比特承诺 Bit Commitment

Introduction—A story

 Alice:股票经纪人
Bob:股民 
  Alice：你的钱交给我，我替你买股票，我专业，挣钱多！ 
  Bob：怎么证明？ 
  Alice：我们上月买进的10只股票都上涨了10%以上，我可以让你看看我上月选择的股票情况。 
  Bob：这不可靠，你现在完全可以在知道股票的情况后，告诉我你原来选择的就是这些上涨的股票。如果你告诉 我现在选择哪些股票，一个月后她们能上涨多少，而一个月后这些股票确实如此，我就相信你。 
  Alice：这对我不公平，你可能直接用你的钱去买我选择的股票，一个月后你赚了钱，仍然不让我替你购买。 
  Bob: 你的担心也对，那么我们这样做好吗？你拿一个坚固的箱子和一把锁，把你现在选择的股票写到一张纸上，装到箱子里锁上，你把钥匙带走，把箱子留在我这里。一个月之后你到我这里，当面打开箱子，如果你选的股票确实如你所预料的上涨了，我就把钱交给你，让你替我购买。行吗？ 
   Alice：好！这个方法好，多我们都公平。 
他们这样做了，一个月后检验发现Alice的预测是正确的，Bob把的钱交给了Alice。 

Definition of Bit Commitment

比特承诺(Bit Commitment，BC)是密码学中的重要基 础协议，其概念最早由1995 年图灵奖得主Blum
提出。比特承诺方案可用于构建零知识证明、可验证秘密 分享、硬币投掷等协议，同时和茫然传送一起构成安全双方计算的基础，是信息安全领域研究的热点。

比特承诺的基本思想如下：发送者Alice 向接收者Bob 承诺一个比特b (如果是多个比特，即比特串t ，则称为比特 串承诺)，要求：在第1 阶段即承诺阶段Alice 向Bob 承诺这个比特b ，但是Bob 无法知道b 的信息；在第2 阶段即揭示 阶段Alice 向Bob 证实她在第1 阶段承诺的确实是b ，但是 Alice 无法欺骗Bob(即不能在第2 阶段篡改b 的值)。 

经典环境中关于比特承诺的一个形象的例子是：Alice 将待承诺的比特或秘密写在一张纸上，然后将这张纸锁进一个保险箱，该保险箱只有唯一的钥匙可以打开。在承诺阶段， Alice 将保险箱送给Bob，但是保留钥匙；到了揭示阶段,Alice 将比特或秘密告诉Bob，同时将钥匙传给Bob 使其相信自己的承诺。需要指出的是，保险箱不能被“暴力破解” 的性质甚至允许Alice 在揭示阶段无需向Bob 说明承诺的比特或秘密，只要将钥匙发送给Bob 即可。

一个比特承诺方案必须具备下列性质：

    *正确性:  如果Alice 和Bob 均诚实地执行协议，那么在 揭示阶段Bob 将正确获得Alice 承诺的比特b 。 
    *保密性:  在揭示阶段之前Bob 不能获知b 的信息 。 
    *绑定性:  在承诺阶段结束之后，Bob 只能在揭示阶段获得唯一的b 。

三方比特承诺模型

在该模型下，承诺者由一人变为二人Alice 与Bob，由此二人共同向第三方Chris 承诺一个比特或比特串。承诺阶段之前，Alice 与Bob 可以自由通信以商定承诺内容，但是在协议开始以后，要求Alice 与Bob 无法再进行通信。

承诺阶段

由Alice 向Chris承诺b。

揭示阶段

由Bob 负责向Chris 揭示b 的信息，因此Alice 没有任何作弊的可能，即无法破坏协议的绑定性。

应用

三方参与的安全模型在实际生活中是有很多应用的，例如在博弈论的经典“囚徒困境”模型中，两个纵火嫌疑犯即 可以视作证明者，他们在被抓住以前可以自由交流(例如商定
问讯对策)，被抓以后将被警察(验证者)分开审讯。如果这两 个嫌疑犯均“忠实”地在审讯过程中坚持否认纵火事实，那么他们将获得集体最优结果。又如，由两家单位合作来对某 个大型项目进行投标(例如资金与技术的合作)，则这两家单位和招标方构成三方承诺模型。