappa)};(x\in L,w_x)\leftarrow\mathcal{A}(1^\kappa);(\pi{\color{red},I})\leftarrow P(r,x,w_x):(r_{\color{red}I},x,\pi{\color{red},I})\}\\\approx_c\\\{(x\in L,w_x)\leftarrow\mathcal{A}(1^\kappa);(\tilde{r}_{\color{red}I},\tilde{\pi}{\color{red},I})\leftarrow\text{Sim}(x):(\tilde{r}_{\color{red}I},x,\tilde{\pi}{\color{red},I})\}\end{matrix}$

主要的思想其实就是限制 Verifier 所能看到的 CRS 范围的一个 NIZK。

用 NIZK in Hidden-Bits Model 构造 NIZK in CRS Model（正常的 NIZK）.

令 $(P',V')$ 是一个 NIZK in Hidden-Bits Model，其 adaptive soundness error 为 $2^{-2\kappa}$ 。

令 $F=(\text{GenF},f,f^{-1})$ 是一个 TDP，其中 $h(\cdot)$ 是一个 hard-core bit。其中，
- hard-core bit 是 unbiased 的（如果原象均匀随机选，那么 hard-core bit 是 0 的概率和 1 的概率相等）。
- 很容易判断采函数取得的 $f$ 是否是一个 $\text{GenF}$ 的合理输出；
- 总共有 $2^\kappa$ 个不同的 $\text{GenF}$ 的输出 $f$ 。

令 CRS 有 $n\kappa$ 比特，分为 $n$ 段如下 $r=r_1|r_2|\cdots|r_n\in\{0,1\}^{n\kappa}$ ，其中 $r_i\in\{0,1\}^\kappa$ 。

【构造方法】

$\pi\leftarrow P(1^\kappa,r,x,w_x)$ .
- $(f,f^{-1})\leftarrow\text{GenF}(1^\kappa)$ 采样一个 TDP；
- $r_i'=h(f^{-1}(r_i)),i\in[n]$ 求原象并求出 hardcore bit，总共得到均匀随机的 $r'\in\{0,1\}^n$ （由 unbiased 保证均匀随机）。
- $(\pi', I)\leftarrow P'(r',x,w_x)$ 使用 hidden-bits model 下的 NIZK 的 Prover 给出 $\pi', I$ ;
- $\pi\leftarrow(f,\pi',I,(f^{-1}(r_i))_{i\in I})$ Prove 中指包含了 $i\in I$ 中的 $r_i$ 的原象，其他地方不给出。

$\{0,1\}\leftarrow V(1^\kappa,r,x,\pi)$ ，其中 $\pi=(f,\pi',I,(z_i)_{i\in I})$ .
- 检查 $f$ 是否是合法的，否则返回 0；
- 检查是否满足 $r_i=f(z_i), i\in I$ ，否则返回 0；
- 令 $r_i'=h(z_i), i \in I$ ，计算所有 $I$ 中的 hard-core，即 $r'$ ；
- 返回 $V'(1^\kappa,r_I',x,\pi',I)$ 。

核心思想：把除了 $I$ 之外的其他 CRS（ $r_i$ 对应的象 $r_i'$ ）用 hard-core 保护起来，只提供 $r_I'$ 给底层的 hidden-bits model NIZK。

💡

【证明】

Completeness：来源于底层的 Hidden-Bits Model NIZK 的 completeness，并且由 TDP 的正确性保证。

Adaptive Soundness：假设 $s$ 是 $V$ 中使用的随机数，令 $\tilde{\Pi}=(\tilde{f},\tilde{\pi},\tilde{I},(\tilde{z}_i)_{i\in\tilde{I}})$ 。

\small\begin{aligned}&\text{Pr}_{r,s}\left[(x,\tilde{\Pi})\leftarrow \tilde{P}(1^\kappa,r):V(r,x,\tilde{\Pi};s)=1\wedge x\in\{0,1\}^\kappa\backslash L\right]\\ =\ &\frac{\left|\{(r,s) \mid V(r,x,\tilde{\Pi};s)=1;x\in\{0,1\}^\kappa\backslash L\}\right|}{|\mathcal{R}|\cdot|\mathcal{S}|}\\ =\ &\sum_{\tilde{f}\in\mathcal{F}}\frac{\left|\{(r,s) \mid \tilde{f}\in\tilde{\Pi};V(r,x,\tilde{\Pi};s)=1;x\notin L\}\right|}{|\mathcal{R}|\cdot|\mathcal{S}|}\\=\ &\sum_{\tilde{f}\in\mathcal{F}}\frac{\left|\{(r,s) \mid \tilde{f}\in\tilde{\Pi};\tilde{f}\text{ valid}\wedge (\tilde{f}(\tilde{z}_i)=r_i)_{i\in \tilde{I}}\wedge V'(r_I',x,(\tilde{\pi},\tilde{I});s)=1;x\notin L\}\right|}{|\mathcal{R}|\cdot|\mathcal{S}|}\\\leq\ &\sum_{\text{valid }\tilde{f}\in\mathcal{F}}\frac{\left|\{(r,s) \mid (\tilde{f}(\tilde{z}_i)=r_i)_{i\in \tilde{I}}\wedge V'(r_I',x,(\tilde{\pi},\tilde{I});s)=1;x\notin L\}\right|}{|\mathcal{R}|\cdot|\mathcal{S}|}\\\leq\ &\sum_{\text{valid }\tilde{f}\in\mathcal{F}}\frac{\left|\{(r,s) \mid V'(r_I',x,(\tilde{\pi},\tilde{I});s)=1;x\notin L\}\right|}{|\mathcal{R}|\cdot|\mathcal{S}|} \\ \leq\ & 2^\kappa\cdot 2^{-2\kappa} \\ =\ &2^{-\kappa}=\text{negl}(\kappa)\end{aligned}

第二行，我们运用古典概率，对构造中出现的随机数 $r,s$ 进行计数后求出概率；

第三行，我们通过对 $\tilde{f}$ 的值进行分类后对每个固定的 $\tilde{f}$ 求和；

第四行，我们对于构造的 Verifier 的判定条件进行展开；

第五行，我们取消了对 $\tilde{f}\in\tilde{\Pi}$ 的限制，允许所有 $\tilde{f}$ ，不限于 $\tilde{P}$ 构造出的那些 $\tilde{f}\in\tilde{\Pi}$ ；

第六行，我们对条件进行放缩，不要求 $\tilde{f}(\tilde{z}_i)=r_i,i\in \tilde{I}$ ；

第七行，我们可以看到这就是底层 Hidden-Bits Model NIZK 的 adaptive soundness；

第八行，由于我们的构造假设可以得到。

Zero Knowledge：我们已有一个 Hidden-Bits Model NIZK 的 Simulator，需要构造 CRS Model NIZK 的 Simulator。假设 $\text{Sim}'$ 为 $(P',V')$ 的 Simulator。

\begin{aligned}&\color{red}\textbf{Simulator} && \color{red}\textbf{Real}\\&(r_I',\pi,I)\leftarrow \text{Sim}'(1^\kappa,x) && r\leftarrow\{0,1\}^{\kappa n} \\&(f,f^{-1})\leftarrow\text{GenF}(1^\kappa) && P(1^\kappa,r,x,w_x) \ \{\\&\text{For } i \in I && \quad(f,f^{-1})\leftarrow\text{GenF}(1^\kappa)\\ &\quad z_i\leftarrow \{0,1\}^\kappa \text{ s.t. } h(z_i)=r_i'&&\quad r_i'=h(f^{-1}(r_i)),i\in[n]\\&\quad r_i=f(z_i) && \quad (\pi,I)\leftarrow P'(r',x,w_x)\\ &\text{For } i \notin I && \quad (f,\pi',I,(f^{-1}(r_i))_{i\in I})\\ & \quad r_i\leftarrow\{0,1\}^\kappa &&\}\\ &\text{Return }\underbrace{(r_1|\cdots|r_n,x,(f,\pi,I,(z_i)_{i\in I}))}_{(1)}&&\text{Return }\underbrace{(r,x,(f,\pi',I,(f^{-1}(r_i))_{i\in I}))}_{(2)}\end{aligned}

我们希望证明 $(1)\approx_c(2)$ 。考虑使用 Hybrid Argument 方法插入 Hybrid 的 $(1')$ ：

\begin{aligned}&\color{red}\textbf{Simulator} && \color{red}\textbf{Hybrid}\\&(r_I',\pi,I)\leftarrow \text{Sim}'(1^\kappa,x) && r'\leftarrow\{0,1\}^n;(\pi,I)\leftarrow P'(1^\kappa,r',x,w_x) \\&(f,f^{-1})\leftarrow\text{GenF}(1^\kappa) && (f,f^{-1})\leftarrow\text{GenF}(1^\kappa) \\&\text{For } i \in I && \text{For } i \in I \\ &\quad z_i\leftarrow \{0,1\}^\kappa \text{ s.t. } h(z_i)=r_i'&&\quad z_i\leftarrow \{0,1\}^\kappa \text{ s.t. } h(z_i)=r_i'\\&\quad r_i=f(z_i) && \quad r_i=f(z_i)\\ &\text{For } i \notin I && \text{For } i \notin I\\ & \quad r_i\leftarrow\{0,1\}^\kappa &&\quad r_i\leftarrow\{0,1\}^\kappa\\ &\text{Return }\underbrace{(r_1|\cdots|r_n,x,(f,\pi,I,(z_i)_{i\in I}))}_{(1)}&&\text{Return }\underbrace{(r_1|\cdots|r_n,x,(f,\pi,I,(z_i)_{i\in I}))}_{(1')}\end{aligned}

我们知道根据 Hidden-Bits Model NIZK 的 Zero Knowledge 性质，有 $(1)\approx_c(1')$ 。

\begin{aligned}&\color{red}\textbf{Hybrid} && \color{red}\textbf{Real}\\&r'\leftarrow\{0,1\}^n;(\pi,I)\leftarrow P'(1^\kappa,r',x,w_x) && r\leftarrow\{0,1\}^{\kappa n} \\&(f,f^{-1})\leftarrow\text{GenF}(1^\kappa) && P(1^\kappa,r,x,w_x) \ \{\\&\text{For } i \in I && \quad(f,f^{-1})\leftarrow\text{GenF}(1^\kappa)\\ &\quad z_i\leftarrow \{0,1\}^\kappa \text{ s.t. } h(z_i)=r_i'&&\quad r_i'=h(f^{-1}(r_i)),i\in[n]\\&\quad r_i=f(z_i) && \quad (\pi,I)\leftarrow P'(r',x,w_x)\\ &\text{For } i \notin I && \quad (f,\pi',I,(f^{-1}(r_i))_{i\in I})\\ & \quad r_i\leftarrow\{0,1\}^\kappa &&\}\\ &\text{Return }\underbrace{(r_1|\cdots|r_n,x,(f,\pi,I,(z_i)_{i\in I}))}_{(1')}&&\text{Return }\underbrace{(r,x,(f,\pi',I,(f^{-1}(r_i))_{i\in I}))}_{(2)}\end{aligned}

在 Hybrid 中 $r_i'\Rightarrow r_i (i\in I); r_j\leftarrow\{0,1\}^\kappa (j\notin I)$ ；

在 Real 中 $r_i\Rightarrow r_i'$

根据 Hard-core 的定义，难以区分均匀随机和 hard-core bit，因此 $(1')\approx_c (2)$ 。我们形式化地将规约写出：

\color{darkblue}\small\begin{matrix}\mathcal{C'}& &\mathcal{A'/C} & &\mathcal{A}\\ \beta\leftarrow \{0,1\} & & r'\leftarrow\{0,1\}^n \\(f,f^{-1})\leftarrow\text{GenF}(1^\kappa) & &(\pi,I)\leftarrow P'(r',x,w_x)\\ \text{For }j=1\text{ to }ln \quad \\ \scriptsize\left\{\begin{matrix}x_j\leftarrow\{0,1\}^\kappa;y_j=f(x_j)\\ \text{if } \beta=0 \text{ then } b_j\leftarrow\{0,1\} \\ \text{else } b_j=h(x_j)\end{matrix}\right\} & \stackrel{f,(y_j,b_j)_{j\in[ln]}}\longrightarrow \\ & & t_{0/1}:=|\{b_j|b_j=0/1,j\in[ln]\}|\\ & & \text{if } t_0<n \text{ or } t_1<n \text{ then abort}\\ & & \text{For } i\in[n]\backslash I \\ & & \scriptsize \left\{\begin{matrix}\text{match } r_i'=b_j=0\text{ set } r_i=y_j\\\text{match } r_i'=b_j=1\text{ set } r_i=y_j\end{matrix}\right\}\\ & & \text{For }i\in I \\ & & \scriptsize\left\{\begin{matrix}z_i\leftarrow\{0,1\}^\kappa\text{ s.t. } h(z_i)=r_i' \\ r_i=f(z_i)\end{matrix}\right\}\\ & & r'=r'_{[n]\backslash I}\cup r'_{I}; \\ & & r = r_1|r_2|\cdots|r_n\\ & & \pi'=(f,\pi,I,(z_i)_{i\in I}) \\ & & &\stackrel{(r,x,\pi')}{\longrightarrow} \\ &\stackrel{\beta'}{\longleftarrow} & & \stackrel{\beta'}{\longleftarrow}\end{matrix}

在上面的规约中 $\beta=0$ 模拟的是 Hybrid，而 $\beta=1$ 模拟的是 Real。如果 $\mathcal{A}$ 可以以不可忽略的概率差区分 Hybrid 和 Real，我们可以构造 $\mathcal{A}'$ ，其解决 $ln$ 个 TDP hard-core bit 问题的概率不可忽略，即

\begin{aligned}\left|\text{Pr}[\mathcal{A}(1')=1]-\text{Pr}[\mathcal{A}(2)=1]\right| &=\left|\text{Pr}[\beta'=1|\beta=0] - \text{Pr}[\beta'=1|\beta=0]\right|\\ &\leq ln\cdot\textbf{Adv}_{\text{PKE},\mathcal{A}'}^{\text{Hard-Core 2}}(\kappa) \\ &\leq ln\cdot\text{negl}(\kappa) \\ &=\text{negl}(\kappa)\end{aligned}

因此 $(1)\approx_c(2)$ ，即该构造具有 ZK 性质。

对于任意 NP 语言 $L$ 的 Hidden-Bits Model NIZK.

💡

Cook-Levin Reduction. 假设

L^*

是一个 NPC 语言，对于任意 NP 语言

L

，存在一个多项式时间计算的函数

f

满足

x\in L\Longrightarrow f(x)\in L^*

；同时存在一个多项式时间计算的函数

f'

满足如果

w_x

是

x\in L

的 witness，那么

f'(w_x)

是

f(x)\in L^*

的 witness。

💡

命题. 如果存在一个针对 NPC 语言

L^*

的 (a)NIZK

(P^*,V^*)

，那么对于任意 NP 语言

L

，存在一个

(P,V)

的 (a)NIZK。

【证明】给定 $x\in L$ ，我们只需要以 $f(x),f'(w_x)$ 为输入调用 $(P^*,V^*)$ 即可。

因此，我们寻找一个特定的 NPC 语言，构造出其的 Hidden-Bits Model NIZK 即可。我们选择有向图的哈密尔顿回路作为该 NPC 语言 $L^*$ ，即

\begin{aligned}L^*=\{G=(V,E)|\text{directed graph $G$ which contains at least one Hamiltonian cycle}\}\end{aligned}

一些基本定义：

排列矩阵 (Permutation Matrix)： $n\times n$ 的方阵，每行每列只有 1 个 1；共有 $n!$ 个排列矩阵。

哈密尔顿矩阵 (Hamiltonian Matrix)：一个特殊的排列矩阵，在图 $G$ 中对应一个哈密尔顿环；假设图 $G$ 为完全图，那么共有 $(n-1)!$ 个排列矩阵。

Useful Matrix： $n^3\times n^3$ 的矩阵，其中存在一个 $n\times n$ 的哈密尔顿矩阵，其他部分是 0。

Modified Hidden-Bits Model NIZK for $L^*$ .

输入：有向图 $G=(V,E)$ ，其中 $n$ 为安全参数，令 $M_G$ 为 $G$ 的邻接矩阵；

修改： $r\in\{0,1\}^{n^2}$ ，但不是均匀随机的，而是一个随机哈密尔顿矩阵 $C$ 。
- 后续我们会撤销这个修改，变成真正的 Hidden-Bits Model NIZK；这个修改只是让当前版本好理解而已。

Witness $W$ ：图 $G$ 的一个哈密尔顿圈子图，用来验证图 $G$ 是否是一个哈密尔顿图。

$P^*(r,G,W)$ ：选择一个排列 $\pi$ 将 $W$ 映射成 $C$ （同构），返回 proof $(r_I, I, \pi)$ 。
- 这样的排列一共有 $n$ 个。
- 这里，我们令 $I=\{(\pi(i),\pi(j)):M_C(\pi(i),\pi(j))=0, M_{\pi(E)}(\pi(i),\pi(j))=0\}$ 且 $r_I = 00\cdots 0$ 。我们将节点映射至图 $C$ 上， $I$ 中包含了图 $C$ 中没有边、同时在同构图 $\pi(E)$ 中也不存在边的节点对。

$V^*(r_I, I, G, \pi)$ ：验证 $\pi$ 是否是一个排列，同时 $\forall (\pi(i),\pi(j))\notin \pi(E)$ ，需要满足 $(\pi(i),\pi(j))\in I$ 且 $M_C(\pi(i),\pi(j))=0$ 。
- 即验证在同构图中不存在边的节点对是否满足在 $I$ 中，且在 $C$ 中也没有边相连。

💡

Completeness. 若

G\in L^*

且

\pi

是一个排列，那么若

M_{\pi(E)}(\pi(i),\pi(j))=0

，那么

M_C(\pi(i),\pi(j))=0

。

Perfect Adaptive Soundness. 若 $V^*(r_I,G,\pi)=1$ ，那么 $G$ 一定有哈密尔顿圈。

反证，若没有哈密尔顿圈，一定有一个缺口，在同构图中是 0，但是在图 $C$ 中是 1；这个缺口边没法满足条件。

由于 soundness 是 perfect 的，自然是 soundness 的。

Perfect Zero Knowledge. 存在一个仿真器 $\text{SIM}(1^\kappa,G=(V,E))\rightarrow(r_I,\pi,I)$ ：随机选择一个排列 $\pi$ ，令 $I=\{(\pi(i),\pi(j)):M_{\pi(E)}(\pi(i),\pi(j))=0\}$ ，令 $r_I=00\cdots 0$ ，返回 $(r_I, \pi, I)$ 即可。

从 Modified Hidden-Bits Model NIZK 到 Hidden-Bits Model NIZK. 下面，我们需要用 Modified Hidden-Bits Model NIZK 来构造 Hidden-Bits Model NIZK。

🔑

从 Unbiased Bits 构造 Biased Bits. 令

s\leftarrow\{0,1\}^{5\log_2 n}

，若

s=11\cdots1

，令

b=1

；否则

b=0

。那么

\text{Pr}[b=1]=n^{-5}

，且

\text{Pr}[b=0]=1-n^{-5}

。

构造 Useful Matrix.

构造一个长度为 $n^6$ 的 biased bits 字符串 $S$ ，其中 biased probability 为 $n^{-5}$ （见上）；

将 $S$ 看成一个 $n^3\times n^3$ 的矩阵 $M$ ；

如果 $M$ 是 useful matrix，输出 $M$ ，否则输出 $\perp$ 。

💡

构造出 Useful Matrix 的概率

\text{Pr}[M\text{ is useful}]=\Omega\left(n^{-2}\right)

【证明】

定义事件：

$A$ : $M$ 包含正好 $n$ 个 1；

$B$ : $M$ 包含一个 $n\times n$ 子矩阵是排列矩阵；

$C$ : $M$ 包含一个 $n\times n$ 子矩阵是哈密尔顿矩阵，即等价于 $M$ 是 useful matrix。另外注意到 $C = C \wedge B \wedge A$ 。

那么，首先考虑 $\text{Pr}[A]$ 。令 $X$ 是一个计算 $M$ 中 1 的个数的随机变量，那么

\mathbb{E}[X]=n^{-5}n^6=n,\quad \text{Var}[X]=n^{-5}(1-n^{-5})n^6=n-n^{-4}<n

根据切比雪夫不等式，

\text{Pr}[\left|X-\mathbb{E}[X]\right|\ge k] \leq \frac{\text{Var}(X)}{k^2}

令 $k=n$ ，代入结果有

\text{Pr}[|X-n|\ge n] \leq \frac{n}{n^2}=\frac{1}{n}

于是，

\sum_{i=1}^{2n-1}\text{Pr}[X=i]\ge 1-\frac{1}{n}

于是，根据 Bernoulli 分布的形式，在均值 $X=n$ 处概率最大，于是

\text{Pr}[A]=\text{Pr}[X=n]\ge\frac{\sum_{i=1}^{2n-1}\text{Pr}[X=i]}{2n-1} = \frac{1-n^{-1}}{2n-1} \stackrel{(n\ge 3)}{\ge} \frac{1}{3n} = \Omega(n^{-1})

接着考虑 $\text{Pr}[B|A]$ 。矩阵里有 $n^6$ 个位置，要挑 $n$ 个放 1，总方案数是 $C_{n^6}^n$ ；但我要保证有一个排列矩阵，因此每行每列最多只有 1 个 1，因此从 $n^3$ 行 $n^3$ 列（独立）分别挑出 $n$ 行 $n$ 列，方案数即为 $C_{n^3}^n \cdot C_{n^3}^n$ ；此外，因为是排列，所以每 $n$ 行 $n$ 列对应着 $n!$ 个具体排列方案，因此：

\text{Pr}[B|A]=\frac{C_{n^3}^n \cdot C_{n^3}^n\cdot n!}{C_{n^6}^n} \approx \Omega(1)

另一方面，给定一个正好有 $n$ 个 1 的矩阵 $M$ ，每行至少有 2 个 1 的概率为：

1-\underbrace{\left(1-\frac{1}{n^3}\right)^n}_{\text{no 1 in this line}}-\underbrace{n\cdot\frac{1}{n^3}\cdot \left(1-\frac{1}{n^3}\right)^{n-1}}_{\text{only one 1 in this line}}\approx\frac{2n-1}{n^5}

总共有 $n^3+n^3$ 个行列，因此存在一行/列含有至少 2 个 1 的概率为：

2n^3 \cdot \frac{2n-1}{n^5} = O(n^{-1})

因此，存在一个排列矩阵的概率即为不存在一行/列含有至少 2 个 1 的概率：

\text{Pr}[B|A]=1-O(n^{-1})=\Omega(1)

对于 $\text{Pr}[C|B]$ ，则是一个古典概率计数问题，即

\text{Pr}[C|B]=\frac{\text{Pr}[\text{$M$ is a Hamiltonian matrix]}}{\text{Pr}[\text{$M$ is a permutation matrix}]}=\frac{(n-1)!}{n!}=\frac{1}{n}=\Omega(n^{-1})

综上所述，

\begin{aligned}\text{Pr}[C]&=\text{Pr}[C\wedge B\wedge A]\\&=\text{Pr}[A]\text{Pr}[B|A]\text{Pr}[C|B,A]\\&=\text{Pr}[A]\text{Pr}[B|A]\text{Pr}[C|B]\\&=\Omega(n^{-1})\cdot \Omega(1)\cdot \Omega(n^{-1})\\ &=\Omega(n^{-2})\end{aligned}

这个结论说明了，平均采样 $n^2$  个矩阵，即可采样出一个 Useful Matrix，因此存在一个多项式时间的采样算法得到 Useful Matrix。

Hidden-Bits Model NIZK for $L^*\in\text{NPC}$ .

输入：有向图 $G=(V,E)$ ，其中 $|V|=n$ 且 $n$ 为安全参数，令 $M_G$ 为 $G$ 的邻接矩阵。

Hidden-Bits String. $r\in\{0,1\}^{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2 n}$ ，并解析成 $n^3$ 个矩阵 $M_1,\cdots,M_{n^3}$ ；该过程写作 $(M_1,\cdots,M_{n^3})\leftarrow\text{SamMatrix}(r)$ 。

$P^*(r,G,W)$ : $(M_1,\cdots,M_{n^3})\leftarrow\text{SamMatrix}(r)$ ，对每个 $M_k\ (k\in[n^3])$ ：
- 如果 $M_k$ 不是 useful matrix，直接公开 $M_k$ 至 $r_I$ 中；
- 如果 $M_k$ 是 useful matrix，令 $C_k$ 为其中的 $n\times n$ 的汉密尔顿子矩阵，公开剩下的 $n^6-n^2$ 个空白单元至 $r_I$ 中；
- 对每个 useful matrix $M_k$ ，选一个排列 $\pi_k$ 可以将 $W$ 映射成 $C_k$ 并公开以下内容至 $r_I$ 中：
  $\{M_C(\pi_k(i),\pi_k(j)):M_C(\pi_k(i),\pi_k(j))=0, M_E(i,j)=0\}$
- 返回 $\Pi=(I,r_I=00\cdots 0,(\pi_k)_{M_k\text{ is useful}})$

$V^*(r_I,G,\Pi)$ ：根据 $I$ 检查
- 公布的完整 $M_k$ 是否不是 useful matrix；
- 是否把 useful matrix 的 $M_k$ 的 $n^6-n^2$ 个空白单元公布在 $I$ 中；
- $\pi$ 是否是一个排列；
- 同时， $\forall (\pi(i),\pi(j))\notin \pi(E)$ ，需要满足 $(\pi(i),\pi(j))\in I$ 且 $M_C(\pi(i),\pi(j))=0$ 。

💡

Completeness. 与 modified 版本相同。

Adaptive Soundness. 如果 $M_k$ 是 useful matrix，那么 adaptive soundness error 为 0（因为是在 modified 版本中证明了是 perfect adaptive soundness）。如果没有任何一个 $M_k$ 是 useful 的，那么 $V^*$ 会将不在语言中的 $x\notin L^*$ 误判为 1，这样的概率为：

\text{Pr}[V(r_I,x,\tilde{\pi},I)=1 \wedge x\notin L]=(1-\Omega(n^{-2}))^{n^3}\leq e^{-\Omega(n)}=\text{negl}(n)

Zero Knowledge. 存在一个仿真器 $\text{SIM}(1^\kappa,G=(V,E))\rightarrow(r_I,\pi,I)$ ，仿照 modified 版本与 $P^*$ 的构造类似构造即可。

Adaptive Zero Knowledge for $L^*$ . 下面我们想说明，使用上述方法构建的 NIZK (in CRS Model) 自然地具有 Adaptive ZK 性质。

对汉密尔顿圈，Modified Hidden-Bits Model NIZK ↔ Hidden-Bits Model NIZK ↔ (a)NIZK. 因此我们现在将要写出完整的 aNIZK 表达形式（将每步规约应用上）。

\begin{aligned}& \color{red} P^*(r,G=(V,E),W=C_k) \text{ of NIZK } (P^*,V^*) \\ &r=(r_1,r_2,\cdots,r_{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2n})\leftarrow\{0,1\}^{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2n \cdot \kappa}\\ &(f,f^{-1})\leftarrow\text{GenF}(1^\kappa);\\ &z_i=f^{-1}(r_i);r_i'=h(z_i) \\ & r'=(r_1',r_2',\cdots,r_{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2n}')\in\{0,1\}^{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2n}\\ &(M_1,M_2,\cdots,M_{n^3})\leftarrow\text{SamMatrix}(r')\\&\text{For }k=1\text{ to }n^3 \\ &\quad \text{If }M_k \text{ is not useful, then} \\ &\quad \quad I \leftarrow I \cup \text{Index}(M_k) \\ &\quad \text{else } \\ &\quad \quad I \leftarrow I \cup \text{Index}(M_k\backslash C_k) \\ & \quad \quad \text{Choose random permutation }\pi_k \text{ s.t. the cycle }W\text{ covers }C_k \\&\quad \quad \text{For each }(i,j)\in E \text{ such } E(i,j)=0 \text{ and }M_{C_k}(\pi_k(i),\pi_k(j))=0 \\ &\quad\quad\quad I\leftarrow I\cup\{\text{Index}(M_k(\pi_k(i),\pi_k(j)))\} \\ &\Pi=(f,(\pi_k)_{\text{useful } M_k},I,(z_i)_{i\in I}) \\&\text{Return }\Pi\end{aligned}

接下来我们构造 aNIZK 需要的 $\text{Sim}^*=(\text{Sim}_1^*,\text{Sim}_2^*)$ 。

\begin{aligned}&\color{red}r\leftarrow\text{Sim}_1^*(1^\kappa) \quad [\textit{Allow Information Storation, e.g., useful info}]\\& r'\leftarrow\{0,1\}^{n^3\cdot(n^3\cdot n^3)\cdot 5\log_2n} \\& (M_1,M_2,\cdots,M_{n^3})\leftarrow\text{SamMatrix}(r')\\&\text{For }k=1\text{ to }n^3 \\ &\quad\text {If }M_k \text{ is not useful, then }\\ &\quad \quad I\leftarrow I\cup\text{Index}(M_k) \\ &\quad \text{else} \\ &\quad\quad I\leftarrow I\cup\text{Index}(M_k\backslash C_k) \\ & \quad \quad \color{blue} \text{set } M_k \text{ to }(0)\text{ and modify the corresponding bits in }r'\\ &(f,f^{-1})\in\text{GenF}(1^\kappa) \\ &\text{For }r_i' \in r' \\ &\quad z_i\leftarrow\{0,1\}^\kappa \text{ s.t. } h(z_i)=r_i'\\ &\quad r_i=f(z_i)\\ & r=(r_1|r_2|\cdots|r_n) \\&\text{Return }r\end{aligned}

\begin{aligned}&\color{red}\Pi\leftarrow\text{Sim}_2^*(G) \quad [\textit{Allow Information Storation, e.g., useful info}]\\&\text{For }k=1\text{ to }n^3 \\ &\quad\text {If }M_k \text{ is useful, then }\\ &\quad \quad I\leftarrow I\cup\text{Index}(M_k) \\ &\quad\quad \color{blue}\text{Pick a random permutation }\pi_k \\ &\quad \quad \text{For each }(i,j)\text{ s.t. } E(i,j)=0 \\ &\quad \quad \text{For each }(i,j)\in E \text{ such } E(i,j)=0 \text{ and }M_{C_k}(\pi_k(i),\pi_k(j))=0 \\ &\quad\quad\quad I\leftarrow I\cup\{\text{Index}(M_k(\pi_k(i),\pi_k(j)))\} \\ &\Pi=(f,(\pi_k)_{\text{useful }M_k},I,(z_i)_{i\in I})\end{aligned}

规约省略。