github： https://github.com/FindoraNetwork/zei/blob/develop/crypto/src/basic/pedersen_elgamal.rs

关于elgamal算法介绍可以参考之前的博文：elgamal算法

pedersen-elgamal：
给定由$(m,r)\in F$生成的pesersen承诺$comm=mG+rH$、elgamal密文$(e_1,e_2)=$ $En{c}_{elgamal}(pk,m,r)$，pedersen-elgamal算法可以生成一个证明，用来证明隐藏在$comm$中的承诺值m、盲化因子r和隐藏在elgamal密文$(e_1,e_2)$中的m、r相同，证明过程是零知识的，所以验证者除了相信他们相等之外，不能获取关于m、r的任何信息。

$Proo{f}_{pedersen-elgamal}(m,r,pk,e_1,e_2,comm)\to (c_1,c_2,c_3,s_1,s_2):$

• $随机选取r_1,r_2\in F$
• $计算c_1=r_{2}G$
• $计算c_2=r_{1}G+r_{2}pk$
• $计算c_3=r_{1}G+r_{2}H$
• $通过Fiat-Shamir变换计算\beta =hash(G,H,pk,e_1,e_2,comm,c_1,c_2,c_3)$
• $计算s_1=m\cdot \beta +r_1$
• $计算s_2=r\cdot \beta +r_2$

V e r i f y p e d e r s e n − e l g a m a l ( p k , e 1 , e 2 , c o m m , c 1 , c 2 , c 3 , s 1 , s 2 ) → b ∈ { 0 , 1 } : Verify_{pedersen-elgamal}(pk,e_1,e_2,comm,c_1,c_2,c_3,s_1,s_2) \rightarrow b \in\{0,1\}: Verifypedersen−elgamal​(pk,e1​,e2​,comm,c1​,c2​,c3​,s1​,s2​)→b∈{ 0,1}:

• $通过Fiat-Shamir变换计算\beta =hash(G,H,pk,e_1,e_2,comm,c_1,c_2,c_3)$
• $随机选取{\alpha }_0,{\alpha }_1,{\alpha }_2\in F$
• $令k=[{\alpha }_1{s}_1+{\alpha }_0{s}_2+{\alpha }_2{s}_1,{\alpha }_2{s}_2,{\alpha }_1{s}_2,-{\alpha }_0\beta ,-{\alpha }_1\beta ,-{\alpha }_2\beta ,-{\alpha }_0,-{\alpha }_1,-{\alpha }_2]$
• $令l=[G,H,pk,e_1,e_2,comm,c_1,c_2,c_3]$
• $验证{\sum }_{i=0}^8{k}_i\ast l_i?=0$
• $如果验证都通过，则输出1，否则输出0$

这里Proof和Verify是通过matrix_sigma算法来生成证明和验证证明的。

撇开matrix_sigma，在验证过程中，我们只需要验证以下三点：

• $s_2\cdot G?=\beta \cdot e_1+c_1$
• $s_1\cdot G+s_2\cdot pk?=\beta \cdot e_2+c_2$
• $s_1\cdot G+s_2\cdot H?=\beta \cdot comm+c_3$