可验证随机数VRF的一种实现

本文简单分析一下ietf-vrf方案的实现原理。
所谓VRF就是指给定一个消息和一个私钥，可以计算出一个唯一确定的值，这个值唯一确定且不可预测，且可以验证。
传统的签名算法不具有唯一确定的特性，私钥持有者可以计算出多个合法解。

前置技能树：需了解椭圆曲线的基本运算法则。

1. 简单的多项式:

$$t=(r-s\ast k)\mathrm{m}\mathrm{o}\mathrm{d}p$$
这个等式就是普通的整数运算，r,t,s,k,n均为大整数，p为常量。
k为私钥,r为随机数，二者不可泄露。

2. 椭圆曲线上的多项式

把上面的等式和椭圆曲线的基点$G$相乘，可以得到下面的等式:
$$\begin{array}{rl}T& =t\ast G\\ & =(r-s\ast k)\ast G\\ & =r\ast G-s\ast k\ast G\\ & =R-s\ast K\end{array}$$

小写字母为整数，对应的大写字母为该整数映射到曲线上的点

当选取不同的基点$G_x$时, 等式也依然成立:
$$\begin{array}{rl}{T}_x& =t\ast G_x\\ & =(r-s\ast k)\ast G_x\\ & =r\ast G_x-s\ast k\ast G_x\\ & =R_x-s\ast K_x\end{array}$$

3. 多项式的实例化

随机选取两个不同的基点$G_1$,$G_2$，则:

$$\begin{gathered} T_1=R_1-s\ast K_1 \\ {T}_2=R_2-s\ast K_2 \end{gathered}$$

回到起始的多项式$t=(r-s\ast k)\mathrm{m}\mathrm{o}\mathrm{d}p$，k为私钥，r为随机数, 则只需确定s，就可以计算出t。

定义哈希函数$H_2$，用于计算s:
$$s=H_2(G_1,G_2,K_1,K_2,R_1,R_2)$$
现在t的值确定了，我们构造出了一组数字，它们满足上述的多项式，而且系数之间有着苛刻的约束。

公开除了k,r之外的所有参数，则任何人都可以验证这组数字的有效性，并且其他的人几乎无法给出其他的有效解。

公开t,s,$G_1$,$G_2$,$K_1$,$K_2$即可，其余参数均可推导出。

4. 应用到VRF

回到基点$G_x$的选择，令:
$$\begin{gathered} G_1=G \\ {G}_2=H_1(M) \end{gathered}$$
其中$G$为约定好的基点，M为任意消息，$H_1$为哈希函数，负责将M编码成曲线上的点。

对于任意消息M和私钥k，总能计算出一组数字，满足上述的多项式。
当选择不同的r时，t,s是不同的，但其余的值是固定的，比如$K_2$，而且$K_2$的值只由k,M决定，因此$K_2$就是VRF输出的"确定的不可预测的可验证的随机数"。

相关链接:

• google的实现
• Spectrum的实现
• IETF草案