为什么承诺方案不能同时具有信息论的隐藏性和绑定性？

Question

基于Pedersen或Hash的组合方案，既有信息论隐藏和计算绑定，也有计算隐藏和信息论绑定。那么，我们能否同时获得信息论的隐藏和绑定呢？这是可能的，还是被证明是不可能的？

Answer 1

不可能的。为了完全隐藏，必须有两个不同的消息可以产生相同的承诺字符串。但是，这种承诺可以通过两种方式(由无限制的提交者)来打开，因此该方案并不是完全具有约束力的。

Answer 2

另一种非正式看待它的方式是这样的；

如果它是完全隐藏的，那么您就无法知道最终的值是什么。它也可以是任何组合。

如果它是完全绑定的，那么只有一个组合产生最终值，本质上是将最终值绑定到那个组合。

假设我们讨论的是加法，我给你数字10。

哪两个数字给了数字10？

可以是(5,5)，(1，9)，(6,4) .。

这是完全隐藏，因为它可能是任何一个组合，使数字10。

现在我们说的是乘法，这个数字总是素数。

所以我给你19。

哪两个数字相乘，得到19？

只有一种可能性：(19,1)

这可以被看作是完美的约束。本质上将最终值绑定到该特定值。

现在也许更容易理解，为什么两者不能同时满足。

如果该方案不具有约束力，但没有一种简单的方法可以找到确切的组合。那么我们可以说它在计算上是绑定的。

Answer 3

为了更正式一点，请考虑伊夫塔赫提供的表示法，其中S表示承诺发送方，R表示接收方。

假设一个承诺方案(S,R)在统计上是隐藏的。这意味着在计算上无界的R无法从承诺c中获取任何有关m的信息。由于计算承诺的过程对双方都是已知的，这意味着必须存在(m,d)\neq (m',d')，以便(m,d)和(m',d')都将c作为承诺产生。如果不是这样的话，R将能够从c获得唯一的(m, d)。但是，这些多解的存在性表明，一个计算上无界的S可以在揭示阶段产生(m, d)或(m', d')，这意味着(S, R)不能在统计上具有约束力。