A More Efficient Computationally Sound Non-Interactive Zero-Knowledge Shuffle Argument

1. 背景知識

Lipmaa和Bingsheng Zhang 2012年同時期論文《A More Efficient Computationally Sound Non-Interactive Zero-Knowledge Shuffle Argument*》，要點爲：

• 非 random-oracle based的shuffle argument。【In a shuffle argument, the prover proves that two tuples of randomized ciphertexts encrypt the same multiset of plaintexts.】
• zero argument。
• 1-sparsity argument。
• 基於zero argument和1-sparsity argument構建的permutation matrix argument。
• 基於的假設有：knowledge BBS cryptosystem、DLIN assumption以及power symmetric discrete logarithm(PSDL) assumption.【The PSDL assumption is much more standard(-looking) than the SPA and PPA assumptions from [GL07].】

Shuffle argument的歷史情況：

• Groth and Ishai [GI08] 的communication複雜度爲$\Theta (n^{2/3})$。
• Groth [Gro09] 的communication複雜度爲$\Theta (n^{1/2})$。
• Bayer and Groth [BG12] 的communication複雜度爲$\Theta (n^{1/2})$。

1.1 Permutation matrix

Permutation matrix爲每行每列僅有一個‘1’值的Boolean matrix。
$\Rightarrow$A matrix is a permutation matrix iff its every column sums to 1 and its every row has exactly one non-zero element.

論文研究情況：

• 論文[FS01]等中，Prover對permutation matrix進行commit，同時提供一份有效的permutation matrix argument。
• 論文Terelius and Wikstr¨om [TW10]中，基於“A matrix is a permutation matrix iff its every column sums to 1 and its every row has exactly one non-zero element.“事實，構建了interactive permutation matrix. 使用了Schwartz-Zippel lemma。
• 本論文基於的事實爲：a matrix is a permutation matrix exactly if every column sums to 1 and every row has at most one non-zero element. 且不採用Schwartz-Zippel lemma，故而不需要基於random oracle model來實現NIZK。

1.2 一些說明

1.3 Trapdoor commitment

2. Zero argument

Zero argument，即prover can open the given commitment to the zero tuple，可理解爲Groth[10]中的restriction argument的特例化，即prover知道knowledge of the discrete logarithm.

3. 1-sparsity argument

A vector $a\in Z_p^n$ is $k$-sparse, if it has at most $k$ non-zero coefficients. 可認爲，zero argument爲0-sparsity argument.

1-sparsity argument，即prover can open the given commitment to $\vec{a}=(a_1,...,a_n)$，其中最多隻有一個$a_i$爲非零值。
可轉換爲證明：$a_ia_j=0$, for every $i,j\in[n],\ and\ i!=j.$

根據Lip[12]可知，the discrete logartihm of the non-interactive argument爲：
$F(x)=F_{con}(x)+F_{\pi}(x)$，其中$x$爲secret key。

• $F_{con}(x)$多項式中，對於honest prover來說，每個constraint均只有1個monomial。在論文Lip[12]中，其constraints的數量爲線性的：for any $i$, $a_i\cdot b_i=c_i$，而在本論文1-sparsity argument中，其constraints數量爲quadratic的：for any two different coefficients $a_i$ and $a_j$, $a_i\cdot a_j=0$。
• $F_{\pi}(x)$多項式中，Lip[12]論文中的monomials爲quasilinear的（$O(n2^{2\sqrt{2\log_2n}})$），而在1-sparsity argument中爲linear的。1-sparsity argument與Lip[12]中的argument相比，其CRS length和prover’s computational complexity均更低。

以上1-sparity argument爲非perfectly zero-knwoledge的，原因爲：

4. Permutation matrix argument

其中的$\vec{P_i}$即爲permutation matrix $P$ 的第$i$行。

5. Knowledge BBS cryptosystem

6. New shuffle argument

該new shuffle argument具有perfect zero-knowledge。