比特承诺（Bit Commitment）的概念

文章目录

概念
基本思想
经典环境示例
性质
三方比特承诺
应用

概念

比特承诺是安全多方计算中最重要的基础协议之一，对构建更复杂的多方协议起着重要作用。
比特承诺(Bit Commitment， BC)是密码学中的重要基础协议，其概念最早由 1995 年图灵奖得主 Blum 提出。比特承诺方案可用于构建零知识证明、可验证秘密共享、硬币投掷等协议，同时和不经意传送一起构成两方安全计算的基础，是信息安全领域研究的热点。

基本思想

发送者 Alice 向接收者 Bob 承诺一个比特b (如果是多个比特，即比特串t ，则称为比特串承诺)，要求：
在第 1 阶段即承诺阶段 Alice 向 Bob 承诺这个比特b ，但是 Bob 无法知道b 的信息；
在第 2 阶段即揭示阶段 Alice 向 Bob 证实她在第 1 阶段承诺的确实是b ，但是 Alice 无法欺骗 Bob(即不能在第 2 阶段篡改b 的值)。

经典环境示例

Alice将待承诺的比特或秘密写在一张纸上，然后将这张纸锁进一个保险箱，该保险箱只有唯一的钥匙可以打开。
在承诺阶段， Alice 将保险箱送给 Bob，但是保留钥匙；
到了揭示阶段，Alice 将比特或秘密告诉 Bob，同时将钥匙传给 Bob 使其相信自己的承诺。
需要指出的是，保险箱不能被“暴力破解”的性质甚至允许 Alice 在揭示阶段无需向 Bob 说明承诺的比特或秘密，只要将钥匙发送给 Bob 即可。

性质

一个比特承诺方案必须具备下列性质：

正确性
如果 Alice 和 Bob 均诚实地执行协议，那么在揭示阶段 Bob 将正确获得 Alice 承诺的比特b 。
保密性：在揭示阶段之前 Bob 不能获知b 的信息。
绑定性 ：在承诺阶段结束之后， Bob 只能在揭示阶段获得唯一的b (即 Alice 无法将b 反转，就好像 Alice 与b “绑定”在一起一样)。
如果一个比特承诺协议同时满足保密性和绑定性，且没有对攻击者的计算能力做任何限制性假设，则称该比特承诺协议是无条件安全的。在经典的计算环境下所构造的比特承诺方案都无一例外地进行了一些密码学假设，如假设承诺者(证明者)或验证者的计算能力是有限的，或者单向函数是存在的等等，而这些假设对于拥有量子计算能力的对手来说，是相当脆弱的。另一方面， Mayers， Lo 和 Chau 等人证明了，无论是在经典环境下，还是量子计算环境下，标准模型下的比特承诺协议也不可能是无条件安全的，他们的结论称为 Mayers-Lo-Chau 不可能性定理(no go theorem)。目前该定理的正确性得到绝大多数学者的认可，但是还有少量的学者在努力寻找它的破绽，并积极努力地构建真正无条件安全的量子比特承诺方案。

三方比特承诺

在该模型下，承诺者由一人变为二人 Alice 与 Bob，由此二人共同向第三方 Chris 承诺一个比特或比特串。
承诺阶段之前， Alice 与 Bob 可以自由通信以商定承诺内容，但是在协议开始以后，要求 Alice 与 Bob 无法再进行通信。（考虑到量子计算环境，协议开始之后， Alice 与 Bob 被物理隔离，无法再进行经典通信和量子通信，最多只允许对本地量子进行局域测量）。
该模型最重要的特点是揭示阶段由 Bob 负责向 Chris 揭示b 的信息，因此 Alice 没有任何作弊的可能，即无法破坏协议的绑定性。

应用

囚徒困境
三方参与的安全模型在实际生活中是有很多应用的，例如在博弈论的经典“囚徒困境”模型中，两个纵火嫌疑犯即可以视作证明者，他们在被抓住以前可以自由交流(例如商定问讯对策)，被抓以后将被警察(验证者)分开审讯。如果这两个嫌疑犯均“忠实”地在审讯过程中坚持否认纵火事实，那么他们将获得集体最优结果。又如，由两家单位合作来对某个大型项目进行投标(例如资金与技术的合作)，则这两家单位和招标方构成三方承诺模型。
安全多方计算
另外，一些安全多方计算的协议模型，其最基本的组成结构也经常是三方，而非两方。例如可验证秘密分享(Verifiable Secret Sharing， VSS)，除了一个秘密分发方外，秘密分享方至少是两方，因此一个秘密分享方案至少需要三方的参与。又如，在匿名通信的重要基础模型——密码学家就餐问题中，参与的密码学家至少为三个。

Reference
《基于椭圆曲线的三方比特承诺》杨威①② 黄刘生①② 王启研③