Halevi-Micaliのscheme 1

• パラメータ
  • n:メッセージ長
  • k:セキュリティパラメータ
  • L = 4k+2n+4
  • h:{0,1}^{L}→{0,1}^{k}
  • F = {f:{0,1}^{L}→{0,1}^{n}} (ユニバーサルハッシュ関数の族)
• Commitment Phase
  1. nビットのメッセージmについて
  2. f(r) = mとなるようなrを{0,1}^LからとfをFから選ぶ
  3. y = h(r)を計算
  4. (f,y)をコミットメントとして送る
• Reveal Phase
  1. 送信者はmとrを送る
  2. 受信者はy=h(r)かつm=f(r)であることを確認

Damgård-Pedersen-Phitzmann

CRYPTO 1993版の4章にNaor-YungのCRHFsからのビットコミットメントの改良として載っている.

• パラメータ
  • n:メッセージ長
  • k:セキュリティパラメータ
  • L = 2k+t
  • H = {h:{0,1}^{L}→{0,1}^{k}}
  • F = {f:{0,1}^{L}→{0,1}^{n}} (ユニバーサルハッシュ関数の族)
• Initialization Phase
  • 受信者はhをHからランダムに選んでAに送る
• Commitment Phase
  1. nビットのメッセージmについて
  2. Lビットの乱数rを選ぶ
  3. fをFからランダムに選ぶ
  4. y=h(r)を計算する
  5. c=m XOR f(r)を計算する
  6. (f,y,c)をコミットメントとして送る
• Reveal Phase
  1. 送信者はmとrを送る
  2. 受信者はy=h(r)かつc=m XOR f(r)であることを確認