สร้างโครงร่างความมุ่งมั่นบนเส้นโค้งวงรีอย่างสมบูรณ์

ดังนั้น คำถามคือ มีการกำหนดโครงร่างข้อผูกมัดบนเส้นโค้งวงรี

ขั้นตอนการเริ่มต้น:

1. มีเส้นโค้งวงรี EC จุดกำเนิด $G$ เกิน $GF(p)$ซึ่งสร้างกลุ่มและสุ่มจำนวนเฉพาะ $e$.
2. เลือก $x$.
3. คำนวณ $M = x \cdot G$.
4. คำนวณ $M' = e \cdot M$.
5. สารสกัด $xM$, ที่ไหน $xM$ เป็น $x$ พิกัด $M$.
6. คำนวณ $H = xM \cdot G$.

อีซี, $G$, $e$ เป็นพารามิเตอร์สาธารณะ $x$ เป็นพารามิเตอร์ส่วนตัว

ความมุ่งมั่นกำหนดไว้ดังนี้: $C = x \cdot G + r \cdot H$.

เท่าที่ฉันศึกษาแผนความมุ่งมั่นนี้ ฉันเห็นว่าแผนนี้ไม่ได้ผูกมัดอย่างสมบูรณ์ เพราะ H ขึ้นอยู่กับค่าของ G

สามารถคำนวณได้ $C = x \cdot G + r \cdot H$ และ $C = x' \cdot G + r' \cdot H'$. ดังนั้นจึงสามารถคำนวณได้ $r' = (x + r \cdot xM - x') / x'M$.

อย่างไรก็ตาม ทางออกเดียวที่เป็นไปได้ในการทำให้คำมั่นสัญญานี้มีผลผูกพันอย่างสมบูรณ์คือการทำคำมั่นสัญญา Pedersen โดยลบขั้นตอนที่ 4-6 แล้วเลือก $H$ เป็นอีกจุดกำเนิด

มีวิธีอื่นใดที่จะทำให้คำมั่นนี้มีผลผูกพันอย่างสมบูรณ์หรือไม่?

ถ้าฉันจำไม่ผิด: ก่อนอื่นมีความมุ่งมั่นของ Pedersen (ผูกพันทางคอมพิวเตอร์ & ซ่อนในทางทฤษฎี) จากนั้น "เปลี่ยน" เป็นความมุ่งมั่นของ ElGamal (ผูกพันทางทฤษฎี & ซ่อนทางคอมพิวเตอร์) ไพรเมอร์ที่ดีใน 1

เท่าที่ฉันศึกษาแผนความมุ่งมั่นนี้ ฉันเห็นว่าแผนนี้ไม่ได้ผูกมัดอย่างสมบูรณ์ เพราะ H ขึ้นอยู่กับค่าของ G

อันที่จริง มันไม่ได้มีผลผูกพันทางการคำนวณด้วยซ้ำ เนื่องจากผู้กระทำทราบบันทึกแยกของ $H$ (ของมัน $xM$) ดังนั้นเขาจึงสามารถเปิดข้อผูกมัดได้เล็กน้อยตามที่เขาต้องการ

อย่างไรก็ตาม ทางออกเดียวที่เป็นไปได้ในการทำให้ข้อผูกมัดนี้มีผลผูกพันอย่างสมบูรณ์คือการทำข้อผูกมัด Pedersen โดยการลบขั้นตอนที่ 4-6 และเลือก H เป็นจุดกำเนิดอื่น

คำมั่นสัญญาของ Pedersen ไม่สามารถผูกมัดได้อย่างสมบูรณ์ เพราะไม่ว่าคุณจะเลือกอย่างไร $H$เป็นไปได้ (แม้ว่าในทางปฏิบัติ จะคำนวณไม่ได้ หรือเราหวังว่า) จะคำนวณบันทึกแบบแยก และดังนั้นจึงเป็นไปได้ที่จะเปิดข้อผูกมัดที่มีค่าต่างกัน

สำหรับคำมั่นที่จะผูกมัดอย่างสมบูรณ์ สิ่งที่ต้องเกิดขึ้นก็คือสำหรับคำมั่นสัญญาใดๆ ที่เป็นไปได้ มีเพียงความลับเดียวที่เป็นไปได้เท่านั้นที่สามารถเปิดเผยได้ Pedersen ไม่ตอบสนองสิ่งนั้น