1. 引言

Qiang Wang等人2019年發表於Oxford University Press on behalf of the Institute of Mathematics and its Applications 的論文《A (Zero-Knowledge) Vector Commitment with Sum Binding and its Applications》中，主要內容爲：

在Vector commitment的基礎上，提出了增加了sum binding屬性的VCS。
現有的vector commitment在提供position-binding屬性的同時，無法提供隱私保護——即client可能可以通過proofs和commiments獲取額外的committed sequence信息。本文提出了zero-knowledge VCS (ZKVCS)—— in which commitments and proofs constructed during the protocol execution leak nothing about the committed sequence。
使用(ZK)VCS構建了一個支持 sum 求和運算的(zero-knowledge) verifiable database。

Commitment爲密碼學中的獨立primitive，在zero-knowledge proof，secure computation，e-voting和verifiable secret sharing中均有重要作用。

Commitment具有hiding和binding屬性，通常包含2個階段：

Committing階段；
Opening階段。

Commitment中通常有2個角色：

committer：計算commitment $C$ ；
client：接收commitment $C$ 和opening信息。

1.1 commitment發展史

1988年，Brassard等人在論文《Minimum disclosure proofs of knowledge》中首次提出了commitment的概念。
2004年Gennaro在論文《Multi-trapdoor commitments and their applications to proofs of knowledge secure under concurrent man-in-the-middle attacks》中，2004年MacKenzie等人在論文《On simulation-sound trapdoor commitments》中，2011年Xiaofeng Chen等人在論文《New receipt-free voting scheme using double-trapdoor commitment》中均提到了trapdoor commitment。在trapdoor commitment中，binding屬性更靈活，知道trapdoor信息的一方可open the commitment in any possible way，而對於不知道trapdoor信息的一方，仍然具有binding屬性。
2005年Chase等人在論文《Mercurial commitments with applications to zero-knowledge sets》中，2008年Catalano等人在論文《Zero-knowledge sets with short proofs》中，2010年Benoît Libert和Moti Yung 在論文《Concise Mercurial Vector Commitments and Independent Zero-Knowledge Sets with Short Proofs》中均提到了mercurial commitment。mercurial commitment與trapdoor類似，但是mercurial commitment支持2中open算法：hard open和soft open。在committing階段，committer可選擇是創建hard commitment還是soft commitment。hard commitment支持hard open和soft open，但是open的值只能是當初commit to的值。而soft commitment僅僅支持soft open，soft commitment可open爲任意值。mercurial commitment要求沒有任何adversary可以區分hard commitment還是soft commitment。（具體可參見博客 Concise Mercurial Vector Commitments and Independent Zero-Knowledge Sets with Short Proofs 學習筆記）
2013年， Dario Catalano 和 Dario Fiore 在論文《Vector Commitments and their Applications》中首次提出了vector commitment (VC) 的概念，允許對an ordered sequence of $q$ values $(m_1,\cdots,m_1)$ 進行commit，同時額外滿足position binding屬性——即對同一個位置，無法open出2個不同的值。（詳情參見博客 Vector Commitments and their Applications學習筆記）
VC的position binding屬性可用於check the integrity of outsourced data with fix size。即VC對應的是固定長度的vector。而對於unbounded data呢？
2016年，Krupp等人在論文《 Nearly optimal verifiable data streaming》中，將VC擴展爲chameleon VC (CVC)，額外增加了chameleon屬性——即擁有trapdoor信息的一方可在不改變commitment值的前提下替換各個位置的message值，即可open爲任意值。CVC可用於支持unbounded data in verifiable data streaming setting。

但是，以上方法存在以下缺陷：

Expressiveness：現有的VC scheme僅支持open 位置信息，但是無法滿足現實世界的使用需求。如，當已知每個月降雨量的commitment值，現有VC scheme無法支持open全年的降雨量值。因此，除了open位置信息外，也應支持open更多形式的信息。
Privacy：現有VC scheme的position binding屬性僅能保證committer無法對同一位置open出2個不同的值，但是並沒有提供隱私保護，a malicious client may learn extra information about the sequence from the proofs and the commitments。

本文提出的VCS (VC with sum binding)，額外支持：

open the sum of all elements in committed sequence。

本文提出的ZKVCS (zero-knowledge VCS)，無論是open to sum 還是open at position，client都無法獲取any information about the committed sequence。hiding property僅能保證malicious client cannot learn any information from the commitments，而ZKVCS可保證malicious client cannot learn any information about the committed squences from the proofs and commitments。

本文的VCS或ZKVCS用於verifiable database時，仍然存在 forward automatic update attack問題，可藉助Chen, X.等人2015年論文《New publicly verifiable databases with efficient updates》中的方法進行改進。

1.2 一些定義

Bilinear pairing:
多項式分解Polynomial decomposition：
根據Boneh等人2001年論文《Identity-based encryption from the weil pairing》
即polynomial commitment的根本是：
對於有 $n$ 個變量（ $\vec{x}=(x_1,\cdots,x_n)$ ）的多項式 $f(\vec{x})\in\mathbb{Z}_p[\vec{x}]$ ，對任意取值 $\vec{a}\in\mathbb{Z}_p^n$ ，存在有效的算法，可找到 $n$ 個多項式 $Q_i(\vec{x})$ ，使得 $f(\vec{x})-f(\vec{a})=\sum_{i=1}^{n}(x_i-a_i)\cdot Q_i(\vec{x})$ 成立。
相關符號定義：

1.3 安全假設

Bilinear inverse assumption:
Bilinear $q$ -strong Diffie-Hellman assumption:

1.4 屬性及性能對比

2. VCS基本定義

詳情參見博客 Vector Commitments and their Applications學習筆記。
VC由以下6個算法組成：

VC.KeyGen
VC.Com
VC.Open
VC.Ver
VC.Update
VC.ProofUpdate

VCS爲了支持sum binding 屬性，在VC的基礎上，額外增加了2個算法：

VC.OpenSum
VC.VerSum

2.1 VCS算法定義

VCS由8個算法（VC.KeyGen,VC.Com,VC.Open,VC.Ver,VC.Update,VC.ProofUpdate,VC.OpenSum,VC.VerSum）組成，各算法定義如下：

$pp\leftarrow VC.KeyGen(1^k,q)$ ：key generation算法，輸入爲security parameter $k$ 和 $committed vector$ 的size $q$ （ $q=poly(k)$ ）。輸出爲public parameters $pp$ （which implicitly define the message space $M$ ）。
$(C,aux)\leftarrow VC.Com_{pp}(m_1,\cdots,m_q)$ ：committing算法，由committer運行。輸入爲a sequence of $q$ messages $m_1,\cdots,m_q\in M$ 和public parameters $pp$ ，輸出爲commitment值 $C$ 和auxiliary information $aux$ 。（ $aux$ 爲committer的私有信息。）
$\Lambda_i\leftarrow VC.Open_{pp}(m_i,i,aux)$ ：opening算法，由committer運行。輸入爲public parameters $pp$ 、位置 $i$ 、消息 $m_i$ 以及輔助信息 $aux$ ，輸出爲proof $\Lambda_i$ （用於證明 $m_i$ is the $i$ -th committed message）。
$\{0,1\}\leftarrow VC.Ver_{pp}(C,m,i,\Lambda_i)$ ：verification算法，由任意client運行。輸入爲public parameters $pp$ 、commitment值 $C$ 、位置 $i$ 、opened消息 $m$ 以及proof $\Lambda_i$ 。若 $\Lambda_i$ 爲a valid proof that $C$ is a commitment to the sequence $(m_1,\cdots,m_q)$ such that $m=m_i$ ，則輸出爲 $1$ ，否則輸出爲 $0$ 。
$(C',U)\leftarrow VC.Update_{pp}(C,m,m',i)$ ：update算法，由生成 $C$ 的原始committer運行，用於update $C$ by changing the $i$ -th message $m$ to $m'$ 。輸入爲public parameters $pp$ 、commitment值 $C$ 、位置 $i$ 、老的消息 $m$ 、新消息 $m'$ ，輸出爲新的commitment $C'$ 和update information $U$ 。
$(C', \Lambda_j')\leftarrow VC.ProofUpdate_{pp}(C,\Lambda_j,m',U)$ ：proof update 算法，由任何擁有proof $\Lambda_j$ (for some message at position $j$ ) client運行。輸入爲public parameters $pp$ 、老的commitment值 $C$ 、proof $\Lambda_j$ (for some message at position $j$ )、新的消息 $m'$ (at position $i$ )和update information $U$ 。輸出爲新的commitment $C'$ 和新的updated proof $\Lambda_j$ for $m_j$ ，均對應新的sequence $(m_1,\cdots,m_{i-1},m',m_{i+1},\cdots,m_q)$ 。
$\Lambda_{sum}\leftarrow VC.OpenSum_{pp}(sum,aux)$ ：sum opening算法，由committer運行。輸入爲public parameters $pp$ 、sum（ $(m_1,\cdots,m_q)$ 所有值之和）以及輔助信息 $aux$ 。輸出爲proof $\Lambda_{sum}$ （用於證明 $sum=\sum_{i=1}^{q}m_i$ ）。
$\{0,1\}\leftarrow VC.VerSum_{pp}(C,sum,\Lambda_{sum})$ ：sum verification算法，可由任意client運行。輸入爲public parameters $pp$ 、commitment值 $C$ 、opened和值 $sum$ 以及proof $\Lambda_{sum}$ 。當 $\Lambda_{sum}$ is a valid proof that $C$ is a commitment to the sequence $(m_1,\cdots,m_q)$ such that $sum=\sum_{i=1}^{q}m_i$ 時，輸出爲 $1$ ，否則輸出爲 $0$ 。

2.2 VCS correctness定義

即只要算法是honestly executed的，a valid proof should never be rejected。
以下定義爲：對vector中的每個位置都依次進行了替換，保證最終的Open和OpenSum均可驗證通過。

2.3 VCS position binding 定義

即不允許對同一位置open出2個不同的值。
以下定義爲：

$\mathcal{A}_0$ 生成任意長度爲 $q=poly(k)$ 的vector。
進行 $l+1$ 次：對vector中的任意位置 $j$ （ $\mathcal{A}_1$ ）進行update，對任意位置 $i$ （ $\mathcal{A}_2$ ）進行Open；
根據所獲取的 $l+1$ 組 $(U_a,C_a,\Lambda_a)$ 信息， $\mathcal{A}_3$ 選取任意的位置 $i^*$ 。
根據 $i^*$ 和 $l+1$ 組 $(U_a,C_a,\Lambda_a)$ 信息， $\mathcal{A}_4$ 生成相應的 $(m_{i^*}',\Lambda_{i^*}')$ ，使得當 $m_{i^*}'\neq m_{i^*}$ 時對 $\Lambda_{i^*}')$ 可Ver通過的概率可忽略，即不大於 $negl(k)$ 。

注意以上新的輔助信息 $aux_a$ 可由updated information $U_a$ 和老的輔助信息 $aux_{a-1}$ 生成。

2.4 VCS sum binding 定義

即不允許open a commitment to two different sums with respect to the committed sequence。
以下定義爲：

$\mathcal{A}_0$ 生成任意長度爲 $q=poly(k)$ 的vector。
進行 $l+1$ 次：對vector中的任意位置 $j$ （ $\mathcal{A}_1$ ）進行update，對該vector進行OpenSum；
根據所獲取的 $l+1$ 組 $(U_a,C_a,\Lambda_{sum_a})$ 信息， $\mathcal{A}_2$ 選取其中任意一組vector，生成相應的 $(sum_{l}',\Lambda_{sum_l}')$ ，使得當 $sum_{l}'\neq sum_l$ 時對 $\Lambda_{sum_l}')$ 可VerSum通過的概率可忽略，即不大於 $negl(k)$ 。

2.5 concise定義

即 $\Lambda_i$ 和 $\Lambda_{sum}$ 與vector的長度 $q$ 無關。

3. VCS的具體實現

3.1 基於Bilinear pairing的VCS具體實現

$pp\leftarrow VC.KeyGen(1^k,q)$ ：key generation算法， $committed vector$ 的size最大爲 $q$ ，security parameter 爲 $k$ 。選擇具有相同order $p\in poly(k)$ 的two groups $\mathcal{G}_1$ 和 $\mathcal{G}_2$ 滿足bilinear map $e:\mathcal{G}_1\times \mathcal{G}_1\rightarrow \mathcal{G}_2$ 。設置 $\mathcal{G}_1$ 的generator爲 $g$ 。選擇2個隨機數 $\alpha,\beta \leftarrow \mathbb{Z}_p$ ，計算public parameter爲：
$pp=\{g, \{g^{\alpha^i}\}_{i\in [q]} , \{g^{\beta^i}\}_{i\in [q]}, \{g^{\alpha^i\beta^j}\}_{i\in [2q-1]\setminus \{q\},j\in [q]} \}$ 【長度爲 $2q^2+1$ 即爲 $\Theta(q^2)$ 】
message space爲 $M=\mathbb{Z}_p$ 。
$(C,aux)\leftarrow VC.Com_{pp}(m_1,\cdots,m_q)$ ：committing算法，由committer運行。輸入爲a sequence of $q$ messages $m_1,\cdots,m_q\in M$ 和public parameters $pp$ ，計算commitment $C=\prod_{i=1}^{q}(g^{\alpha^i})^{m_i}=\prod_{i=1}^{q}g^{m_i\alpha^i}$ ，輔助信息 $aux=(m_1,\cdots,m_q)$ 。
（ $aux$ 爲committer的私有信息。）
$\Lambda_i\leftarrow VC.Open_{pp}(m_i,i,aux)$ ：opening算法，由committer運行。
基本思路爲通過構建2個多項式 $\mathcal{R}(x)$ 和 $\mathcal{Q}(x,y)$ ：
$\mathcal{R}(x)=\sum_{j=1}^{q}m_j\cdot x^j$
$\mathcal{R}(x)\cdot x^{q-i}y^i=m_i\cdot x^q\cdot y^i+\mathcal{Q}(x,y)$ 公式（1）
對應的有：
$\mathcal{Q}(x,y)=(\sum_{j=1,j\neq i}^{q}m_jx^j)\cdot x^{q-i}y^i=\sum_{j=1,j\neq i}^{q}(m_j\cdot x^{q-i+j}y^i)$
爲證明 $m_i$ is the $i$ -th committed message，committer可根據public parameters $p$ 計算對應的proof爲 $\Lambda_i=g^{\mathcal{Q}(\alpha,\beta)}$ 。
$\{0,1\}\leftarrow VC.Ver_{pp}(C,m_i,i,\Lambda_i)$ ：verification算法，由任意client運行。輸入爲public parameters $pp$ 、commitment值 $C$ 、位置 $i$ 、opened消息 $m_i$ 以及proof $\Lambda_i$ 。
直接根據公式（1）驗證：
$e(C,g^{\alpha^{q-i}\beta^i})=e(g^{m_i\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_i,g)$ 公式（2）
若公式（2）成立，則輸出 $1$ ，否則輸出 $0$ 。
$(C',U)\leftarrow VC.Update_{pp}(C,m,m',i)$ ：update算法，由生成 $C$ 的原始committer運行，用於update $C$ by changing the $i$ -th message $m$ to $m'$ 。
輸出的updated commitment $C'=C\cdot (g^{\alpha^i})^{m'-m}$ ，updated information $U=(m,m',i)$ 。
$(C', \Lambda_j')\leftarrow VC.ProofUpdate_{pp}(C,\Lambda_j,m',U)$ ：proof update 算法，由任何擁有proof $\Lambda_j$ (for some message at position $j$ ) client運行。輸入爲public parameters $pp$ 、老的commitment值 $C$ 、proof $\Lambda_j$ (for some message at position $j$ )、新的消息 $m'$ (at position $i$ )和update information $U$ 。輸出爲新的commitment $C'$ 和新的updated proof $\Lambda_j$ for $m_j$ ，均對應新的sequence $(m_1,\cdots,m_{i-1},m',m_{i+1},\cdots,m_q)$ 。根據 $i$ 與 $j$ 的關係分爲如下2中情況：
1）當 $j\neq i$ 時，updated commitment $C'=C\cdot (g^{\alpha^i})^{m'-m}$ ，updated proof爲 $\Lambda_j'=\Lambda_j\cdot g^{(m'-m)\cdot \alpha^{q-j+i}\beta^j}$ 。
2）當 $j=i$ 時，updated commitment $C'=C\cdot (g^{\alpha^i})^{m'-m}$ ，updated proof仍然爲 $\Lambda_j$ 保持不變。
$\Lambda_{sum}\leftarrow VC.OpenSum_{pp}(sum,aux)$ ：sum opening算法，由committer運行。輸入爲public parameters $pp$ 、sum（ $(m_1,\cdots,m_q)$ 所有值之和）以及輔助信息 $aux$ 。輸出爲proof $\Lambda_{sum}$ （用於證明 $sum=\sum_{i=1}^{q}m_i$ ）。
基本思路爲：
構建多項式 $\mathcal{R}(x)=\sum_{j=1}^{q}m_jx^j$ ，當取 $x=1$ 時，有 $\mathcal{R}(1)=\sum_{j=1}^{q}m_j=sum$ 。同時，利用polynomial decomposition有：
$\mathcal{R}(x)-\mathcal{R}(1)=(x-1)\cdot \mathcal{Q}(x)$
計算OpenSum proof 爲 $\Lambda_{sum}=g^{\mathcal{Q}(\alpha)}$ 。
$\{0,1\}\leftarrow VC.VerSum_{pp}(C,sum,\Lambda_{sum})$ ：sum verification算法，可由任意client運行。輸入爲public parameters $pp$ 、commitment值 $C$ 、opened和值 $sum$ 以及proof $\Lambda_{sum}$ 。
驗證：
$e(C/g^{sum},g)=e(\Lambda_{sum},g^{\alpha-1})=e(\Lambda_{sum},g^{\alpha}/g)$
是否成立，若成立，則輸出 $1$ ，否則輸出 $0$ 。

3.2 基於Bilinear pairing VCS的security analysis

分別呼應第2節中的correctness定義、position binding定義、sum binding定義和concise定義有correctness security、position binding security、sum binding security和concise security。

correctness security：
由3.1節內容很容易驗證correctness。
position binding security：
採用歸謬法來證明。
假設adversary $\mathcal{A}$ 可構建算法 $\mathcal{B}$ ，使得2.3節中的position binding的概率不可忽略，從而使position binding security不成立。
即存在 $m_{i^*}'\neq m_{i^*}$ ，使得 $VC.Ver_{pp}(C_l, m_{i^*}',i^*,\Lambda_{i^*}')=1$ 成立。
也就是說以下兩個等式同時成立：
$e(C,g^{\alpha^{q-i^*}\beta^{i^*}})=e(g^{m_{i^*}'\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_{i^*}',g)$
$e(C,g^{\alpha^{q-i^*}\beta^{i^*}})=e(g^{m_{i^*}\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_{i^*},g)$
兩個公式結合有：
$e(g^{m_{i^*}'\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_{i^*}',g)= e(g^{m_{i^*}\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_{i^*},g)$
對應有：【假設 $c= m_{i^*}'- m_{i^*}$ 】
$e(\Lambda_{i^*}',g)= e(g^{m_{i^*}\cdot \beta^i}, g^{\alpha^q})\cdot e(\Lambda_{i^*},g)/ e(g^{m_{i^*}'\cdot \beta^i}, g^{\alpha^q})= e(g^{(m_{i^*}- m_{i^*}')\cdot \alpha^q\beta^i}, g)\cdot e(\Lambda_{i^*},g)= e(g^{(m_{i^*}- m_{i^*}')\cdot \alpha^q\beta^i}\cdot \Lambda_{i^*}, g)= e(g^{c\cdot \alpha^q\beta^i}\cdot \Lambda_{i^*}, g)$
也就是說，已知 $g$ 和 $e(\Lambda_{i^*}',g)$ 值，adversary $\mathcal{A}$ 可找到相應的 $\Lambda_{i^*}'$ 值。而這與bilinear inverse assumption衝突。
所以在bilinear inverse assumption條件下，position binding security可保證。
sum binding security
仍然採用歸謬法來證明。
假設adversary $\mathcal{A}$ 可構建算法 $\mathcal{B}$ ，使得2.4節中的sum binding的概率不可忽略，從而使sum binding security不成立。
即存在 $sum_{l}'\neq sum_l$ ，使得 $VC.VerSum_{pp}(C_l,sum_l',\Lambda_{sum_l}')=1$ 成立。
也就是說以下兩個等式同時成立：
$e(C_l/g^{sum_l'},g)=e(\Lambda_{sum_l}',g^{\alpha-1})$
$e(C_l/g^{sum_l},g)=e(\Lambda_{sum_l},g^{\alpha-1})$
兩個公式結合有：【 $\because (\Lambda_{sum_l}=g^{\mathcal{Q}_l(\alpha)}，(\Lambda_{sum_l}'=g^{\mathcal{Q}_l'(\alpha)}$ 】
$e(g^{\mathcal{Q}_l'(\alpha)},g^{\alpha-1})\cdot e(g^{sum_l'},g)= e(g^{\mathcal{Q}_l(\alpha)},g^{\alpha-1})\cdot e(g^{sum_l},g)$
對應有：
$e(g,g)^{sum_l'-sum_l}=e(g,g)^{(\mathcal{Q}_l(\alpha)-\mathcal{Q}_l'(\alpha))\cdot (\alpha-1)}$
由於 $sum_l'\neq sum_l$ ，於是有：
$e(g,g)^{1/{\alpha-1}}=e(g,g)^{\frac{\mathcal{Q}_l(\alpha)-\mathcal{Q}_l'(\alpha)}{sum_l'-sum_l}}$
也就是說，已知 $g,g^{\alpha},\cdots,g^{\alpha^q}\in \mathcal{G}_1$ ，adversary $\mathcal{A}$ 可找到 $c=-1$ 並計算出 $e(g,g)^{1/(\alpha+c)}$ 的值。而這與bilinear $q$ -strong Diffie-Hellman assumption衝突。
所以在bilinear $q$ -strong Diffie-Hellman assumption條件下，sum binding security可保證。
concise security
觀察3.1節的具體實現VC.Com的輸出 $C$ 、VC.Open的輸出 $\Lambda_i$ 和VC.OpenSum的輸出 $\Lambda_{sum}$ 均爲one single element in $\mathcal{G}_1$ 。
所以滿足concise定義。

4. ZKVCS

ZKVCS，即zero-knowledge vector commitments with sum binding。
ZKVCS在VCS的基礎上，額外增加了zero-knowledge屬性。
VCS的position binding和sum binding僅可保證針對同一commitment，不能對同一position open出2個不同的值，不能對同一vector open出2個sum值。並沒有考慮到隱私的問題，即 What does the client may learn about the committed sequence from the commitments and proofs。
ZKVCS可保證a malicious client gets no information about the committed sequence beyond what is opened during the protocol execution。

受限於文章篇幅，主要針對ZKVCS的zero-knowledge屬性，通過real/ideal experiment來定義。

4.1 ZKVCS的zero knowledge定義

直覺上來說，a ZKVCS scheme achieves zero-knowledge if there exists a simulator with no knowledge of the sequence or the updates that occur such that arbitrary adversarial client cannot distinguish whether he is interacting with the algorithms of the scheme or with the simulator。
zero-knowledge主要體現在open階段，分別對應Open和OpenSum算法，對應有zero-knowledge opening和zero-knowledge sum opening。

4.1.1 Zero-knowledge opening定義

存在的參與方有：challenger $\mathcal{C}$ ，adversary $\mathcal{A}$ 和simulator $\mathcal{S}$ 。

Zero-knowledge opening定義是指：adversary $\mathcal{A}$ 無法區分其是在跟challenger $\mathcal{C}$ 進行Open交互還是在跟simulator $\mathcal{S}$ 進行Open交互。其中simulator $\mathcal{S}$ 並不知道adversary $\mathcal{A}$ 所選擇的vector信息。

Real流程爲：

challenger $\mathcal{C}$ 生成public parameter $pp$ ，並將 $pp$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 選擇任意的vector $M_0=(m_1,\cdots,m_q)$ ，並將 $M_0$ 發送給challenger $\mathcal{C}$ 。
challenger $\mathcal{C}$ 運行 $(C_0,aux_0)\leftarrow VC.Com_{pp}(M_0)$ ，並將commitment $C_0$ 發送給adversary $\mathcal{A}$ 。
運行 $l+1$ 次（ $a=0;a++;a<=l$ ）（其中 $l=poly(k)$ ）： adversary $\mathcal{A}$ 選擇任意的 $(i,j,m_j'),i\in[q],j\in[q]$ 發送給 challenger $\mathcal{C}$ ，其中 $i$ 代表要open的位置， $j$ 表示要update的位置；challenger $\mathcal{C}$ Open 位置 $i$ proof $\Lambda_a$ 發送給adversary $\mathcal{A}$ ，update位置 $j$ 爲 $m_j'$ 將相應的 $C_{a+1}$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 驗證 $\Lambda_a$ 是否正確，輸出bit $b$ 。

Ideal流程爲：

simulator $\mathcal{S}$ 生成public parameter $pp$ ，並將 $pp$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 選擇任意的vector $M_0=(m_1,\cdots,m_q)$ 。【注意此時 $M_0$ 不發送給simulator $\mathcal{S}$ 】
simulator $\mathcal{S}$ (without seeing $M_0$ ) 運行 $C_0\leftarrow \mathcal{S}_1(pp)$ ，並將 $C_0$ 發送給adversary $\mathcal{A}$ 。
運行 $l+1$ 次（ $a=0;a++;a<=l$ ）（其中 $l=poly(k)$ ）： adversary $\mathcal{A}$ 選擇任意的 $(i,j,m_j'),i\in[q],j\in[q]$ 發送給 simulator $\mathcal{S}$ ，其中 $i$ 代表要open的位置， $j$ 表示要update的位置；simulator $\mathcal{S}$ Open 位置 $i$ proof $\Lambda_a$ 發送給adversary $\mathcal{A}$ ，update位置 $j$ 爲 $m_j'$ 將相應的 $C_{a+1}$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 驗證 $\Lambda_a$ 是否正確，輸出bit $b$ 。

4.1.2 Zero-knowledge sum opening定義

存在的參與方有：challenger $\mathcal{C}$ ，adversary $\mathcal{A}$ 和simulator $\mathcal{S}$ 。

Zero-knowledge sum opening定義是指：adversary $\mathcal{A}$ 無法區分其是在跟challenger $\mathcal{C}$ 進行OpenSum交互還是在跟simulator $\mathcal{S}$ 進行OpenSum交互。其中simulator $\mathcal{S}$ 並不知道adversary $\mathcal{A}$ 所選擇的vector信息。

Real流程爲：

challenger $\mathcal{C}$ 生成public parameter $pp$ ，並將 $pp$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 選擇任意的vector $M_0=(m_1,\cdots,m_q)$ ，並將 $M_0$ 發送給challenger $\mathcal{C}$ 。
challenger $\mathcal{C}$ 運行 $(C_0,aux_0)\leftarrow VC.Com_{pp}(M_0)$ ，並將commitment $C_0$ 發送給adversary $\mathcal{A}$ 。
運行 $l+1$ 次（ $a=0;a++;a<=l$ ）（其中 $l=poly(k)$ ）： adversary $\mathcal{A}$ 選擇任意的 $(i,j,m_j'),i\in[q],j\in[q]$ 發送給 challenger $\mathcal{C}$ ，其中 $i$ 代表要open的位置， $j$ 表示要update的位置；challenger $\mathcal{C}$ OpenSum 位置 $i$ proof $\Lambda_{sum_a}$ 發送給adversary $\mathcal{A}$ ，update位置 $j$ 爲 $m_j'$ 將相應的 $C_{a+1}$ 發送給adversary $\mathcal{A}$ 。
adversary $\mathcal{A}$ 驗證 $\Lambda_{sum_a}$ 是否正確，輸出bit $b$ 。