2026-01-21 01:15:40 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： MatRiCT是一种基于格的后量子机密交易算法，解决了传统方案易受量子攻击及效率低的问题。其核心创新是通过校正值机制规避昂贵的范围证明，并利用批量验证与固定汉明重量采样优化环签名。该方案将证明体积压缩至103KB，大幅降低了通信开销，使抗量子隐私保护在工程上变得实用，为区块链等场景提供了关键安全保障。 综合评分： 87 文章分类： 区块链安全,网络安全,解决方案

cover_image

【密码学】MatRiCT 算法解读

原创

Litt1eQ Litt1eQ

Coder小Q

2026年1月20日 08:30 山东

【密码学】MatRiCT 算法解读

Bob: Alice，我们学校这学期推出了一个新的教学评价系统，遇到了个很有意思的问题。你知道的，每学期末学生都要给老师打分评价课程质量。但很多同学不敢说真话——怕老师认出来，万一下学期还要选他的课就尴尬了。

Alice: 这确实是个普遍问题。传统的匿名问卷怎么解决的？

Bob: 传统方式是让学生用匿名账号提交，但问题来了——学校教务处必须验证评价者确实是选了这门课的100个学生之一，而不是其他人恶意刷分。可如果评价和学号关联，那就不是真匿名了。学校想了个办法：让学生提交评价时，既要证明”我确实选了这门课”，又不透露”我是哪个学号”。听起来简单，做起来很难。

Alice: 这就是密码学里的环签名问题。评价者想证明”我是选课的100个学生中的某一个”，但不透露具体是谁。听起来简单，但在技术实现时——特别是要抵抗未来的量子计算机攻击——非常有挑战。

Eve: 从安全分析的角度看，这种系统面临一个严峻的长期威胁。假设某个黑客或数据收集者，今天把学校所有加密的评价记录都下载下来存档。虽然现在基于椭圆曲线的加密他们解不开，但他们可以耐心等待——等到10年后量子计算机成熟，用Shor算法就能一键破解这些历史数据。到那时，所有学生当年的真实评价、打分细节，都会暴露在光天化日之下。这在密码学界叫 “现在收获，未来解密”攻击。这是技术进步带来的系统性风险——今天的隐私承诺，可能在未来的技术面前不堪一击。

Bob: 而且我们的场景还更复杂——不仅要证明身份（确实选了课），还要保证评分的有效性。比如说，学生给教学质量打8.6分，给作业难度打6分，但不能泄露具体是谁打的分。同时，系统要能统计出”平均分是7.3″，但不能反推出每个学生的评分组合。

Alice: 这就是RingCT要解决的问题了。它结合了两个核心需求：

环签名：证明”我是选课的100个学生中的某一个”（隐藏具体身份）
保密交易：证明”我的评分是有效的数值（比如在0-10分范围内）”（隐藏具体分数但允许统计）

类似的场景在很多地方都有：

学术会议评审：100个审稿人中的某一个打分，但不透露是谁
员工满意度调查：证明是公司员工但不暴露部门或工号
社区议事投票：小区业主匿名投票，证明是业主但不透露门牌号

Bob: 那现在不是有各种匿名问卷吗？比如问卷星、Google Forms…

Alice: 那些只能做弱匿名——要么完全匿名但无法验证身份（任何人都能刷票），要么记录学号但承诺”不会泄露”（需要信任平台）。但在我们的场景里，你要在不信任任何单一平台的前提下，同时证明”我有资格（选了课）”和”我的评分有效（在合法范围内）”。更要命的是，现有系统几乎都基于椭圆曲线密码（ECC）。一旦量子计算机在未来5-15年内成熟，Shor算法就能破解。你今天的匿名评价，10年后可能被完全还原。

Bob: 那怎么办？用抗量子的密码吗？

Alice: 对，密码学界在开发基于格问题的后量子密码（M-SIS和M-LWE），量子计算机也解不开。但问题是——

Eve: 效率灾难。环签名在椭圆曲线上很轻巧，证明大小可能只有几KB。但升级到格密码后，早期方案的证明能达到50MB以上。

Bob: 50MB？一次课程评价的证明就要50MB？这也太夸张了，学生提交个评价要上传半天，教务系统服务器也存不下这么多数据。

Alice: 所以早期的格基环签名根本无法实用。直到2019年,澳大利亚莫纳什大学的研究团队提出了MatRiCT——Matrix Ring Confidential Transactions[1]。他们用全新的密码学设计,把证明大小大幅压缩。以最常见的”1个输入2个输出、匿名集100人”场景为例,证明仅需103KB,相当于之前LRCT v2.0方案(需要超过50MB)的五百分之一。

Bob: 103KB倒还能接受。但怎么做到的？

Eve: 这可不是简单的工程优化。他们重新思考了环签名的根本设计：传统方案为了证明”我是N个人中的某一个”，需要对每个可能的身份都生成一个证明分量。但MatRiCT用了单点标记+ 二进制证明的巧妙组合，大幅减少了通信量。而且他们还发明了全新的”平衡证明”，避免了昂贵的范围证明。

Bob: 我知道格基密码基于M-SIS和M-LWE困难问题，这些问题抗量子。但具体的瓶颈在哪？

Eve: 问题在于效率瓶颈。椭圆曲线上，一个公钥只需要32字节，用Bulletproofs证明一个64位数字在正数范围内只需几百字节。但在格密码中，公钥就要几千字节，而单个64位范围证明至少需要约100KB——这还只是一个数值的证明开销。

Bob: 那MatRiCT是怎么做到103KB的?它也需要范围证明吧?

Alice: 这就是MatRiCT的核心创新——它完全避开了传统的宽范围证明。虽然仍要证明数值的有效性,但用了一种完全不同的、更高效的方法。

Bob: 不用范围证明？那怎么保证数值平衡和合规性？

Alice: 让我们还是用课程评价的例子。假设你手里有两张”评分卡”，一张代表7分，一张代表3分（可能对应不同维度的权重），你需要证明这10分的总权重被正确分配到了两个新的评价指标上（总分依然是10）。传统方法要求：

隐藏数值：用承诺隐藏每个分值，比如 ,
范围证明：证明每个分值都在范围内（防止有人凭空造出负分来抵消超高分，这一步在格上非常昂贵）

Eve: 问题是,格上的承诺在模的环中计算。如果承诺的是数值的二进制位而非数值本身,那么简单相加这些承诺并不能得到和的二进制表示。

Bob: 等等，为什么要承诺二进制位？

Alice: 因为在格密码中,证明一个值是比特(0或1)远比证明它在大范围内容易。所以MatRiCT的做法是:对于数值 ,承诺它的每一位:

这样范围约束自动满足——既然每一位都是0或1,整个数字必然在范围内,不需要额外的范围证明。

Eve: 但这引入了新问题。如果和，那么：

这不是。位与位之间的进位丢失了。

Bob: 所以传统的平衡检查失效了？

Alice: 没错。这就是MatRiCT的核心创新——引入”校正值”。让我们仔细推导。设输入数值为，输出为。我们要证明：

如果用二进制表示，则：

重新整理：

Bob: 这和校正值有什么关系？

Alice: 关键来了。对于任意的”进位变量” （其中），下面的等式总是成立：

因为展开后：

Eve: 这意味着我可以自由选择，只要它们满足：

而当输入数值总和等于输出数值总和时，这些就是各位的进位。

Bob: 等等，但是我们不能直接透露这些进位值啊，否则就泄露了数值信息。

Alice: 正确。所以MatRiCT的做法是：

计算校正值：递归计算
创建校正承诺：
证明两个性质：

的形式正确（即内部确实是的结构）
是零向量的承诺

Bob: 等等，怎么证明的形式正确？这不又回到范围证明的老路了吗？

Alice: 不需要。对于最常见的情况——1个输入2个输出,或2个输入2个输出——这些校正值的差分形式可以用很小的比特表示。

Bob: 为什么?

Alice: 考虑1个输入2个输出。每一位的校正值差分是:

因为每个位是0或1,右边的值范围是。同时根据二进制进位的性质,。

论文证明,当输入输出总金额平衡时,1个输入2个输出的情况下, 实际上只能取 ,可以表示为 (其中 )。2个输入2个输出类似,差分值在范围,也能用少量比特高效表示。

Alice: 所以我们只需证明的每个分量可以写成小数值的组合（比如，其中是比特）。这比直接证明一个64位范围高效得多——避免了传统格基范围证明那100KB以上的开销。

Bob: 好，平衡证明我理解了。但你之前说MatRiCT还改进了环签名？

Alice: 是的。MatRiCT基于之前Esgin等人2019年的工作，但做了几个关键优化。让我先解释环签名的基本思路。

假设有100个用户，你是其中的第37号。你想证明”我知道这100个公钥中某一个的私钥”，但不透露是哪一个。这就是环签名。

Eve: 传统做法需要对每个可能位置生成证明分量，但MatRiCT采用了更巧妙的组合——单点标记配合高效的二进制证明。

Bob: 单点标记？那不是很低效吗？

Alice: 单独看确实如此，但结合格基密码的特性，它反而更高效。让我解释机制。

假设环大小，我们选择（因为）。你的索引可以表示为：

（个位）
（十位）

现在，我们用单点标记表示每一位数字——在个位置中只有一个是1：

→ （第7个位置是1）
→ （第3个位置是1）

Bob: 所以我要证明这20个比特中，前10个恰好有1个是1，后10个也恰好有1个是1？

Alice: 完全正确。而在格基密码中，有一个高效的”二进制证明”技术。基本思路是：要证明，我们可以用挑战-响应协议。

设是对比特的承诺。Prover选择随机掩码，计算。Verifier发送随机挑战。Prover响应。

关键观察：如果确实是比特，那么，即：

的系数为零。

Eve: 但在环中有零因子，不一定意味着。这就是为什么MatRiCT需要在一个更大的模数 下做二进制证明。

Alice: 没错。MatRiCT采用了双模数设计:

小模数(约31比特):用于公钥、环签名主体部分
大模数(约53比特):专门用于二进制证明

这个分离设计的好处是:

公钥在区块链上永久存储,小模数节省大量空间(MatRiCT公钥约4KB,而LRCT v2.0需要100KB)
二进制证明只在交易中出现一次,可用大模数保证安全性,避免零因子导致的漏洞

Bob: 你刚才说MatRiCT做了优化，具体是什么？

Alice: 主要有两点：

优化1：批量验证。传统方案需验证两个独立等式：

（验证）
（验证）

MatRiCT将它们合并为一个等式：设，，仅验证：

因为两个验证等式都是关于的线性关系，可以批量处理。这样承诺数量减半，通信开销接近减半。

优化2：固定汉明重量的拒绝采样。这是一个微妙但重要的优化。

Eve: 让我解释其重要性。在格基零知识证明中，为隐藏秘密，用随机掩码生成响应。但的分布可能泄露信息，因此需要”拒绝采样”——若超出安全范围就重试。

问题是：若秘密比特全是0，则永不拒绝；若全是1，拒绝率较高。这个执行时间差异可能导致侧信道攻击，从运行时间反推秘密的汉明重量。

Alice: MatRiCT的解决方案巧妙利用了秘密汉明重量固定这一特性。在单点标记中，若环大小用表示，则20个比特中恰有2个是1（汉明重量固定为2）。

关键技术：对值为0的位，直接从”接受分布”采样掩码，确保必然通过检查；对值为1的位，正常采样。因为1的数量固定为，整体拒绝率是与秘密无关的常数，完全消除了侧信道泄露。

这使得的环签名，接受概率从传统的大幅提升到（其中是单个比特的接受概率，通常接近1；总共20个比特中只有k=2个需要正常采样）。

Bob: 所以总结一下，MatRiCT的核心创新是什么？

Alice: 核心创新:

新颖的平衡证明:通过校正值机制,完全避开了昂贵的64位范围证明,却仍能保证交易平衡
优化的环签名:批量验证减半通信量,固定汉明重量采样消除侧信道,双模数设计兼顾效率与安全

Eve: MatRiCT的设计哲学值得深思:不是简单地将经典方案迁移到格密码,而是根据格的特性重新设计整个系统。传统RingCT说”我需要范围证明”,MatRiCT反问”我真正需要保证的是什么?是平衡,而非范围本身”。这种重新定义问题的方法,往往能带来数量级的效率提升。从50MB降到103KB,就是最好的证明。

Bob: 我明白了。量子计算机可能会来,但密码学家总能找到应对之策。

Alice: 正是如此。而且我们有数学作为根本保障。只要格问题(如M-SIS和M-LWE)在数学上保持困难——这是目前学术界的共识,即便量子计算机出现也无法高效求解——那么基于格的隐私和安全系统就能长期可靠。MatRiCT证明了后量子隐私不仅在理论上可行,在工程上也已经实用。

本次对话，就这么愉快的结束了，接下来，Alice，Bob，和Eve又会遇到什么故事呢，且听下回分解。快乐的时光过得特别快，又到了说再见的时候了，咱们下次再见~

参考文献

[1] Muhammed F. Esgin, Raymond K. Zhao, Ron Steinfeld, Joseph K. Liu, and Dongxi Liu. “MatRiCT: Efficient, Scalable and Post-Quantum Blockchain Confidential Transactions Protocol”. In Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19), 2019. IACR Cryptology ePrint Archive, Report 2019/1287, 2019. https://eprint.iacr.org/2019/1287

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Coder小Q Litt1eQ Litt1eQ《【密码学】MatRiCT 算法解读》