Progression-Free Sets and Sublinear Pairing-Based Non-Interactive Zero-Knowledge Arguments

1. 背景知識

在Groth 2010年論文《Short Pairing-based Non-interactive Zero-Knowledge Arguments》論文的基礎上，Lipmaa 2012年論文《Progression-Free Sets and Sublinear Pairing-Based Non-Interactive Zero-Knowledge Arguments 》中指出：
NIZK proofs無法在無random oracles（如Fiat-Shamir heuristics）或trusted setup（如common reference string）的情況下構建成功。如[BFM88]論文中展示瞭如何通過common reference string (CRS) model來構建NIZK proofs。

在減少communication complexity和verifier’s computational complexity這兩方面，有大量的文獻做了研究。

相比於Groth 2010論文，Lipmaa取得了如下進展：

主要特點爲：

• 採用了非對稱pairing（運算效率更高），而不是對稱pairing；

• 採用了更弱的安全假設——
  Power Symmetric Discrete Logarithm，而不是
  Power Computational Diffifie-Hellman。本論文主要基於兩個assumption: computational assumption($\hat{\Lambda-PSDL}$)和knowledge assumption($\Lambda-PKE$)，而Groth10中採用的是$[an^2]-PKE$和$[an^2]-CPDH$假設。
  
  

Lipmaa 2012的改進流程如下：
1）將$\vec{a},\vec{b},\vec{c}$的commit key縮小統一均爲$g_{\lambda_1}, ..., g_{\lambda_n}$：

從而使構建的$F(x)$多項式的最高階不大於$2\lambda_n$，CRS大小$|\hat{\Lambda}|<2\lambda_n$ group elements【for $i\in [n], g^{2\lambda_i}不應在CRS中$】，而不再是Groth10的$\Theta (n^2)$。通過構建 a progression-free subset of odd integers of cardinality $n$，對應地CRS僅需有$\Theta (\lambda_n)=n^{1+o(1)}$個 generators $\{g^{x^l}: l\in \hat{\Lambda}\}$

2. Progression-Free Sets

Progression-Free Sets定義爲：

3. Knowledge commitment scheme

4. Hadamard product argument

5. Permutation Argument

6. Circuit Satisfiability Constant Size NIZK Argument