買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 酷幣 > Info

PRO:如何將交互式證明改造為非交互式?_COM

Author:

Time:1900/1/1 0:00:00

原文作者:康水躍,FoxTechCEO;孟鉉濟,FoxTech首席科學家

前言

密碼學當中的零知識證明技術在web3世界有著廣泛的應用,包括進行隱私計算、zkRollup等等。其中Layer?2項目FOX所使用的FOAKS就是一個零知識證明算法。在上述的一系列應用當中,對于零知識證明算法而言,有兩方面屬性極為重要,那就是算法的效率以及交互性。

算法效率的重要性不言而喻,高效的算法可以明顯的降低系統運行時間,從而降低客戶端延遲,顯著的提高用戶體驗和效率,這也是FOAKS致力于實現線性證明時間的一個重要原因。

另一方面,從密碼學的角度來講,零知識證明系統的設計往往依賴證明者和驗證者的多輪交互。例如在許多介紹零知識證明的科普文章當中都會使用的“零知識洞穴”的故事當中,證明的實現就依賴于阿里巴巴和記者多輪的信息傳遞交互才能實現。但是事實上,在許多應用場景當中,依賴交互會使得系統不再可用,或者極高的增加延遲。就像在zkRollup系統當中,我們期望證明者能夠在本地,不依賴于和驗證者交互的情況下就計算出正確的證明值。

從這個角度說,如何將交互式的零知識證明協議改造為非交互式,就是一個很有意義的問題。在這篇文章當中,我們將介紹FOX使用經典的Fiat-Shamir啟發式來生成Brakedown中的挑戰從而實現非交互式協議的過程。

外媒:香港金融監管機構本周討論了如何解決加密公司開設銀行賬戶面臨的挑戰:6月16日消息,據彭博社援引知情人士報道,香港金融監管機構已于本周一召集銀行、加密平臺和其他行業參與者在一起,主要討論如何解決加密公司在開設銀行賬戶方面面臨的持續挑戰。這是香港監管機構自 4 月下旬以來第二次推動銀行更多參與加密領域的會議。[2023/6/16 21:41:23]

零知識證明中的Challenge

零知識證明算法隨著應用的鋪開而變得異常火爆,近些年也誕生了包括FOAKS、Orion、zk-stark等在內的各種算法。這些算法,以及密碼學界早期的sigma協議等的核心證明邏輯都是證明者先將某個值發送給驗證者,驗證者通過本地隨機數產生一個挑戰,將這個隨機產生的挑戰值發給證明者,證明者需要真的有知識才能以大概率做出通過驗證者的響應。例如在零知識洞穴當中,記者拋一個硬幣,告訴阿里巴巴從左側出來還是從右側出來,這里的“左和右”就是對阿里巴巴的挑戰,他如果真的知道咒語,就一定可以從要求的方向走出來,否則就有一半的概率失敗。

這里我們注意到,Challenge的生成是一個很關鍵的步驟,它有兩個要求,隨機和不可被證明者預測。第一點,隨機性保證了它的概率屬性。第二點,如果證明者可以預測挑戰值那就意味著協議的安全性被破壞了,證明者沒有知識也可以通過驗證,可以繼續類比,阿里巴巴如果能預測記者要求他從哪邊出來,他即使沒有咒語也可以提前進入那一邊,結果表現出來一樣可以通過協議。

韓國金融監管局今日將與各交易所開會討論如何判斷加密資產的證券屬性:6月2日消息,韓國金融監管局(FSS)將于今日召集Gopax、Bithumb、Upbit、Korbit、Coinone等5家加密交易所與數字資產交易所協會DAXA舉行非公開會議,就判斷個別虛擬資產的證券屬性的細節問題等進行討論。FSS計劃在審查虛擬資產證券時提出注意事項,并分享Upbit和Korbit等虛擬資產交易所自行判斷證券的例子。[2023/6/2 11:53:48]

所以我們需要一種辦法,能夠讓證明者自己本地生成這樣一個不可預測的隨機數,同時還能夠被驗證者驗證,這樣就可以實現非交互式的協議。

哈希函數

哈希函數的名字對我們來說或許并不陌生,無論是在比特幣的共識協議POW當中擔任挖礦的數學難題,還是壓縮數據量,構造消息驗證碼等等,都有哈希函數的身影。而在上述不同的協議當中,其實是運用了哈希函數的各種不同性質。

具體來講,安全的哈希函數的性質包括以下幾點:

壓縮性:確定的哈希函數可以將任意長度的消息壓縮成為固定長度。

有效性:給定輸入x,計算輸出h是容易的。

幣情觀察室 | 我是如何在18年4月帶群友賺到上千萬:4月15日19:00,行情大V 貝吉塔做客《幣情觀察室》直播間,將分享《我是如何在18年4月帶群友賺到上千萬》敬請關注,欲觀看直播掃描下圖二維碼即可![2020/4/15]

抗碰撞性:給定一個輸入x?1?,希望找到另一個輸入x?2?,x?1?x?2?,h=h,是困難的。

注意,如果哈希函數滿足抗碰撞性,那么必然滿足單向性,也就是說給定一個輸出y,要找出x滿足h=y是困難的。在密碼學當中,還不能構造出理論上絕對滿足單向性的函數,但是哈希函數在實際應用當中可以基本視作單向函數。

這樣一來,可以發現上述的幾種應用分別對應于哈希函數的幾點不同的性質,同時我們說,哈希函數還有一個很重要的作用是提供隨機性,雖然密碼學理論當中要求的完美的隨機數生成器目前也無法構造,但是哈希函數在實際當中同樣可以充當這個角色,這就為我們后文介紹的Fiat-Shamir啟發式的技巧提供了基礎。

Fiat-Shamir啟發式

事實上,Fiat-Shamir啟發式就是利用哈希函數來對前面生成的腳本進行哈希運算,從而得到一個值,用這個值來充當挑戰值。

新華網分析:區塊鏈如何帶來個人數據保護“革命”:新華網今晚發表文章《區塊鏈如何帶來個人數據保護“革命”》,文章表示大數據時代,個人的數據被認為是黃金般珍貴。個人數據泄漏令人擔憂,但絕大部分人不可能因為害怕數據被收集而切斷與互聯網的聯系,而現階段有責任保管個人信息的企業、學校、酒店、社交網站等往往擔責不力。專家們認為,區塊鏈技術作為一種帶有加密、信任、點對點、難篡改等特征的“中間件”,有望解決這個難題。

區塊鏈技術的出現令個人數據掌控權從互聯網公司轉移到用戶自己手中,使人人掌控自己的個人數據成為可能。通過它,用戶個人數據可以與個人數字身份證相關聯,用戶可以選擇數字身份證是匿名、化名或公開,還可以隨時隨地從任何設備訪問區塊鏈應用平臺,控制他們的互聯網個人數據。[2018/4/18]

因為將哈希函數H視作一個隨機函數,挑戰是均勻隨機的被選擇,獨立于證明者的公開信息和承諾的。安全分析認為Alice不能預測H的輸出,只能將其當作一個oracle。在這種情況下,Alice在不遵循協議的情況下做出正確響應的概率(特別是當她不知道必要的秘密時)與H的值域的大小成反比。

圖1:利用Fiat-ShamirHeuristic實現非交互式證明

韓國政府召開緊急會議 討論如何遏制加密貨幣投機:首爾12月13日電 韓國政府周三召集了相關部委的緊急會議,討論如何在當地投資者日益擔憂財務損失的情況下遏制加密貨幣投機。會議匯集了司法部,財政部,科學部和ICT部,金融服務委員會,韓國通信委員會,公平貿易委員會和國家稅務局的高級官員。比特幣和以太坊等加密貨幣近年來迅速普及。韓國是世界上最大的比特幣交易所之一,約有100萬人擁有最知名的數字貨幣。[2017/12/13]

非交互式FOAKS

在本節,我們具體展示Fiat-Shamir啟發式在FOAKS協議當中的應用,主要是用來產生Brakedown部分的挑戰,從而實現非交互式的FOAKS。

首先我們看到,在Brakedown生成證明的步驟當中,需要挑戰的步驟是“近似性檢驗”以及MerkleTree的證明部分。對于第一點原本的過程是證明者在這里需要驗證者產生的一個隨機向量,計算過程如下圖所示:

圖2:非交互證明FOAKS中的BrakedownChecks

現在我們使用哈希函數,讓證明者自己產生這個隨機向量。

令γ0?=H(C1?,?R,r0?,?r1?),對應的,在驗證者的驗證計算當中,也需要增加這個計算出γ0?的步驟。根據這樣的構造,可以發現,在生成承諾之前,證明者并不能提前預測挑戰值,于是不能提前根據挑戰值來對應的“作弊”,也就是對應的生成假的承諾值,同時,根據哈希函數輸出的隨機性,這個挑戰值也滿足隨機性。

對于第二點,令?=H(C1?,?R,r0?,?r1?,?c1?,?y1?,?cγ?0?,?yγ?0?)。

我們使用偽代碼給出改造后非交互式的Brakedown多項式承諾當中的證明和驗證函數,這也是FOAKS系統當中使用的函數。

functionPC.Commit(?):

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1?,C2?,C1?isak×nmatrix,C2?isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2?)

ComputeaMerkletreerootR=Merkle.Commit(),?andoutputRasthecommitment.

functionPC.Prover(?,X,R)

Theprovergeneratesarandomvectorγ0?∈Fkbycomputing:γ0=H(C1?,?R,r0?,?r1?)

Proximity:

Consistency:

Proversendsc1?,?y1?,?cγ?0?,?yγ?0?totheverifier.

Provercomputesavector?aschallenge,inwhich?=H(C1?,?R,r0?,?r1?,?c1?,?y1?,?cγ?0?,?yγ?0?)

foridx∈?do

ProversendsC1?andtheMerkletreeproofofRootidxforC2?underRtoverifier

functionPC.VERIFY_EVAL(ΠX,?X,?y=?(X),?R)

Proximity:?idx∈?,Cγ?0==<γ0?,C1?>andEc(yγ?0?)==Cγ?0?

Consistency:?idx∈?,C1?==<γ0?,C1?>andEc(y1?)==C1?

y==1?,y1?>

?idx∈?,Ec(C1?)?isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

結語

許多的零知識證明算法在設計之初都依賴證明者和驗證者雙方的交互,但是這種交互式證明協議不適合用在追求高效,網絡通訊開銷大的應用場景下,比如鏈上數據隱私保護和zkRollup等等。通過Fiat-Shamir啟發式,可以在不破壞協議安全性的條件下讓證明者本地生成隨機數“挑戰”,并且可以被證明者驗證。根據這種方法,FOAKS同樣實現了非交互式的證明,并應用在系統當中。

參考文獻

1.Fiat,Amos;Shamir,Adi(?1987)."HowToProveYourself:PracticalSolutionstoIdentificationandSignatureProblems".AdvancesinCryptology—CRYPTO'86.LectureNotesinComputerScience.SpringerBerlinHeidelberg.263:186?–?194.doi:?10.1007/3-540-47721-7?_?12.ISBN978-3-540-18047-0.

2.https://www.cnblogs.com/zhuowangy?2?k/p/12246575.html

Tags:PROCOMFOAVERRangers ProtocolCOMA價格FOA幣Sunder Goverance Token

酷幣
NFT:NFT 的未來是什么——2023 年市場展望_ETH

NFT,即不可替代代幣,近年來大受歡迎,2021年對市場來說是特別重要的一年。NFT是獨特的數字資產,可以在區塊鏈網絡上買賣和交易.

1900/1/1 0:00:00
Gate.io HODL & Earn: Lock Sommelier (SOMM) To Earn 150% APR

TheLock&EarnSOMMwillbelaunchedatthe"Lock&Earn"ofGate.ioHODL&Earnat2023-3-208:00UTC.

1900/1/1 0:00:00
WEB:不會被封的Web3 URL?一文了解剛獲批的ERC-4804_WEB3

本文來自Cointelegraph&ethereum.org,原文作者:FelixNGOdaily星球日報譯者|Moni3月初,首個以太坊Web訪問協議ERC-4804獲得了批準.

1900/1/1 0:00:00
DAPP:如何通過 MVRV 判斷加密牛市還是熊市?_apenft幣最新消息價格

MVRV比率是最受歡迎,最廣泛使用的鏈指標之一,但是,MVRV有很多功能都很少被用到。本文中,我們將探討如何賦能MVRV以找到極端周期,確定市場趨勢并獲得拋售的預警.

1900/1/1 0:00:00
KEEP:BitKeep NFT 市場已支持 Optimism_BIT

ForesightNews消息,多鏈錢包BitKeep宣布已將Optimism整合至其NFT市場,支持Optimism鏈上NFT掛單和交易.

1900/1/1 0:00:00
火必將于2023年3月17日18:00(GMT 8)開放GPT (CryptoGPT)交易

尊敬的用戶: 火必將于2023年3月17日18:00(GMT8)開放GPT(CryptoGPT)現貨交易(GPT/USDT)和網格交易(GPT/USDT).

1900/1/1 0:00:00
ads