作者:VitalikButerin
原標題:《Zk-SNARKs:UndertheHood》
發表時間:2017年2月1日
這是解釋zk-SNARKs背后的技術如何工作的系列文章的第三部分;以前關于二次算術程序和橢圓曲線配對的文章是必讀的,本文將假設這兩個概念的知識。還假設了zk-SNARK是什么以及它們做什么的基本知識。另請參閱此處的ChristianReitwiessner的文章以獲得另一篇技術介紹。
在之前的文章中,我們介紹了二次算術程序,這是一種用多項式方程表示任何計算問題的方法,它更適合各種形式的數學技巧。我們還介紹了橢圓曲線配對,它允許一種非常有限的單向同態加密形式,可以讓你進行相等性檢查。現在,我們將從上次中斷的地方開始,使用橢圓曲線配對以及其他一些數學技巧,以允許證明者證明他們知道特定QAP的解決方案,而無需透露任何關于實際解決方案。
本文將重點介紹Parno、Gentry、Howell和Raykova從2013年開始的Pinocchio協議;基本機制有一些變化,因此在實踐中實施的zk-SNARK方案可能會略有不同,但基本原理通常保持不變。
首先,讓我們進入我們將要使用的機制的安全性背后的關鍵密碼假設:指數知識假設。
Cardano生態ZK-Rollup擴容項目Orbis宣布停止運營:11月24日消息,基于Cardano的二層ZK-Rollup擴容解決方案Orbis發推稱,由于資金有限和不確定的條件,Orbis Labs無法繼續建設,該項目已經停止。NFT已暫停,直至另行通知,屆時將為核心ZK-Rollup解決方案制定后續計劃。
Orbis表示正在制定一個長期的項目計劃。目前Orbis Labs Github組織將保持開源,并對外部貢獻者開放。[2022/11/24 8:04:13]
基本上,如果你得到一對點P和Q,其中P*k=Q,并且你得到一個點C,那么除非C以某種方式從P“派生”出來,否則不可能得出C*k你知道的。這可能看起來很直觀,但是這個假設實際上不能從我們通常在證明基于橢圓曲線的協議的安全性時使用的任何其他假設推導出來,因此zk-SNARK實際上確實依賴于比橢圓曲線密碼學更普遍的基礎更不穩定——盡管它仍然足夠堅固,大多數密碼學家都可以接受。
現在,讓我們來看看如何使用它。假設有一對點(P,Q)從天上掉下來,其中P*k=Q,但沒有人知道k的值是多少。現在,假設我提出了一對點(R,S),其中R*k=S。那么,KoE假設意味著我可以得出這對點的唯一方法是取P和Q,并且將兩者乘以我個人知道的某個因子r。還要注意,由于橢圓曲線配對的魔力,檢查R=k*S實際上并不需要知道k-相反,你可以簡單地檢查e(R,Q)=e(P,S)。
StarkWare:StarkNet用編程語言Cairo語言寫出了ZK-EVM:10月26日消息,零知識證明技術開發公司StarkWare發推表示,StarkNet使用編程語言Cairo語言寫出了ZK-EVM,將于明天邀請以太坊聯合創始人Vitalik Buterin、ZK-STARK合作發明者Eli Ben-Sasson、StarkWare成員Shahar Papini等人進行Twitter Space。[2022/10/26 11:44:52]
讓我們做一些更有趣的事情。假設我們有十對點從天而降:(P_1,Q_1),(P_2,Q_2)…(P_10,Q_10)。在所有情況下,P_i*k=Q_i。假設我隨后為你提供一對點(R,S),其中R*k=S。你現在知道什么?你知道R是一些線性組合P_1*i_1+P_2*i_2+…+P_10*i_10,其中我知道系數i_1,i_2…i_10。也就是說,要得到這樣的一對點,唯一的方法就是取P_1,P_2…P_10的一些倍數并將它們相加,然后用Q_1,Q_2…Q_10進行相同的計算。
請注意,給定任何你可能想要檢查線性組合的特定P_1…P_10點集,你實際上無法在不知道k是什么的情況下創建隨附的Q_1…Q_10點,如果你確實知道k是什么,那么你可以創建一對(R,S),其中R*k=S為你想要的任何R,而無需創建線性組合。因此,要使其發揮作用,絕對必須確保創建這些點的人是值得信賴的,并且在創建十個點后實際上刪除k。這就是“可信設置”概念的來源。
Horizen在主網發布zk-SNARK跨鏈協議Zendoo:12月3日消息,Horizen在主網發布zk-SNARK跨鏈協議Zendoo,Zendoo是一種獨特的互操作性協議和擴展解決方案,開發人員可以使用Zendoo構建支持zk-SNARK的自定義區塊鏈,在不影響去中心化的情況下提供大量吞吐量。(Cointelegraph)[2021/12/3 12:47:57]
請記住,QAP的解是一組多項式(A,B,C),使得A(x)*B(x)-C(x)=H(x)*Z(x),其中:
A是一組多項式{A_1…A_m}的線性組合
B是具有相同系數的{B_1…B_m}的線性組合
C是具有相同系數的{C_1…C_m}的線性組合
集合{A_1…A_m}、{B_1…B_m}和{C_1…C_m}以及多項式Z是問題陳述的一部分。
但是,在大多數實際情況下,A、B和C都非常大;對于像散列函數這樣具有數千個電路門的東西,多項式可能有數千個項。因此,我們不是讓證明者直接提供線性組合,而是使用我們上面介紹的技巧讓證明者證明他們提供的東西是線性組合,但不透露其他任何東西。
你可能已經注意到,上面的技巧適用于橢圓曲線點,而不是多項式。因此,實際發生的是我們將以下值添加到可信設置中:
動態 | 報告:以太坊可通過ZK-Rollup達到Visa的TPS:據U.today消息,以太坊基金會合作初創公司Iden3發布了有關ZK-Rollup功能如何提高以太坊網絡速度的報告。報告指出,大規模采用時低吞吐量被認為是最嚴重的瓶頸,而ZK-Rollup功能將允許在每個以太坊區塊中驗證更多交易。Visa網絡目前平均為2000 TPS,以太坊目前支持大約30 TPS,但是隨著ZK-Rollup的實施,這個數字可能會激增6300%。因此,這一突破并非完全不可能。[2019/12/15]
G*A_1(t),G*A_1(t)*k_aG*A_2(t),G*A_2(t)*k_a…G*B_1(t),G*B_1(t)*k_bG*B_2(t),G*B_2(t)*k_b…G*C_1(t),G*C_1(t)*k_cG*C_2(t),G*C_2(t)*k_c…你可以將t視為計算多項式的“秘密點”。G是一個“生成器”,t、k_a、k_b和k_c是“有廢物”,絕對必須不惜一切代價刪除的數字,或者擁有它們的人將能夠制作假證明。現在,如果有人給你一對點P,Q使得P*k_a=Q,那么你知道他們給了什么你是在t處求值的A_i多項式的線性組合。
因此,到目前為止,證明者必須給出:
π_a=G*A(t),π'_a=G*A(t)*k_aπ_b=G*B(t),π'_b=G*B(t)*k_bπ_c=G*C(t),π'_c=G*C(t)*k_c
聲音 | V神質疑Zcash ZK-SNARK技術:Zcash正式實施硬分叉升級后,以太坊創始人V神表對其ZK-SNARK 技術提出了一項問題:“如果有人破解了ZK-SNARK方案,并發行一些新的代幣怎么解決?”他認為“1、如果有N枚代幣進入Zcash的地址池內,將會有N枚流出,每個人交易的代幣比例都是1:1,除了最后一個;2、如果有 N枚代幣進入,但其中有C枚假幣,流出的代幣量依然是N枚,那么每個人提出的代幣量實際上是N/(N+C)枚;3、這樣一來就有C枚假幣被發行了,這將有可能導致擠兌風險。在這種攻擊嚴重的情況下,Zcash將有可能不得不放棄2100萬枚代幣總量的限制。”[2018/6/27]
請注意,證明者實際上不需要知道t、k_a、k_b或k_c來計算這些值;相反,證明者應該能夠僅根據我們添加到可信設置的點來計算這些值。
下一步是確保所有三個線性組合具有相同的系數。我們可以通過向可信設置添加另一組值來做到這一點:G*(A_i(t)+B_i(t)+C_i(t))*b,其中b是另一個應該被視為“有廢物”的數字,并且受信任的設置完成后立即丟棄。然后,我們可以讓證明者使用具有相同系數的這些值創建一個線性組合,并使用與上述相同的配對技巧來驗證該值是否與提供的A+B+C匹配。
最后,我們需要證明A*B-C=H*Z。我們通過配對檢查再次執行此操作:
e(π_a,π_b)/e(π_c,G)?=e(π_h,G*Z(t))
其中π_h=G*H(t)。如果這個方程和A*B-C=H*Z之間的聯系對你來說沒有意義,請返回閱讀有關配對的文章。
我們在上面看到了如何將A、B和C轉換為橢圓曲線點;G只是生成器。我們可以將G*Z(t)添加到可信設置中。H更硬;H只是一個多項式,我們很少提前預測每個單獨QAP解決方案的系數。因此,我們需要向可信設置添加更多數據;具體順序:
G,G*t,G*t2,G*t3,G*t?...。
在Zcash可信設置中,這里的序列高達200萬左右;這是你需要多少次冪才能確保始終能夠計算H(t),至少對于他們關心的特定QAP實例而言。這樣,證明者就可以為驗證者提供所有信息以進行最終檢查。
還有一個細節需要我們討論。大多數時候,我們不只是想抽象地證明某些特定問題的解決方案存在;相反,我們想證明某個特定解決方案的正確性,或者如果你限制解決方案存在一些參數。例如,在交易金額和賬戶余額被加密的加密貨幣實例中,你想證明你知道一些解密密鑰k,這樣:
加密的old_balance、tx_value和new_balance應該公開指定,因為這些是我們希望在特定時間驗證的特定值;只有解密密鑰應該被隱藏。需要對協議進行一些細微的修改,以創建與輸入的某些特定限制相對應的“自定義驗證密鑰”。
現在,讓我們退后一步。首先,這里是完整的驗證算法,由benSasson、Tromer、Virza和Chiesa提供:
第一行處理參數化;本質上,你可以將其功能視為為指定了某些參數的問題的特定實例創建“自定義驗證密鑰”。第二行是A、B、C的線性組合檢查;第三行是檢查線性組合是否具有相同的系數,第四行是乘積檢查A*B-C=H*Z。
總之,驗證過程是幾個橢圓曲線乘法和五次配對檢查,其中一次包括額外的配對乘法。證明包含八個橢圓曲線點:A(t)、B(t)和C(t)各有一對點,b*(A(t)+B(t)+C(t)有一個點π_k)),以及H(t)的點π_h。其中七個點在F_p曲線上,在Zcash實現中,一個點(π_b)在F_p2的扭曲曲線上,所以證明的總大小約為288字節。
創建證明的兩個計算上最難的部分是:
將(A*B-C)/Z除以得到H進行橢圓曲線乘法和加法運算以創建A(t)、B(t)、C(t)和H(t)值及其對應的對創建證明如此困難的基本原因是,如果我們要從中制作零知識證明,原始計算中的單個二進制邏輯門變成了必須通過橢圓曲線操作進行加密處理的操作.這一事實,加上快速傅立葉變換的超線性,意味著Zcash交易的證明創建需要大約20-40秒。
另一個非常重要的問題是:我們是否可以嘗試使受信任的設置稍微……不那么需要信任?不幸的是,我們不能讓它完全不信任;KoE假設本身排除了在不知道k是什么的情況下制作獨立對(P_i,P_i*k)。但是,我們可以通過使用N-of-N多方計算來大大提高安全性——也就是說,在N方之間構建可信設置,只要至少有一個參與者刪除他們的有廢物,那么你就可以了.
為了稍微了解如何執行此操作,這里有一個簡單的算法,用于獲取現有集合,并“添加”你自己的秘密,以便你需要你的秘密和以前的秘密來作弊。
輸出集很簡單:
G,(G*t)*s,(G*t2)*s2,(G*t3)*s3…
請注意,你可以只知道原始集合和s來生成此集合,并且新集合的功能與舊集合相同,只是現在使用t*s作為“有廢物”而不是t。只要你和創建前一組的人都沒有刪除你的有廢物并隨后串通,那么該組是“安全的”。
為完整的受信任設置執行此操作要困難得多,因為涉及多個值,并且必須在各方之間分幾輪完成算法。這是一個積極研究的領域,看看是否可以進一步簡化多方計算算法并使其需要更少的輪次或更可并行化,因為你可以做的越多,參與可信設置過程的參與方就越多.有理由看到為什么六個相互認識并一起工作的參與者之間的信任設置可能會讓一些人感到不舒服,但是一個擁有數千名參與者的信任設置與完全不信任幾乎沒有區別——而且如果你真的很偏執,你可以自己進入并參與設置過程,并確保你親自刪除了你的值。
另一個活躍的研究領域是使用不使用配對的其他方法和相同的可信設置范例來實現相同的目標。請參閱ElibenSasson最近的演示文稿以了解另一種選擇
特別感謝ArielGabizon和ChristianReitwiessner的審閱。
鏈捕手消息,在2022年服貿會“世界前沿科技大會——元宇宙與數字經濟論壇”上,《數字藏品合規評價準則》正式發布,該《標準》從源頭對數字藏品的定義、合規發行及流轉進行規范,同時《標準》還明確提出.
1900/1/1 0:00:00鏈捕手消息,以太坊官方ethereum.org發布一系列關于以太坊Pos合并可能導致潛在誤解的說明.
1900/1/1 0:00:00撰文:Eric,ForesightNews2013年11月,在比特幣創世區塊誕生近5年之后,以太坊白皮書問世.
1900/1/1 0:00:00鏈捕手消息,據《悉尼先驅晨報》報道,加密平臺Stake.com前合伙人ChristopherFreema在紐約南區提起民事訴訟起訴Stake.com創始人,要求賠償5.8億美元.
1900/1/1 0:00:00作者:Polygon 編譯:Cointelegraph中文編譯:Zion責編:karen人們越來越依賴社交媒體獲取新聞、刊物和娛樂.
1900/1/1 0:00:00鏈捕手消息,BKEXLabs宣布開啟全球孵化計劃,首季孵化計劃開啟后,BKEXLabs收到了來自全球眾多項目的孵化申請。在Gamefi領域,AlpaKingdom成功入選第一季孵化計劃.
1900/1/1 0:00:00