Basado en la propuesta de transacción confidencial de Maxwell, una firma de anillo puede resolver el problema de la prueba de rango. Puedo seguir totalmente el compromiso de Pedersen y todo. No entiendo muy bien cómo la firma del anillo ayuda en las pruebas de rango. Por ejemplo, queremos saber si la cantidad de Bitcoin no es negativa y no queremos revelarlo. La conexión entre la firma del anillo y la prueba de rango no me convence.
Después de mucha investigación y de leer un par de documentos diferentes, encontré la respuesta a mi propia pregunta y pensé que sería bueno compartirla con otras personas de la comunidad.
El compromiso de Pedersen sobre la cantidad ay el factor de cegamiento xes:
C(a) = x*G + a*H
¿Dónde Gestá el punto generador en la curva elíptica y Hes otro punto estático en el que todos han estado de acuerdo? (En realidad es un mapa de Hash de Gon curve).
Para probar que la cantidad está dentro de un rango específico sin revelar la cantidad, CT usa la firma del anillo.
Digamos que Alice quiere demostrarle a Bob que el monto de su transacción está dentro del rango [0,y]. Si Bob calcula:
C' = C(1) - 1*H
Sería igual a:
x*G
Si Alice puede hacer una firma con x como clave privada (usando ECDSA, por ejemplo), entonces puede verificar que conoce x, por lo que la cantidad es en realidad 1.
Sin embargo, en la transacción confidencial, Alice no quiere revelar la cantidad, así que digamos si ella hace esta operación para todas las cantidades como:
C" = c(2) - 2*H
y etc para todas las cantidades hasta y. Entonces, si Alice hace una firma de anillo para todas estas cantidades, básicamente está diciendo que mi cantidad es una de las cantidades en todo el rango sin revelarlo. La firma del anillo es una firma que muestra que una de las entradas es una firma sin revelar quién.
Básicamente, eso da como resultado la prueba de rango y Alice puede demostrarle eso a Bob de esta manera sin revelar la cantidad.