Monero环CT sj计算

Question

对于一个大学项目，我目前正在实现在Monero中使用的RingCT环签名(在引入本论文之前)。为了关闭环，我们计算最后一个s：(其中\alpha是最初选择的随机值，l是椭圆曲线群的阶)。

s_j = α − c_j· x_j \bmod l

因此，正如我所理解的，在这种情况下，模只适用于c_j· x_j，否则我们可能会得到超出范围的标量，但是如果这个值更大，那么\alpha可能会发生s是负值吗？我需要另一个模子吗?还是我不正确地理解了什么？

Answer 1

所有算法在这里都是模块化的l。这个表示法有点混乱--我会把它写成：s_j \equiv \alpha - c_j\cdot x_j \pmod l.，你为标量选择的整数代表是正的还是负的，这可能并不重要；当你把一个曲线点相乘时，有许多等价的标量选择会产生同样的结果。(但用于计算标量乘法的特定算法可能会对整数施加约束，例如是正的，小于一定的大小。)