ElGamal密文的距离证明

Question

Alice有一个ElGamal公钥y=g^x。Bob根据Alice的Elgamal公钥加密一个值g^b，最后得到一个密文(g^by^r, g^r)。Bob能证明值b在某个范围内而不暴露它，或者您需要成为ElGamal密钥x的“所有者”才能创建这样的证明吗？

如果g^b令人困惑，然后忽略它并考虑值b，我只需要知道我是否可以在不知道x的情况下创建一个范围证明。

Answer 1

如果将值b映射到group元素的方法是g^b，那么为exactly加密创建范围验证与为Pedersen承诺创建范围验证完全相同。

对于ephemeral，您可以使用g^by^r，其中b是值，r是发送方的临时私钥，y是接收者的公钥。

将其解释为Pedersen承诺，您将得到g^by^r，其中b是值，r是致盲的因素，y是离散日志w.r.t的替代基点。g (即x)对于提交者/发送者来说是不可知的。

请注意，由于收件人知道x，他们可以伪造范围证明。

有关如何创建简单范围验证的详细信息是这里。