是否有证明特定椭圆曲线点的知识的ZKP？

Question

设E是素数阶n的椭圆曲线。如果我们假设Alice和Bob都知道一个标量值z，那么是否有一个已知的零知识协议(理想情况下是一种Sigma协议)允许鲍伯说服爱丽丝他知道一些点R，这样zR就能满足某些方程？

这方面的情况如下。我最近一直在研究ZKAttest，它允许验证程序显示真实ECDSA签名的知识，而无需向验证者透露签名者的身份。在本工作中，大部分的繁重工作都是通过证明给定点的标量乘积来完成的，即某些承诺向zR开放。在这种情况下，z是通过承诺隐藏的，而R是向验证者揭示的。然而，我对另一种情况感兴趣，在这种情况下，我们揭示了z，但隐藏了R。

Answer 1

如果我理解你的问题，你想要一个证明程序的西格玛协议来说服验证者，对于某些曲线点V和标量z (验证者和验证者都知道)，证明者知道一个R，比如V=zR。因为验证者知道V和z，所以R可以直接被重新计算为(z^{-1})V = R，这违背了零知识协议的目的。换句话说，这是一种P语言，而不是NP语言，因此验证者可以有效地验证语句本身，而不需要NP证人。