什么是承诺方案以及它如何在密码学中使用？

了解加密协议中的承诺方案

1. 承诺方案是一种加密原语，允许一方承诺选定的值，同时对其他人隐藏，并能够在以后透露承诺的值。这种机制确保了两个基本属性：隐藏和绑定。隐藏属性保证在承诺阶段不会泄露有关承诺值的信息。绑定属性确保提交者在做出承诺后无法更改该值。

2. 这些方案通常由两个阶段组成：提交阶段和揭示阶段。在提交阶段，发送者使用承诺算法根据秘密值和可能的一些随机性生成承诺字符串。该字符串被发送到接收者。在揭示阶段，发送者公开原始值以及验证该值是否与之前的承诺相对应所需的任何辅助信息。

3. 一种常见的实现方式是使用加密哈希函数。例如，要提交值m ，一方可能会计算C = H(r || m) ，其中r是随机数， H是安全哈希函数。值C是共享的，而r和m保持秘密。为了揭示，该方发送m和r ；接收方重新计算哈希值并检查是否相等。

4. 承诺方案在零知识证明、安全多方计算和区块链协议中发挥基础作用。它们使参与者能够做出可验证的承诺，而无需立即暴露敏感数据，从而在复杂的交互过程中保护隐私和完整性。

区块链和智能合约中的应用

1. 在去中心化金融（DeFi）和区块链系统中，承诺方案用于防止抢先交易并确保拍卖或彩票的公平性。参与者以承诺的形式提交加密的出价或条目，并记录在链上。所有提交完成后，用户显示他们的输入，系统根据存储的承诺对其进行验证。

2.这种方法可以防止恶意行为者根据其他人的可见行为调整策略，因为实际值在揭露期间之前一直是隐藏的。它引入了一种无需信任的方法来执行规则，而无需依赖中央机构来管理机密。

3. 基于以太坊的协议通常在智能合约中使用 Pedersen 承诺或基于哈希的承诺。例如，在提交-显示投票方案中，选民提交与盐连接的投票的哈希值。一旦投票窗口关闭，他们就会提交明文投票和盐，允许合约在不提前披露的情况下验证真实性。

4. 另一个应用程序包括状态通道和第 2 层扩展解决方案，各方交换对链下交易的承诺。这些承诺作为具有约束力的协议，如果出现争议，可以在链上强制执行，从而在保持安全性的同时最大限度地减少链上足迹。

承诺计划的类型及其属性

1. 基于哈希的承诺依赖于抗碰撞哈希函数，并在标准假设下提供计算绑定和隐藏。虽然它们高效且得到广泛支持，但它们不提供信息论安全性，这意味着足够强大的对手可能会在提供足够资源的情况下破坏它们。

2. Pedersen 承诺在椭圆曲线群上运行并提供信息论隐藏和计算绑定。它们是同态的，这意味着对承诺的操作对应于对底层值的操作——这一功能在机密交易等高级加密结构中很有用。

3.可验证延迟函数 (VDF) 和时间锁定难题通过确保在特定时间过去之前无法泄露值来集成类似承诺的行为，从而为加密承诺添加时间约束。

4. 陷门承诺引入了一个特殊的密钥，允许发行人在受控条件下更改承诺。这些用于需要可审计性或监管监督的场景，但必须谨慎部署以避免破坏信任。

常见问题解答

是什么阻止某人创造出两种不同的价值观来对应同一个承诺？安全承诺方案的绑定属性确保一旦做出承诺，在计算上就不可能找到产生相同承诺的不同值。这依赖于底层的硬度假设，例如离散对数或哈希函数的抗碰撞性。

量子计算机可以打破承诺方案吗？有些类型比其他类型更容易受到伤害。基于哈希的承诺可能需要更大的输出大小来抵抗使用 Grover 算法的量子攻击。由于肖尔的算法可以有效地求解离散对数，佩德森的承诺将受到量子对手的损害。正在使用基于晶格的密码学探索后量子替代方案。

在实践中如何管理随机性和随机数？参与者必须生成加密安全的随机数以避免可预测性。重复使用随机数或使用弱随机性可能会导致承诺值的暴露。最佳实践包括使用标准化 RNG 并确保每个承诺都使用新的、不可预测的随机数。