保持ZKP在同态密文再随机化过程中的有效性而不与以前的密文链接

Question

问题：在上述密文被重新随机化后，如何才能使同态密文仍然有效？

上下文:在许多电子投票系统中，同态加密被用来记录个人投票，保护个人投票人的隐私，因为只有总的计票才被显示出来。每个选民必须提供有效的ZKP证明，他们的投票是正确的，其中一个可能的价值。

实现隐私的一种方法是将密文以及相应的ZKP重新随机化。这似乎是可能的使用Groth证明，虽然我不明白，因为ZKP，不知何故，必须绑定到密文。

Answer 1

首先(如果不是这样的话)，您必须仔细阅读原格罗斯-萨海纸。

我们可以专注于一个具体的例子来理解为什么是可能的:例如，在"SXDH“设置中(第24页)；假设我们有一个用于G_1元素向量的提交\vec{c_2}，以及一个用于G_2元素向量的提交D3。和一个证明(\vec \pi, \vec \theta)

您可以改变承诺c_2的随机性(例如，通过将R'\vec{u}添加到\vec{c} )，但是如果这样做，则证明将不再有效。

然后，您还必须在证明中添加相应的随机性，这里意味着您必须添加到\vec\pi R'\Gamma c_2。

更广泛地说，您必须同时随机化承诺和证明(注意，在groth sahai模型中，提交被认为不是密码，而是证明的一部分)。