ZKAttest: Ring and Group Signatures for existing ECDSA keys 学习笔记

1. 引言

来自于Cloudflare和Cornell Tech的Armando Faz-Hern´andez等人，2021年论文《ZKAttest: Ring and Group Signatures for existing ECDSA keys》。

代码实现有：

• https://github.com/cloudflare/zkp-ecdsa（TypeScript）

在该代码实际实现时，采用的Groth–Kohlweiss membership Proof算法来自于 Groth和Kohlweiss 2015年论文《One-out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin》，详细可参看博客：

• One-out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin 学习笔记

加密密钥越来越多地存储在专用硬件或软件接口后面。这样做会限制访问，例如只允许通过ECDSA进行签名。若想将该key用于环签名或群签名，现有接口无法满足相应的要求。
本文提供了一种$\sum$-protocol，可使用committed public key来验证对某一消息的ECDSA签名或Schnorr签名，而不需要reveal该public key。基于该协议，结合Groth–Kohlweiss membership proof，可派生出在无法访问私钥的情况下，进行环签名的机制。

某公司内的泄密者可采用包含该公司内所有成员的环签名方式来泄露秘密文件，这样既可证明泄密者确实属于该公司，同时又保证匿名性。

Web Authentication: An API for accessing Public Key Credentials - Level 2.，为当前流行的硬件验证器标准，仅支持通过标准化算法（如ECDSA）对消息进行签名。这些签名和显示公钥真实性的证书链揭示了在执行认证时使用了哪个验证器，从而在认证信任度与隐私之间进行了权衡。更改此类模块的安装基础以增强隐私（如支持现有的环签名方案），将需要数年的时间。因此，有必要利用现有的key来增强WebAuthn认证的隐私性：这是ZKAttest的主要目标。

ZKAttest的核心primitive为：

• proof of valid ECDSA signature under a committed public key

Verifier可在不知道public key的情况下，通过该proof验证签名的有效性。ZKP中commitment的hiding属性可实现相应的功能。如，$C$为a commitment to a value on a public list of keys，从而生成环签名。

1.1 环签名

环签名（ring signature）是一种数字签名方案，最初由Rivest等人提出，环签名是一种简化的群签名,环签名中只有环成员没有管理者，不需要环成员间的合作。环签名是一个能够实现签名者无条件匿名的签名方案。ring signature背景知识可参看博客 隐私交易基本原则 第3和第4节内容。

环签名中包含3个算法：

• $Gen(1^k)$：输出为keys $(sk,pk)$
• $Sign(m,s{k}_i,R)$：输出为a signature $\sigma$ on the message $m$ with respect to the ring $R=\{p{k}_1,\cdots ,p{k}_n\}$
• $Verify(\sigma ,m,R)$：验证环签名。

理想情况下，即使ring中所有member的私钥都被暴露了，也无法根据签名判断出具体是谁签的。同时环签名还具有不可伪造性（没有私钥不能伪造一个合法的环签名）。

1.2 基础概念

• $G$：group points on an elliptic curve。
• $g,h,g_1,g_2$：为group generators。

ZKAttest中，采用2个不同的曲线来实现，分别从2条曲线上取point：【实际可选two-cycle曲线】

• $G_{NIST}$：为标准的椭圆曲线，其base field为${\mathbb{F}}_p$。
• $G_{Tom}$：group order 为$p$——$p$为$G_{NIST}$的base field size。

将Pedersen commitment to $x$ with randomness $r$表示为：$Com(x;r)=xg+rh$。
Pedersen commitment具有如下属性：

• unconditionally hiding
• computationally binding
• addtively homomorphic

$\sum$-protocol基本概念可参看：基于Sigma protocol实现的零知识证明protocol集锦。
$\sum$-protocol为3-round protocol，满足：

• Special Honest-Verifier Zero-Knowledge (SHVZK)：意味着可sample from the distribution of transcripts without any knowledge of the witness。
• Special soundness：意味着对同一commitment，采用不同challenges，可计算出相应的witness。

$\sum$-protocol具有并行可组合型，可同时证明a common set of commitments的多个属性，不需要为每个属性单独生成一个proof。如已知commitments $C_1=xg+r_{1}h,C_2=yg+r_{2}h$，可用$\sum$-protocol来证明 commitment $C_3$为a commitment to $x+y$, $x-y$, $xy$, $x/y$。
$\sum$-protocol可用于证明2个statements同时正确，或者证明2者之一是正确的。

借助Fiat-Shamir可将$\sum$-protocol转换为non-interactive zero-knowledge proof (NIZK)。

1.3 Tom Curves

ZKAttest中，采用2个不同的曲线来实现，分别从2条曲线上取point：【实际可选two-cycle曲线】

• $G_{NIST}$：为标准的椭圆曲线，其base field为${\mathbb{F}}_p$。
• $G_{Tom}$：group order 为$p$——$p$为$G_{NIST}$的base field size。

$E/{\mathbb{F}}_p:y^2=x^3-3x+b$，对应prime order group $G_{NIST}=E({\mathbb{F}}_p)$。其中$p$为prime。

为了证明relations among commitments to values in ${\mathbb{F}}_p$，（如，commitments of the coordinates of a point），更适于在order 为$p$的group内进行操作。如果所使用的group order不为$p$，为了证明knowledge of openings of $C_1,C_2,C_3$ to $x,y,xy\mathrm{m}\mathrm{o}\mathrm{d}p$，需要该group的size不少于$p^2$，然后证明knowledge of $C_4$ opening to $xy$ over the integers，然后再证明存在不大于$p$的number $r$，使得$t=xy-rp$成立。这中间还额外需要range proof以及很多辅助commitments。此外，整个过程中也没法利用commitment的加法同态属性。

根据Br¨oker 1979年论文《CONSTRUCTING ELLIPTIC CURVES OF PRESCRIBED ORDER》中的方法生成指定order的曲线，本文称为Tom curves。

$E^{\prime }/{\mathbb{F}}_q:y^2=x^3+a_{4}x+a_6$，对应prime order group $G_{TOM}=E^{\prime }({\mathbb{F}}_q)=p$。其中$q$为prime。

使用$Co{m}_{Tom}$和$Co{m}_{NIST}$来区分不同曲线上的commitment。

常用于FIPS 186-2和SEC2标准中的Tom曲线有：

2. Proof of Point Addition

令$a,b,t$为$G_{INST}$上的points，相应的坐标为$a_x,a_y,b_x,b_y,t_x,t_y$。对应各坐标的commitments为$C_1=Co{m}_{Tom}(a_x),C_2=Co{m}_{Tom}(a_y),C_3=Co{m}_{Tom}(b_x),C_4=Co{m}_{Tom}(b_y),C_5=Co{m}_{Tom}(t_x),C_6=Co{m}_{Tom}(t_y)$。

需证明relation $a+b=t$。
本文针对的应用场景中，必须忽略$a=b,a=-b$（即$a_x=b_x$）等特殊情况，只针对如下情况：
当$a_x\ne b_x$时，可采用Silverman 书本《The Arithmetic of Elliptic Curves》第三章“The geometry of elliptic curves” 中的Group Law Algorithm 2.3 中的affine addition公式，有：
$t_x=(\frac{b_y-a_y}{b_x-a_x}{)}^2-a_x-b_x,t_y=(\frac{b_y-a_y}{b_x-a_x})(b_x-t_x)-a_y$

为了证明$a+b=t$，Prover需计算如下辅助commitments：
$C_7=Co{m}_{Tom}(b_x-a_x)$, $C_8=Co{m}_{Tom}(b_x-a_x{)}^{-1}$
$C_9=Co{m}_{Tom}(b_y-a_y)$
$C_{10}=Co{m}_{Tom}(\frac{b_y-a_y}{b_x-a_x})$, $C_{11}=Co{m}_{Tom}((\frac{b_y-a_y}{b_x-a_x}{)}^2)$
$C_{12}=Co{m}_{Tom}(b_x-t_x)$, $C_{13}=Co{m}_{Tom}((\frac{b_y-a_y}{b_x-a_x})(b_x-t_x))$

然后可并行证明以上每个辅助commitment open to the proper value as a sum or product of previous one，最后有：
$C_5=C_{11}-C_1-C_3,C_6=C_{13}{C}_{12}-C_2$

以上辅助证明可利用 Camenisch等人1999年论文《Proving in zero-knowledge that a number is the product of two safe primes》中现有算法来证明a correct multiplication or addition。
对于$C_8=C_7^{-1}$的proof of proper inversion，可转为proof of multiplication $C_8{C}_7=Co{m}_{Tom}(1)$。

以上proof未证明the points are on the curve，但是只要$a,b$ on curve，则$t$肯定也on curve。

因为$\infty$无法在affine坐标系下表示，为了强化应用中不允许$a_x=b_x,a_y\ne b_y$，可证明$a_x-b_x\ne 0$，转为证明存在倒数$(a_x-b_x{)}^{-1}$。

除此之外，还需要考虑$a=b$的情况，此时为point doubling $t=2a$。

因此对于affine坐标系下的$t=a+b$ $\sum$-protocol证明为：
$(a_x-b_x\ne 0\wedge t=a+b)\vee (a_x=b_x\wedge a_y=b_y\wedge t=2a)$

整个proof cost的主要开销为：
field multiplications数量和field inversion 数量，实际都是proof of multiplication的数量。从proof-space的角度来说，affine坐标公式是效率最高的。Renes等人2016年论文《Complete addition formulas for prime order elliptic curves》中有更能复杂完备的工作，也需要更多的操作。

3. Proof of Scalar Multiplication

令$g,h$表示$G_{NIST}$上的point；$g^{\prime },h^{\prime }$表示$G_{Tom}$上的point。

针对的场景为：

• public input：$C_1,C_2^{\prime },C_3^{\prime }$ 和 $G_{NIST}$上的point $g$
• witness：$x,y,\lambda$
• relation：$C_1=Co{m}_{NIST}(\lambda ),C_2^{\prime }=Co{m}_{Tom}(x),C_3^{\prime }=Co{m}_{Tom}(y)$以及$(x,y)=\lambda g$

本文实际证明算法 对 Agrawal等人2018年论文《Non-interactive zero-knowledge proofs for composite statements》第14页Figure 2中的算法进行了纠正。【增加了Verifier端验证$z_{1}g+z_{2}h+C_1=a_1$，若无该验证项，则完全忽略了$C_1$，无法证明knowledge of an opening of $C_1$。】
对于128-bit security，可128 parallel instances 运行如下流程：

• 1）Prover：选择随机数$\alpha ,{\beta }_1,{\beta }_2,{\beta }_3$，计算$({\gamma }_1,{\gamma }_2)=\alpha g,a_1=\alpha g+{\beta }_{1}h,a_2^{\prime }={\gamma }_1{g}^{\prime }+{\beta }_2{h}^{\prime },a_3^{\prime }={\gamma }_2{g}^{\prime }+{\beta }_3{h}^{\prime }$
• 2）Prover：计算$(x_1,y_1)=(\alpha -\lambda )g$，计算$C_4^{\prime }=Co{m}_{Tom}(x_1),C_5^{\prime }=Co{m}_{Tom}(y_1)$。
• 3）Prover：将$a_1,a_2^{\prime },a_3^{\prime },C_4^{\prime },C_5^{\prime }$ 都发送给Verifier。
• 4）Verifier：发送challenge string $c=(c_0,c_1)$，其中$c_0$为a single bit，$c_1$为a challenge for the point addition protocol。
• 5）Prover：
  若$c_0=0$，则Prover计算$z_1=\alpha ,z_2={\beta }_1,z_3={\beta }_2,z_4={\beta }_3$，将$(z_1,z_2,z_3,z_4)$发送给Verifier；
  若$c_0=1$，则Prover计算$z_1=\alpha -\lambda ,z_2={\beta }_1-r$。然后Prover使用上一节的Proof of point addition来证明knowledge of opening of $a_2^{\prime },a_3^{\prime },C_2^{\prime },C_3^{\prime },C_4^{\prime },C_5^{\prime }$ to ${\gamma }_1,{\gamma }_2,x,y,u,v$，其中$(u,v)=({\gamma }_1,{\gamma }_2)-(x,y)$，生成的point addition proof以$\pi$表示。Prover会将$(\pi ,z_1,z_2,x_1,y_1)$发送给Verifier。
• 6）Verifier：
  若$c_0=0$，则Verifier仅需简单地验证the commitments $a_1,a_2^{\prime },a_3^{\prime }$ are opened correctly by $(\alpha ,{\beta }_1,{\beta }_2,{\beta }_3)$ ；
  若$c_0=1$，则Verifier使用challenge $c_1$来验证$\pi$，并验证$z_{1}g+z_{2}h+C_1=a_1$，同时验证commitments $C_4^{\prime },C_5^{\prime }$ correctly opened by $x_1,y_1$，且$(x_1,y_1)=z_{1}g$。

4. Proof of Knowledge of ECDSA Signature

知道proof of scalar multiplication，并无法立刻用于verification of signatures under committed public keys。

关于ECDSA签名细节可参看：

• ECDSA VS Schnorr signature VS BLS signature

对消息$m$的签名$(r,s)$的验签过程中，需要：

• 计算$(R_x,R_y)=R=u_{1}g+u_{2}q$，其中$q$为签名公钥，$u_1=t{s}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}n,u_2=r{s}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}n$，其中$t=H(m)$；
• 然后验证$R_x=r\mathrm{m}\mathrm{o}\mathrm{d}n$是否成立。

一种替代方案是将$(R,z=s/r)$ 作为签名，转为验证方程式$zR-t{r}^{-1}g=q$（相当于在之前的等式两侧都乘以$z$）是否成立。该方程式对ZKP更友好。$R=kg$与公钥$q$无关，其中$k$为随机数。$t=H(m)$为a function of the message alone。
由于这种替代方案中，$R$与公钥$q$无关，且验签方程式与之前的ECDSA相当，因此二者安全性相当。

令$Q=Com(q)$ 为the committed public key。

• Prover计算$R$ 和 $C_z=Co{m}_{Tom}(z)$（a commitment to the scalar $z$）。
• Prover使用scalar multiplication proof来证明the correctness of a commitment to $zR$。
• 然后Prover使用point addition proof来证明the committed $Q$满足$zR-t{r}^{-1}g=q=(q_x,q_y)$。其中$t{r}^{-1}g$为public value，Prover仅需简单地display the opening of its commitments to $t{r}^{-1}g=(s_x,s_y)$ to verify its correctness。【已知$R$，即已知$r=R_x\mathrm{m}\mathrm{o}\mathrm{d}n$。】
  具体为：
  令$zR=(z{R}_x,z{R}_y)$。
  令$C_{qx}=Co{m}_{Tom}(q_x),C_{qy}=Co{m}_{Tom}(q_y)$，$C_z=zR+rh$，$r$为随机数，实现blinding。为了防止Prover作弊选取$R=kh$，需调整为$h$基于$R$来hash到NIST上的点（hash to curve的标准算法可参考Faz-Hern´andez等人2021年论文《Hashing to Elliptic Curves》）。
  然后Prover生成辅助commitment $C_{sx}=Co{m}_{Tom}(s_x),C_{sy}=Co{m}_{Tom}(s_y)$以及 $C_2=Co{m}_{Tom}(z{R}_x),C_3=Co{m}_{Tom}(z{R}_y)$。
  然后Prover借助point addition proof来证明$C_{sx},C_{sy},C_{qx},C_{qy},C_2,C_3,C_z$的openings满足$zR-t{r}^{-1}g=q$。

5. Proof of Knowledge of Schnorr Signature

本文的以上算法也可用于处理一些Schnorr签名的变种，但是无法处理EdDSA。【因为EdDSA中将signer的公钥嵌入在hash函数中了，因此很难在验签的同时，保证签名者的隐私。也许借助Groth16等zkSNARK方案可实现。】
关于EdDSA，可参看博客：

• 区块链中的Ed25519

关于Schnorr签名可参看：

• ECDSA VS Schnorr signature VS BLS signature

已知消息$m$和公钥$q=xg$，其Schnorr签名为$(R,s)$。其中$R=kg,e=H(R,m),s=k-xe$。
Schnorr的验签过程为，验证等式$sg+eq=R$是否成立。可将其表示为$q=e^{-1}R-e^{-1}sg$。
Prover发送$R$ 和 a commitment to $e^{-1}s$，然后通过scalar multiplication proof 来证明the committed public key is the sum of $e^{-1}R$（public info）and $e^{-1}sg$。

6. Proof of Membership

详细参考 One-Out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin 中第6节“membership proof —— 基于 $\sum$-protocol” 和 第4节"$\sum$-protocol for one out of $N$ commitments containing 0"。

针对的场景为：

• public info：commitment $c$，以及set of values ${\lambda }_0,\cdots ,{\lambda }_{N-1}$
• private info：${\lambda }_l\in \{{\lambda }_0,\cdots ,{\lambda }_{N-1}\}$和${\gamma }_l$
• relation：$c=Co{m}_{ck}({\lambda }_l;{\gamma }_l)$且${\lambda }_l\in \{{\lambda }_0,\cdots ,{\lambda }_{N-1}\}$

核心思想为：
借助上面的$1$-out-of-$N$ $\sum$-protocol，构建$c_0=c\cdot Co{m}_{ck}(-{\lambda }_0;0),\cdots ,c_{N-1}=c\cdot Co{m}_{ck}(-{\lambda }_{N-1};0)$，转为证明存在$c_l$的opening为0。

参考资料

[1] ZKAttest: Ring and Group Signatures for existing ECDSA keys