零知识证明 | 4.如何验证多项式盲计算的值？这篇文章正式介绍一下Bob如何验证Alice发过来的的值是否正确。实际上，

这篇文章正式介绍一下Bob如何验证Alice发过来的 $E(P(s))$ 的值是否正确。实际上，我们想要实现2个目的：

双盲：Alice不知道s，Bob也不知道P(X)
可验证：Alice只有发送正确的 $E(P(s))$ 的值，才会被Bob接受

要实现第2个目标，需要用到上一篇文章里介绍的α对和KCA的概念。

上一篇文章里的KCA只用到了一个α对，我们可以扩展一下，让Bob给Alice发送多个α对（使用同一个α）：

$(a_1,b_1),(a_2,b_2),…,(a_d,b_d)$

Alice需要回复一个α对，根据之前介绍的方法，她可以从上面的α对中随机挑选一个 $(a_i,b_i)$ ，然后各自乘以一个系数： $(a',b') = (c \cdot a_i, c \cdot b_i)$ 。那么，除此之外，还有没有其他方法生成新的α对呢？答案是肯定的，我们可以通过"线性组合"来生成。

举个例子，随机选2个系数 $c_1,c_2$ ，生成新的α对： $(a',b') = (c_1 \cdot a_1 + c_2 \cdot a_2, c_1 \cdot b_1 + c_2 \cdot b_2)$ 。

我们来证明一下：

$b' = c_1 \cdot b_1 + c_2 \cdot b_2 = c_1 \cdot \alpha \cdot a_1 + c_2 \cdot \alpha \cdot a_2 = \alpha \cdot (c_1 \cdot a_1 + c_2 \cdot a_2) = \alpha \cdot a'$

可以发现，确实是一个α对。我们可以通过求和符号写出新α对的一般形式：

$(a',b') = (\Sigma^d_{i=1}c_ia_i, \Sigma^d_{i=1}c_ib_i)$

根据上面的分析，可以引出一个"d阶系数知识假设"，简称d-KCA：

假设G是一个有限循环群，g是它的一个生成元。Bob选取一个α和一个s，然后把下面这些α对发送给Alice：

$(g,\alpha \cdot g), (s \cdot g, \alpha s \cdot g), …, (s^d \cdot g, \alpha s^d \cdot g)$

如果Alice成功回复了一个新的α对，那么Alice一定持有一组系数 $c_0,c_1,…,c_d$ ，使得 $a'=\Sigma^d_{i=1}c_is^i$ 。

可以发现，Bob发的这组α对不是随便给出来的，对应d次多项式的每一项。

有了d-KCA的保证，我们就可以来验证Alice给出的盲计算结果了：

假设G是一个有限循环群，g是它的一个生成元
选取同态隐藏函数 $E(x) = x \cdot g$
Bob随机选择一个α和一个s，把生成的α对发送给Allice：

$(a_0,b_0) = (E(1),\alpha \cdot E(1))$

$(a_1,b_1) = (E(s), \alpha \cdot E(s))$

… …

$(a_d,b_d) = (E(s^d), \alpha \cdot E(s^d))$
Alice需要保守的秘密是 $P(X)$ 的系数： $P(X) = c_0 + c_1 \cdot s + … + c_d \cdot s^d$
Alice计算新的α对：

$a' = P(s) \cdot g = c_0 \cdot g + c_1 \cdot s \cdot g + … + c_d \cdot s^d \cdot g)= c_0 \cdot a_0 + c_1 \cdot a_1 + … + c_d \cdot a_d = \Sigma^d_{i=0}c_i \cdot a_i$

$b' = \alpha \cdot a' = \Sigma^d_{i=0}c_i \cdot \alpha \cdot a_i = \Sigma^d_{i=0}c_i \cdot b_i$

然后把 $(a',b')$ 发送给Bob
Bob验证 $(a',b')$ 是否是α对，如果是的话就接受该回复