You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
之前在#120 这里写过Chaum-Pedersen 零知识证明方案,所以提到过Sigma Protocol 中的Equality of discrete logs 关系证明。我们来看看Schnorr签名与它有什么关系,其实Schnorr签名可以看作是proof of knowledge of secret key corresponding to a public key ( x in g^x),而被签名的消息m增加作为hash函数的输入,以此来生成challenge。而且它们的原型就是交互式的,用hash函数生成了challenge而已,所以Schnorr签名我感觉也是一种零知识证明。
先来看Schnorr签名,再看Sigma Protocol中的proof of knowledge of discrete log吧。
proof of knowledge of discrete log(Schnorr identification protocol)
这个零知识证明的关系约束是 y = g^x。 其中g是生成元,x是witness不能暴露,y对应到Schnorr里面就是公钥。
Prover随机生成一个随机数r,并创建一个承诺(commitment), t = g^r
Prover用Hash函数生成一个随机challenge c = Hash(g || y || t)
Prover生成一个回复 s = r + x * c, 并把二元组(t, s)发送给Verifier
Verifier根据收到的t,s。还有一开始最知道的y和g来通过Hash函数计算c,最后验证等式 g^s = y^c * t
总结
你会发现,Schnorr签名其实就相当于proof of knowledge of discrete log的简单修改,只有最后一步校验的时候校验等式不一样,等式不一样的原因其实就是Schnorr签名的Hash函数的输入不一样,Schnorr没有把G点算进去,而是把消息m作为输入。而
proof of knowledge of discrete log则是把g算进去了,而没有签名的消息m。所以Schnorr签名是做了修改的proof of knowledge of discrete log的零知识证明。
换句大白话来说吧, proof of knowledge of discrete log中在不泄露x的情况下,需要零知识地证明y就是x通过g^x得到的这样的关系上的证明。而Schnorr签名则是要零知识地证明签名消息m确实是经过私钥x签出来的,所以Schnorr在关系证明y = g^x的约束上引入了外部的一个待签名的数据m的约束,,关系约束性更强了。
The text was updated successfully, but these errors were encountered:
之前在#120 这里写过Chaum-Pedersen 零知识证明方案,所以提到过Sigma Protocol 中的Equality of discrete logs 关系证明。我们来看看Schnorr签名与它有什么关系,其实Schnorr签名可以看作是proof of knowledge of secret key corresponding to a public key ( x in g^x),而被签名的消息m增加作为hash函数的输入,以此来生成challenge。而且它们的原型就是交互式的,用hash函数生成了challenge而已,所以Schnorr签名我感觉也是一种零知识证明。
先来看Schnorr签名,再看Sigma Protocol中的proof of knowledge of discrete log吧。
Schnorr Signature
设椭圆曲线G点为G, pk = sk.G或者也可以表述成pk = G^sk。在非对称加密中,签名无非的意义就是一段描述与该私钥对应的公钥的一段证明嘛,所以才能是私钥签名,公钥验签。也就是满足pk = G^sk的约束,但是不用暴露sk,因为sk是witness。是Prover向Verifier要证明的东西。
Schnorr签名流程:
设Prover的公钥为P,私钥为k, P = G^k 待签名的消息为m
注: Hash函数的选取要与公私钥在同一个范围,比如公私钥是一段256 bit的无符号大整数,那么Hash函数也要选输出为256 bit的函数,如SHA256。 而且Hash函数有要求,一定要选择密码学Hash。密码学Hash在一定程度下才能充当随机预言机(Random Oracle), 这样才可以在随机预言机模型下讨论协议的安全性。 但是在去年有篇论文《Does Fiat-Shamir Require a Cryptographic Hash Function?》 指出,Fiat-Shamir变换可以不用密码学Hash,这就比较牛逼了,小白的我还是保持观望状态。
整个过程没有暴露私钥k,还有随机数r,并且整个过程是非交互式的,感谢Fiat-Shamir变换。 若不引入随机数r,那么就会有问题,相当于泄露私钥k了。所以每次签名的时候,随机数r都需要重新生成,随之的R也不一样。所以,对于相同消息m,每次Schnorr签名后的的数据肯定不一样。 随机数r很重要,切记。如果不明白,网络上有详细推导。
proof of knowledge of discrete log(Schnorr identification protocol)
这个零知识证明的关系约束是 y = g^x。 其中g是生成元,x是witness不能暴露,y对应到Schnorr里面就是公钥。
总结
你会发现,Schnorr签名其实就相当于proof of knowledge of discrete log的简单修改,只有最后一步校验的时候校验等式不一样,等式不一样的原因其实就是Schnorr签名的Hash函数的输入不一样,Schnorr没有把G点算进去,而是把消息m作为输入。而
proof of knowledge of discrete log则是把g算进去了,而没有签名的消息m。所以Schnorr签名是做了修改的proof of knowledge of discrete log的零知识证明。
换句大白话来说吧, proof of knowledge of discrete log中在不泄露x的情况下,需要零知识地证明y就是x通过g^x得到的这样的关系上的证明。而Schnorr签名则是要零知识地证明签名消息m确实是经过私钥x签出来的,所以Schnorr在关系证明y = g^x的约束上引入了外部的一个待签名的数据m的约束,,关系约束性更强了。
The text was updated successfully, but these errors were encountered: