SPE:技術干貨 | 深入理解Zcash的零知識證明體系_BOpenSea

前言

主要分享ZcashSapling版本的協議細節。多多指教^_^！！！

Zcash

迄今為止，Zcash總共經歷了三個版本的迭代，第四次版本升級時間預計在12.11.2019，據官方介紹，此次更新主要是縮短了出塊的時間，詳細內容見

Zcash網絡信息。

作為零知識證明的成功應用項目，讓我們帶著以下幾個問題去研究Zcash的機制：

1.Zcash是如何隱藏發送方的？2.Zcash是如何隱藏接收方的？3.Zcash是如何隱藏交易金額的？

**建議：閱讀本文前，您最好已經了解了：1.note的概念；2.零知識證明的基本概念；

Sapling

本篇主要分享ZcashSapling版本協議的主要細節，相對于Sprout版本，還是做了很多的修改和優化，在此不做詳細的對比分析。回歸到大方向，無論是Sapling版本，還是Sprout版本，交易的整體流程都可以簡要概括為以下三個步驟：1.交易者發起交易；2.交易者生成zk-proof，和signature，?驗證者驗證；3.接收者接收交易；

接下來，我們將盡量仔細挖掘每一個步驟，去探索一下，它是如何實現這三點的。

Transaction

在這里，我們不詳細介紹交易發起者是如何發起一起交易的，我們直接介紹Sapling中的交易結構，如圖所示：

????實際上，Sapling的交易結構內容不止這些，在這只是羅列出Sapling特有的一些字段及相應的解釋，完整的交易結構在協議說明書的7.1章節有詳細介紹。

在Sapling中，交易由SpendTransfer和OutputTransfer組成，分別對應隱匿的輸入和隱匿的輸出，而spendDescription和outputDescription是用來分別描述SpendTransfer和OutputTransfer的數據字段，它們被各自編碼表示成vShieldSpend和vShieldOutput字段儲存在交易結構中。接下來，重點介紹vShieldSpend、vShieldOutput、valueBlance、bindingSig四個字段表示的內容。

《華爾街日報》母公司News Corp擬嘗試區塊鏈技術評估AI內容訓練價值:金色財經報道，美聯社宣布與OpenAI簽訂合作協議，授權OpenAI使用部分美聯社的文本檔案，同時美聯社也將利用OpenAI的技術和產品專業知識，據悉美聯社是第一家與主要人工智能平臺達成收費協議的主要媒體。另有知情人士透露，《華爾街日報》母公司News Corp已開始與內外部顧問合作，評估自家內容對AI訓練的價值，評估結果或將影響到未來與谷歌、微軟等公司的談判，News Corp旗下還包括《倫敦時報》與《紐約郵報》。此外News Corp已在嘗試利用區塊鏈技術保護自己的知識產權。其將通過區塊鏈技術對單個內容進行標記，以檢測AI公司是否在未經允許的情況下，使用News Corp的內容，并可能計劃收入許可費用。[2023/7/30 16:07:12]

????1.vShieldSpend

一個vShiledSpend對應著一個SpendDescription，一個可靠的SpendDescription表示一個note的有效花費，它包含的內容如下圖所示：

????cv：對Inpunote的value的承諾，所謂承諾，其實就是對v值的一種隱藏，這種隱藏是單向的，不可逆的，也不可偽造；anchor：cm默克爾樹的根，用于驗證inputnote的存在性及有效性；nullifier：note的唯一性標識，用來防止同一note被重復花費;rk：用于驗證消費授權簽名；zkproof：零知識證據，在不透露相應隱私的情況下，證明note的有效性、花費note的權力、隱私地址的有效性spendAuthSig：用私鑰對spendDescription簽名，對note的花費進行授權

??2.vShieldOutput

同理，一個vShiledOutput對應一個OutputDescription，一個可靠的OutputDescription表示產生的新note的有效性，它包含的內容如下圖所示：

Alavanche創始人暗諷Polygon核心技術依賴收購，后者回應發展Web3為共同追求:7月21日消息，Alavanche創始人EminGün Sirer發推稱，我非常自豪地宣布，Avalanche任何核心技術不會來自收購。我們的發展都是由內部人才打造的。對此Polygon聯創Sandeep Nailwal回應稱，嫉妒是最好的恭維形式之一。Polygon將以任何可能的方式繼續努力擴展以太坊。我們知道這對于Alt-L1s（L2s的生存威脅）來說會很痛苦，但最終Web3會贏，這應該也是我們所有人的目的。

此前消息，Polygon已推出Polygon zkEVM，并即將上線測試網。據悉，zkEVM由Polygon Hermez等開發，此前21年8月，Polygon以2.5億美元收購HermezNetwork，更名為Polygon Hermez納入Polygon生態系統。[2022/7/21 2:28:02]

????cv：對outputnote的value的承諾，亦滿足單向性，不可偽造性；cmu：對outputnote的承諾，承諾的數學形式是曲線上的一個點，cmu為點的u坐標；ephemeralKey：臨時公鑰，用于計算解密密鑰encCiphertext：noteplaint的密文，noteplaint是note的具體內容；outCiphertext：用來計算共享密鑰的信息密文，可用來恢復noteplaint信息zkproof：零知識證據，在不透露任何隱私的情況下，證明新生成Note的有效性

????3.valueBlance

valueBalance表示此transparentvaluepool的變化量，由SpendTransfer的v總和減去OutputTransferd的v的總和得出。當valueBalance為正數時，表示從Saplingvaluepool轉移valueBalance至transparentvaluepool，如果為負數，則執行相反的操作。valueBalance將在bindingSig中，用于驗證交易的balance屬性。

????4.bindingSig

在Sapling中，bingingSig發揮兩個作用。第一，保證了交易的balance屬性；第二，利用計算輸入和輸出notecv的隨機數rcv，來生成簽名私鑰，防止outputDescription被攻擊者進行重放攻擊

云南2020年將加快布局區塊鏈技術云平臺:云南省第十三屆人民代表大會第三次會議政府工作報告中有16個2020年關鍵字，其中包括“數”，以更大力度推進“數字云南”建設。加快布局5G網絡、數據中心、區塊鏈技術云平臺、人工智能、工業互聯網、物聯網等新基建。制定財稅政策，建設普惠性服務平臺，營造數字化生態。（云南經濟日報）[2020/5/13]

Zk-proofandSignature

在Sapling中，交易者總共要生成兩個zkproof(spendzkproof&outputzkproof)和兩個簽名(spendAuthSig&bindingSig)。下面逐個介紹。

????1.spendzk-proof

spendzkproof主要是實現了在不暴露任何隱私信息的場景下，去證明txsender有權力去花費一些note，并且這些note都是有效的。輸入分為兩個部分，一個是primaryinput，一個是Auxiliaryinput。primaryinput是公開的輸入信息，Auxiliaryinput是隱私的輸入信息，只有txsender知道。具體內容如下圖所示：

根據上圖可知，spendzkproof總共證明了以下幾點：Notecommitmentintegrity：inputnode的承諾的完整性，證明cm確實根據v，rcm，gd，pkd計算出來的；Merklepathvalidity：默克爾樹驗證路徑有效性，證明cm是存在默克爾樹上的，是一個有效的cm；Valuecommitmentintegruty：inputnotev的承諾完整性，證明cv確實根據rcv，v計算出來的；Smallorderchecks：證明私有參數，gd和ak是合法的；Nullifierintegrity：Note的唯一標識，證明nf確實根據nsk，cm，pos計算出來的；Spendauthority：Note的花費權力，證明擁有花費note所需的私有參數；Diversifiedaddressintegrity：一次性地址的計算完整性。若以上等式均能滿足，則說明txsender有權力花費對應的Note，因為等式4，6，7成立；其花費的note是有效性，因1，2，3，5成立。

動態 | 匯金股份：尚不確定公司目前研發的區塊鏈技術能否應用于數字貨幣:匯金股份（300368.SZ）近日官方發表聲明稱，2018年公司年報披露的《基于區塊鏈的貨幣交接系統的研究及開發 》項目主要是：貨幣（人民幣）的實物與匹配冠字號的同步封裝并按照要求上傳三方開發的區塊鏈的貨幣交接系統；項目最終以二維碼（貨幣封裝標記）及特定FSN（人行冠字號封裝標準）文件方式完成貨幣及封裝信息的同步交接，該項目目前應用功能為現鈔封裝形成的實物流與冠字號信息流匹配，該技術或其衍生升級技術未來是否能應用于數字化貨幣尚不確定。公司將密切關注數字貨幣相關技術的發展，以及相關產業和政策的落地和實施，積極把握數字貨幣帶來的發展機遇。（新浪財經）[2019/10/16]

????2.outputzkproof

outputzkproof主要是實現了在不暴露任何隱私信息的情況下，去使得validator相信txsender所產生的新note是有效的。輸入仍分為兩個部分，一個是primaryinput，一個是Auxiliaryinput。primaryinput是公開的輸入信息，Auxiliaryinput是隱私的輸入信息，只有txsender知道。具體內容如下圖所示：

根據上圖可以看出，outputzkproof總共證明了一下幾點:Notecommitmentintegrity：outputnode的承諾的完整性，證明cm確實根據v，rcm，gd，pkd計算出來的；Valuecommitmentintegruty：inputnotev的承諾完整性，證明cv確實根據rcv，v計算出來的；Smallorderchecks：證明私有參數，gd是合法的；Ephemeralpublickeyintegrity：臨時公鑰的計算完整性。若以上等式均滿足，則說txsender產生的新note是有效的，因為等式1，2，3均成立；等式4成立則可以保證txreceiver可以根據自己的ivk密鑰和epk去解析加密后的np，并保存到本地的集合當中。

????3.spendAuthSig

聲音 | 伍前紅：區塊鏈在技術上還有很長的路要走:據國家網信辦主管雜志《網絡傳播》消息，北京航空航天大學電子信息工程學院教授伍前紅發文表示，在技術層面，區塊鏈綜合了計算機技術、密碼學技術和經濟學尤其是博弈論方面的技術。很少有一種信息系統像區塊鏈一樣需要耦合如此多學科的技術。一個參數的不當設置、一行實現代碼的漏洞，輕則導致區塊鏈系統分叉、價值大幅度縮水；重則導致整個系統崩潰、價值歸零。所以區塊鏈在技術上還有很長的路要走。[2018/11/18]

關于spendAuthSig的意義，可在兩種場景下，進行描述。第一：txsender自己產生zkproof，然后對spendDescription進行簽名。這時，如果存在一個攻擊者，想對spendDescription進行重放攻擊，則其需要重新簽名，則rk會被替換，那么驗證者在驗證spendzkproof時，就會驗證失敗；如果攻擊者不替換rk，那么spendAuthSig的驗簽就會失敗，因此spendAuthSig的存在，有效規避spendDescription的重放攻擊；第二：txsender調用第三方產生zkproof，然后自己對spendDescription進行簽名，這是Sapling版本允許的，為了讓內存和計算能力受限的一些錢包也能支持隱私交易，即使這樣損失了隱私性，因為需要把auxiliaryinput全部發送給第三方。因此，在這種情況下，為了不讓第三方惡意產生有效的zkproof，txsender需要對spendDescription進行簽名，需要注意的是，txsender簽名用的是ask，zkproof中spendAuthority的證明用的是ak，因此第三方無法產生有效的簽名，有效規避spendDescription的重放攻擊。spendAuthSig的簽名流程如下圖所示：

????4.bindingSig

如前面所說，bindingSig主要實現了兩個功能。第一：在不暴露spendTransfer和outputTransfer的v值的情況下，保證了transactionbalance；第二：防止了outputDescription被攻擊者重放，主要是利用spendDescription和outputDescription對應的用于計算cv的隨機數rcv來產生簽名私鑰bsk，這使得攻擊者無法作惡，因此簽名驗證公鑰是利用spendDescription和outputDescription對應的cv來生成的，攻擊者無法改變cv，否則zkproof會驗證失敗。bindingSig的簽名驗簽流程如下圖所示：

ReceiveTransation

txReceiver接收交易的一般步驟為：接收者遍歷每筆交易的outputDes，用自己的ivk和outputDes里的epk嘗試解密每一個Cenc，如果返回成功，則將接收到的note添加至本地的receiveSets。那么什么是Cenc呢？用ivk和epk如何去解密Cenc?

????1.什么是Cenc？

Cenc是encCiphertext，是noteplaint經過對稱密鑰加密后的密文信息，noteplaint是指交易新生成的note的內容，這些內容都是私密的。np的組成及Cenc的加密過程如下圖所示：

相關字段解釋如下DiverfiedHash：一次性參數生成器，輸入d，輸出gd，每次調用都不一樣；esk、epk：一次性私鑰、公鑰，滿足epk=esk*gd；pkd：一次性傳輸地址；np：noteplaint{memo、rcm、v、d}=>note信息{特殊字段，由交易發送者和接收者協商一致使用、生成cm的隨機數、note的面額、diversifier}；KA.DerivePublic：計算公鑰；KA.Agree：計算共享密鑰；KDF：密鑰獲取函數，得到最終的加密密鑰Kenc；Sym.Encrypt：一次性對稱加密函數；其中Kenc為一次性對稱加密密鑰，Penc為編碼后的Cenc。從交易結構里可以看出，Kenc并沒有直接的當作明文進行傳輸，那么，交易接收者是如何獲取Kenc，對Cenc進行加密的呢？

2.用ivk和epk如何去解密Cenc?

首先，讓我們關注兩個等式：pkd=ivk*gdesk*gd=epk在加密的過程中，KA.Agree的輸入參數為pkd和esk，由pkd*esk=ivk*gd*esk=ivk*epk，因此在解密的過程中，如果能輸入ivk和epk，那么由KA.Agree(pkd，esk)==KA.Agree(ivk，epk)。理解了這一點，下面具體看一下Cenc的解密過程，如下圖所示：

相關字段解釋如下：

NoteCommit：cm計算函數，原始輸入為np的數據；cm：note的承諾；Extractor：抽取器，返回cm的u坐標，cm形式(u，v)；若返回的cmu與outputDes里的一致，則說明證明者有計算cm的私有數據；

總結

1.Sapling中spendDescrption部分關于spendAuthSig的理解。

a.目的：證明某個人對于inputnote具有花費的權力，即擁有spendKey

b.疑問：在spendDes的zkproof中，證明花費權力如下：

spendauthority:rk=spendAuthSig.RandomizePublic(a,ak)

由于a、ak都是Auxiliaryinput，是私有數據。且ak=spendAuthSig.DerivePublic(ask)，ask也是私有數據，因此若公式成立，意味著此人有相應花費權力。那spendAuthSig存在的意義是啥？

c.解答：在sapling版本，考慮到一些計算能力和內存空間受限的錢包，不具備生成proof的能力，因此可能需要第三方代理生成，此時，需要把ak、nsk等生成證明需要的私有數據公開給第三方，這樣就會損失隱私性，在這種情況下，為了保證第三方不能隨意生成一個有效的zkproof，交易發起者需要對整個spendDes用私鑰進行簽名。一個需要注意的點是：生成zkproof需要ak，不需要ask，ask是在簽名時使用。因此第三方無法生成一個有效的簽名。

2.為何由sprout的joinsplittransfer演變成sapling的spendtransfer&outputtransfer。

a.生成proof的大小變小了，joinsplit>spend+output

b.balance證明不在zkproof中實現，減少了電路的復雜性，可改善生成和驗證性能

3.spend和outputproof均為驗證balance屬性，怎么保證整體value平衡。

使用了pedersonvaluecommitment方法，它具有同態加法屬性，即在不暴露v值的情況下，驗證：

??∑vold-∑vold=vbalance

????4.Sapling接收者如何接收note。

接收者遍歷每筆交易的outputDes，用ivk和outputDes里的epk嘗試解密每一個Cenc，如果成功，則計算note并添加至receiveSets

5.BindingSig。

關于這個簽名的實現，您可參考協議說明文檔4.12章節，密鑰對不是重新生成的，而是基于cv和rcv的生成關系，實現簽名驗簽過程

6.如何隱藏交易發送者？

每筆交易的驗證公鑰都是一次性臨時公鑰，因此礦工不知道交易發起者。

7.如何隱藏交易接收者？

交易結構中不存在交易接收者的地址信息，用交易接收者的隱私地址去生成對稱密鑰，生成Cenc，交易接收者用問題4的方法接收交易。且同一交易接收者暴露給不同交易發起者的地址是不同的，為了防止交易發起者之間串通作惡。

8.如何隱藏v值？

利用pedersonvaluecommitment進行同態隱藏。

以上是個人理解，如果錯誤，還希望各位讀者批評指正。。多謝^_^。最后附上一張整體的結構圖，希望能幫助大家理解。

圖片超過2M，有需要的可以看資料私信我。

附錄

1.ZCASH官方協議說明書https://github.com/zcash/zips/blob/master/protocol/protocol.pdf

Tags：ENDPENSPEPENDALEND價格BOpenSeaSPEEDpendle幣最新消息

USDC