ZKAttest: Ring and Group Signatures for existing ECDSA keys 代码解析

本文深入探讨了ZKAttest项目中的关键零知识证明技术，包括离散对数等式证明、乘法关系证明、点加法证明等，并提供了具体的代码实现细节。

1. 引言

ZKAttest的主要目的是解决 WebAuthn attestion中的隐私问题，使其可成为CAPTCHA: Using Hard AI Problems for Security 的替代方案。

前序博客有：

ZKAttest: Ring and Group Signatures for existing ECDSA keys 学习笔记

代码为：

https://github.com/cloudflare/zkp-ecdsa（TypeScript）

详细的测试用例见test目录。

2. 代码解析

2.1 Equality of discrete logs

可参看：基于Sigma protocol实现的零知识证明protocol集锦第2.1节内容。

针对的场景为：

public info： $C_1=g^xh^{r_1},C_2=g^yh^{r_2},g,h$
witness： $x,y,r_1,r_2$
relation： $x = y$

证明过程为：

Prover：选择随机数 $k,s_1,s_2$ ，构建 $A_1=g^kh^{s_1},A_2=g^kh^{s_2}$ ，将 $A_1,A_2$ 发送给Verifier。
Verifier：发送challenge $c$ 。
Prover：计算 $t_x=k-cx,t_{r1}=s_1-cr_1,t_{r2}=s_2-cr_2$ ，将 $t_x,t_{r1},t_{r2}$ 发送给Verifier。
Verifier：验证 $g^{t_x}h^{t_{s1}}=A_1-C_1^{c}$ 且 $g^{t_{x}}h^{t_{s2}}=A_2-C_2^{x}$ 均成立，则可说明 $x = y$ 。

详细代码实现参见proveEquality和verifyEquality。

2.2 Proof of Multiplication

可参看：基于Sigma protocol实现的零知识证明protocol集锦第2.9节内容。

参见博客 Hyrax: Doubly-efficient zkSNARKs without trusted setup学习笔记
Wahby 等人2018年论文《Hyrax: Doubly-efficient zkSNARKs without trusted setup》中Figure 5。

Witness： $x,y,z,r_x,r_y,r_z\in\mathbb{Z}_p$
Instance： $C_x,C_y,C_z,g,h\in\mathbb{G}$
Relation： $xy=z\wedge C_x=g^xh^{r_x}\wedge C_y=g^yh^{r_y}\wedge C_z=g^{z}h^{r_z}$

具体实现为：【实际代码中的证明过程如下，不如Wahby 等人2018年论文《Hyrax: Doubly-efficient zkSNARKs without trusted setup》中Figure 5的算法。Wahby中的算法更简洁，proof size更小。】

Prover：计算 $C_4=C_y^{x}, r_4=r_yx$ 。生成随机数 $k_x,k_y,k_z\in_R\mathbb{Z}_p$ ,，计算commitment $A_x=g^{k_x}h^{s_{x}},A_y=g^{k_y}h^{s_{y}},A_z=g^{k_z}h^{s_{z}}，A4_1=g^{kz}h^{s_{4}}, A4_2=C_y^{k_x}$ ，将 $C_4,A_x,A_y,A_z,A4_1,A4_2\in\mathbb{G}$ 发送给Verifier。
Verifier：给Prover 发送 random challenge $c\in_R\mathbb{Z}_p$ 。
Prover：计算 $t_x=k_x-cx,t_y=k_y-cy,t_z=k_z-cz,t_{rx}=s_x-cr_x,t_{ry}=s_y-cr_y,t_{rz}=s_z-cr_z,t_{r4}=s_4-cr_4$ ，将 $t_x,t_y,t_z,t_{rx},t_{ry},t_{rz},t_{r4}\in\mathbb{Z}_p$ 发送给Verifier。
Verifier：验证 $g^{t_x}h^{t_{rx}}=A_x-cC_x,g^{t_y}h^{t_{ry}}=A_y-cC_y,g^{t_z}h^{t_{rz}}=A_z-cC_z,g^{t_z}h^{t_{r4}}=A4_1-cC_4,C_y^{t_x}=A4_2-cC_4$ 成立即可。

详细代码实现参见proveMult和verifyMult。

2.3 Proof of Point Addition

实际代码实现中，provePointAdd 必需限制 $P\neq Q$ 以及 $P = - Q$ 这两种场景。

详细算法参见：ZKAttest: Ring and Group Signatures for existing ECDSA keys 学习笔记中第2节。

2.4 Proof of Scalar Multiplication & Proof of ECDSA Signature

详细算法参见：ZKAttest: Ring and Group Signatures for existing ECDSA keys 学习笔记中第3节。

具体实现参见proveExp和verifyExp。实际代码实现结合 Agrawal等人2018年论文《Non-interactive zero-knowledge proofs for composite statements》第14页Figure 2中算法来看更直观，只是在该算法的基础上，Verifier增加了验证 $z_1g+z_2h+C_1=a_1$ ：

			let T1 = paramsNIST.g.mul(resp.z)
            const relA = new Relation(paramsNIST.c)
            relA.insertM(
                [T1, Clambda, pi[i].A.neg(), paramsNIST.h],
                [
                    paramsNIST.c.newScalar(BigInt(1)),
                    paramsNIST.c.newScalar(BigInt(1)),
                    paramsNIST.c.newScalar(BigInt(1)),
                    resp.z2,
                ]
            )
            relA.drain(multiN)

当用于Proof of ECDSA signature，可引申为：【增加了一个可配置参数 $Q$ 】

sigProof = await proveExp(paramsSigExp, params.ProofGroup, s1, comS1, pkPoint, pkX, pkY, params.SecLevel, Q),

2.5 Proof of Membership

详细算法参见：ZKAttest: Ring and Group Signatures for existing ECDSA keys 学习笔记中第6节。

具体代码实现见proveMembership和verifyMembership。

2.6 Proof of Ring Signature

Proof of Ring Signature 可拆分为2部分：

Proof of Scalar Multiplication；
Proof of Membership。

具体代码实现见proveSignatureList和verifySignatureList。