Simple Schnorr Signature with Pedersen Commitment as Key學習筆記

1. 引言

Gary Yu 2020年論文《Simple Schnorr Signature with Pedersen Commitment as Key》，目前暫無收錄信息。

A signature is a zero-knowledge (ZK) proof of knowledge where the prover convince the verifier that they know a/some secret information, without revealing the secret info itself.

目前的Schnorr signature算法，Musig算法，都是secure in the plain public-key model（即signers are only required to have a public key, but do not have to prove knowledge of the private key corresponding to their public key to some certificate authority or to other signers before engaging the protocol）。要求籤名者在簽名時必須使用與公鑰相對應的私鑰。

在Monero/Grin/Beam/Gotts等支持隱私交易的區塊鏈系統中，使用了Pedersen commitment scheme來隱藏交易中的input amounts和output amounts。

1.1 Pedersen commitment scheme

Pedersen commitment的定義爲：
已知兩個互不相關的genertors $G$和$H$——即沒有任何人知道是否存在$y$使得$y*G=H$成立。committer引入隨機private key $x$，對$a$的commitment爲：
$Commitment=x*G+a*H$

Pedersen commitment scheme 具有perfectly hiding和computationally binding屬性。

1.2 Switch commitment scheme

Grin中使用了Switch commitment scheme（Tim Ruffing等人2017年論文《Switch Commitments: A Safety Switch for Confidential Transactions》），Switch commitment scheme constitute a cryptographic middle ground between computationally binding and statistically binding commitments。
相對於Pedersen commitment，額外引入了第3個generator $J$，與$G、H$均不相關——即沒有任何人知道是否存在$y$使得$y*G=J或y*H=J$成立。
Switch commitment定義爲：
$Commitment=x’*G+a*H$，其中$x’=x+Hash(x*G+a*H,x*J)\mod p$

1.3 ElGamal commitment scheme

ElGamal commitment schem具有perfectly binding和computationally hiding屬性。
EIGamal commitment定義爲：
$(x*G+a*H,x*H)$，其左側就是1個Pedersen commitment。

以上三種commitment具有一個共性：都包含1個elliptic curve point，可理解爲是1個public key，但是沒有任何人知道與該public key像對應的private key。——即無法知道$c$值，使得$c*G=x*G+a*H$成立。
因此，基於現有的簽名策略（即簽名者需要用與公鑰相對應的私鑰來進行簽名操作），無法將commitment值直接作爲公鑰用於現有的簽名算法中。

1.4 Mimblewimble transaction scheme

2016年Jedusor在Mimblewimble協議中指出，當Pedersen commitment commit to 0的時候，有：$Commitment=x*G$，則此時可將其看作是一個ECDSA public key。而對於有效的隱私交易，“outputs-(inputs+transaction fees)=0”應成立。
隱私交易的發送方sender可將outputs與inputs的差值作爲public key來對交易簽名，
2017年，Peverell 《Introduction to Mimblewimble and Grin》中指出了典型的Mimblewimble transaction scheme（有1個 input和2個outputs情況下）爲：
$(x_i*G+a_i*H)+(excess'+offset)*G=(x_c*G+a_c*H)+(x_r*G+a_r*H)+fee*G$
其中：

• $(x_i*G+a_i*H)$爲input commitment owned by sender。
• $(x_r*G+a_r*H)$爲output commitment for receiver。
• $(x_c*G+a_c*H)$爲the change commitment for sender。
• $x_i,x_c,x_r$爲private keys；$a_i,a_c,a_r$爲amounts；$fee$爲transaction fee。
• $offset$爲a random number selected by the sender。
• $excess'$ 可稱爲”public excess”，可作爲signature public key，滿足$excess'=(x_c-x_i-offset)*G+x_r*G$，其中：
  – $(x_c-x_i-offset)*G$可作爲public key，僅有sender知道相應的private key。
  – $x_r*G$ 可作爲public key，僅receiver知道相應的private key。

To sign this transaction with $excess'$ as the public key, the Simpler Variants of MuSig interactive signature scheme is used, meaning both the sender and the receiver exchanges the public key and public nonce info, then executes a MuSig partial signature in both side, then either the sender or the receiver finally aggregate these two partial signatures to get a final joint Schnorr signature, which can be verified exactly as a standard Schnorr signature with respect to a single public key: $excess'$.

1.5 ZK proof of Pedersen commitment

Camenisch 等人2009年論文《On the Portability of Generalized Schnorr Proofs》中指出：

亦可參見博客 基於Sigma protocol實現的零知識證明protocol集錦 第2.4節Knowledge of the opening of Pedersen commitment。

2. 本論文新的簽名機制——ComSig

本論文提出了新的簽名機制——ComSig，基於的是Schnorr signature scheme。
主要的group參數有$(\mathbb{G},p,g,h)$，其中$p$爲$k$-bit integer，$\mathbb{G}$爲a cyclic group of order $p$，$g,h$爲generator of $\mathbb{G}$，$g,h$互不相關——即沒有任何人知道是否存在$y$使得$y*G=H$成立。

爲了抵抗rogue key attack，藉助Musig方案思想，構建支持aggregate multi-signature的ComSig方案：

Musig方案各簽名方需要交互，而ComSig針對的場景是blockchain using the Pedersen commitment as output，a single signer can complete the signature to prove the ownership of a Pedersen commitment output。