零知识证实 | 3.什么是KCA系数知识假设？

时间 2019-12-09

标签知识证实什么 kca 系数假设繁體版

原文原文链接

上一篇介绍了盲计算，所谓盲计算，就是Alice在不知道s的状况下完成多项式计算。测试

那么，Bob如何肯定Alice的计算结果是正确的呢？要实现这一目标，须要先介绍一个概念：α对。.net

在有限循环群G中，若是 $\alpha, \beta \neq 0 且 b = \alpha \cdot a$ ，那么就称为一个α对。cdn

也就是说，b是a的α倍（模p）。有了这个概念，就能够进行一项"系数知识测试"：blog

乍一看有点迷糊，既然 $b=\alpha \cdot a$ ，那Alice不就是能够反推出α等于多少了吗？请注意：这里的乘法是模p乘法。举个例子就清楚了：bfc

假设Bob选定 $a=2, \alpha=4$ ，那么 $b=\alpha \cdot a=4 \cdot 2|_{mod7}=1$ ，因此最终生成的α对是，Alice无法反推出α的值是多少（在p很是大的状况下，这是一个离散对数难题）。循环

既然Alice不知道α，那么她就只有一种方法能够生成新的α对：给a和b各乘上同一个系数 $\gamma$ 。

举个例子，假设Alice秘密选定 $\gamma = 5$ ，那么新生成的α对：

$(a',b')=(\gamma \cdot a, \gamma \cdot b)=(5 \cdot 2|_{mod7}, 5 \cdot 1|_{mod7}) = (3, 5)$

Bob收到这个新的α对以后，验证 $\alpha \cdot a' = 4 \cdot 3|_{mod7} = 12|_{mod7} = 5 = b'$ ，接受该回复。

也就是说，Alice秘密持有 $\gamma$ ，Bob秘密持有 $\alpha$ 。跟上一篇文章中的图拼到一块儿：

这就是所谓的"系数知识假设"，英文是"Knowledge of Coefficient Assumption"，简称KCA。一句话归纳：所谓KCA，指的是若是Alice成功回复了一个α对，那么她必定持有某个 $\gamma$ 使得 $a'=\gamma \cdot a$ 。