从Pedersen承诺的范围证明中移除配对、Bulletproofs或ZKP - 密码学

TL;DR

简化范围证明。EVM 上基于 Pedersen Commitment 的隐私币的范围证明仅需 6 次 ECMUL 和 3 次 ECADD（37K gas）即可验证。首次设置和承诺需要 zkSNARKs，但之后成本会最小化。在客户端生成每笔交易时，也不需要 ZKP 计算。

包含安全证明的完整论文：https://eprint.iacr.org/2025/1811.pdf

步骤：

$G, H, B$ 是曲线上独立的点。

每个证明者（代币发送者）的一次性设置

1. 采样 $a \leftarrow Z_q$ 并设置公共锚点 $U = aB$。
2. 创建一个包含曲线上点的 Merkle Tree。对于每个 $X \in {1, \dots, 2^n}$，定义叶子载荷 $aXG$。
3. 通过链上 NIZK，证明由 $aXG$ 组成的树的 Merkle root。（预范围证明）

\ 无标题演示文稿 (11)960×540 20.3 KB

证明（发送代币时）

1. 生成 Pedersen Commitment $C = xG + rH$，其中 $x$ 为代币数量，$r$ 为隐藏因子。（$x, r, xG$ 和 $rH$ 不应暴露）
2. 提交 $C$，$C' = aC$，$axG$ 及其 Merkle 证明，以及 ($U, B$) 和 ($C', C$) 的 Chaum-Pedersen DLEQ 证明，$arH$ 和 ($arH, H$) 的 Schnorr 协议证明。

验证（EVM 上 $C$ 是否在 $x$ 的范围内）

1. 使用 Chaum-Pedersen DLEQ 检查 ($U, B$) 和 ($C', C$) 是否具有相同的离散对数。
2. 使用 Schnorr 协议或 ECDSA 检查证明者是否可以从 $H$ 生成 $arH$。
3. 检查设置树中 $axG$ 的 Merkle Proof。
4. 检查 $C' = axG + arH$

为什么需要 Chaum-Pedersen DLEQ 和 $U=aB$

如果我们使用 Schnorr 协议或 ECDSA 检查 ($C', C$) 的关系，恶意证明者可以构造 $C' = yC$ 和 $C = (\text{bigX})G + rH$，其中 $y = ax/(\text{bigX})$。$yrH$ 也将被验证。

如何使树更小

用所有带 nonce 的数量值构建一棵树会有些挑战。通过有限的随机数构建点的树，并用标量数乘以叶子并在链上添加一个点将有很大帮助，因为没有人可以从树中曲线上的点猜测出随机数。

• 原文链接： ethresear.ch/t/removing-...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～