<div dir="ltr">FYI I've found that this is a "Non-transferable proof of signature knowledge" and not a "Zero knowledge proof".<br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-17 17:27 GMT-05:00 Watson Ladd <span dir="ltr"><<a href="mailto:watsonbladd@gmail.com" target="_blank">watsonbladd@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Feb 17, 2016 at 12:03 PM, Jan Moritz Lindemann <<a href="mailto:panda@panda.cat">panda@panda.cat</a>> wrote:<br>
> Thanks! A proof of security is exactly what I am looking for, how could I<br>
> elaborate one?<br>
<br>
</span>You can't easily: you have to show that given m, r, and sR no one can<br>
compute a valid ECDSA signature on m unless they compute the original<br>
private key. If you somehow show that, you can then try to show your<br>
construction is a zero-knowledge protocol once sR is revealed, but<br>
this is hard because it isn't the Fiat-Shamir transform of a sigma<br>
protocol. It's easy enough to fix that up by making m' the hash of the<br>
commitments. Then you can go try to prove this is an honest-verifier<br>
zero-knowledge sound protocol, and thus secure in the ROM.<br>
<div class="HOEnZb"><div class="h5"><br>
><br>
> _______________________________________________<br>
> Curves mailing list<br>
> <a href="mailto:Curves@moderncrypto.org">Curves@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/curves" rel="noreferrer" target="_blank">https://moderncrypto.org/mailman/listinfo/curves</a><br>
><br>
<br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
"Man is born free, but everywhere he is in chains".<br>
--Rousseau.<br>
</font></span></blockquote></div><br></div>