原文標題:一文了解最熱門zkSNARK方案:零知識證明引論
在之前的文章中,我們介紹了零知識證明的基礎概念以及構造zkSNARK的基本思想和方法。從本文開始,我們將逐一介紹目前最熱門的zkSNARK方案。文章旨在讓讀者理解這些方案的基本原理。為了方便敘述并容易理解,在敘述方案時,我們會做一些簡化處理,重在傳達方案的核心思想。
本文介紹的是Groth16方案。Groth16方案,顧名思義,就是Groth在2016年發表的一篇論文中提出的方案。目前為止,Groth16是在實踐中使用最廣泛的zkSNARK(沒有之一)。特別一提的,Zcash目前使用的zkSNARK方案就是Groth16。從性能上,Groth16的Verifier性能是所有zkSNARK中最快的,其證明字符串也是最短的。
而Groth16的最大缺點就是它需要對每個電路都執行一次可信初始化。
在介紹Groth16之前,簡單回顧一下zkSNARK所要解決的問題。我們稱這個問題為「計算驗證問題」。
計算驗證問題
任何計算都可以描述為一個算術電路。一個算術電路可以對數字進行算術運算。電路由加法門、乘法門以及一些常數門組成,如下圖所示:
基于以太坊的文物保護平臺Salsal將在六個月內推出:金色財經報道,由倫敦大學學院考古系教授Mark Altaweel牽頭的學者正在開發基于以太坊的區塊鏈工具Salsal,以幫助博物館和文化機構組織和跟蹤有價值的歷史藏品。Altaweel 表示,將歷史記錄在區塊鏈上將是“博物館非殖民化”和保護文物的第一步,專業知識是 Salsal 實現廣泛采用所需的關鍵,博物館和收藏家將他們的歷史文物收藏提交到Salsal區塊鏈。然后,考古學家等專家將檢查每件文物,以確定其狀況、出處以及是否合法獲得。
Altaweel表示,Salsal 仍處于測試版本,但總體目標是在六個月內在以太坊上推出。[2023/8/5 16:20:19]
這個例子中的電路包含了15個門。這個電路所描述的計算過程需要輸入五個數字x1到x5,輸出四個數字。
給定一組輸入的數字,需要把這個電路中的每個門都計算一遍,才能計算出這個電路的輸出。在這個例子中,如果輸入是(1,2,3,4,5),則電路的輸出為(-27,14,80,171),如下圖所示:
計算驗證問題是指,如果一個驗證者——不妨叫做Verifier——只拿到了電路的一組輸入和輸出,如這個例子中的(1,2,3,4,5)和(-27,14,80,171),它該如何驗證這是一對合法的輸入和輸出呢?最簡單粗暴的方法就是把這個輸入重新扔進電路算一遍。如果電路很大的話,這個驗證方法最大的缺點就是效率問題。
加密貨幣總市值為1.193萬億美元:金色財經報道,據CoinGecko數據顯示,當前加密貨幣市值為1.193萬億美元,24小時交易量為354.79億美元,當前比特幣市值為528391979,731美元,以太坊市值為229112913,574美元。[2023/6/3 11:55:50]
有些場景下,效率還不是唯一的問題。例如,輸入可能包含Verifier不能知道的秘密信息。假設上例中的(3,4,5)是秘密輸入,Verifier只能看到(1,2),如下圖所示。此時Verifier要驗證的問題就變成了「是否存在(?,?,?)使得電路在輸入(1,2,?,?,?)的時候的輸出是(-27,14,80,171)」。這個場景下,即使是簡單粗暴的重新計算也不再可行。
一句話概括計算驗證問題:Verifier能否在不知道秘密輸入的情況下,高效地驗證計算結果?
從電路到R1CS問題
一個zkSNARK就是對上述問題的一個解決方案。使用zkSNARK,一個證明者,叫做Prover,可以為計算過程生成一個簡短的證明字符串。Verifier讀取這個字符串,就可以判斷給定的公開輸入和輸出是否合法。
Rodion Longa:幣安賬戶受到3Commas API漏洞影響損失45萬BUSD:金色財經報道,據Worldpokerdeals門戶網站創始人Rodion Longa的一份聲明,自己幣安的賬戶已被攻擊者通過3Commas API漏洞竊取。在幣安上損失450,000美元 (BUSD) 穩定幣。Longa稱,他在過去11個月內沒有使用過3Commas交易機器人API,因此不存在網絡釣魚攻擊的可能性。甚至忘記了在他的Binance賬戶上建立API連接這一事實。 幾乎同時,一位名為@coinmamba的推特匿名交易員報告了類似的問題。這位交易員表示,他只將他的 API 連接到3Commas服務,而忘記了這一事實。他立即將此問題報告給幣安(BNB)團隊并要求賠償。[2022/12/11 21:36:48]
Groth16是眾多zkSNARK構造方案中的一種。接下來,我們介紹Groth16是怎么解決計算驗證問題的。
首先,我們重新審視一下Verifier的任務:我們只知道電路的前兩個輸入是(1,2),我們的目標是要判斷是否存在一組合法的秘密輸入,使得電路的輸出是(-27,14,80,171)。如果我們換個角度看這個問題,它其實可以描述為:給一個電路,上面有些空格可以填數字,有些空格已經填上了數字,請問是否存在一種填法,能夠同時滿足每個門的邏輯?
Coinbase因涉嫌安全漏洞而再次面臨集體訴訟:金色財經報道,在美國佐治亞州法院提起的集體訴訟稱,加密貨幣交易所未能保護用戶賬戶免受盜竊和黑客攻擊,并要求賠償超過 500 萬美元。向美國佐治亞州北區地方法院提起的訴訟還指控該公司將用戶永久或長期鎖定在其賬戶之外,從而對用戶造成財務損失,以及通過上市證券違反聯邦法律在其交易平臺上。Coinbase 去年成為第一家在美國上市的加密貨幣交易所,目前正面臨來自不滿投資者的一系列訴訟。(Coindesk)[2022/8/23 12:43:13]
從這個新的角度,計算驗證問題被轉換成了一個類似于數獨那樣的填數字游戲:有一些空格,一部分已經填上,請你填上另外一些空格,滿足一些限制條件。
然后,我們為每一個要滿足的條件列一個方程。這里,每個要滿足的條件其實就是一個門的邏輯:加法門的輸出等于兩個輸入之和,乘法門的輸出等于兩個輸入之積。于是,原來的填空游戲就變成了一個多元方程組。上述例子轉化得到的方程組如下:
最后,我們對這個方程做一些整理,使得它能夠寫成矩陣和向量的形式,更加整齊和簡潔。我們把每個方程都寫成*=*x*的模式。盡管并不是所有方程中都有乘法,但我們可以給沒有乘法的式子乘上一個。于是方程組變成了下面這個樣子:
以太坊客戶端Geth發布首個主網合并版本v1.10.22:8月22日消息,以太坊客戶端Geth發布首個主網合并版本v1.10.22,該版本配置了主網的終端總難度(TTD)為 58_750_000_000_000_000_000_000,預計將于2022年9月15日達到。Goerli測試網現已內部配置為成功合并。[2022/8/22 12:41:17]
把所有方程合到一起,就得到了原方程組的矩陣表示
我們把最終得到的這個矩陣向量方程叫做一個Rank-1ConstraintSystem(R1CS)。
總結一下,這一節中我們把計算驗證問題轉化成了數學問題R1CS。
在計算驗證問題中,Verifier知道一個電路,拿到公開部分的輸入,以及電路的輸出,判斷它們是否合法。
從R1CS問題到QAP問題
在零知識證明領域,R1CS基本上就是電路的代名詞。許多zkSNARK把R1CS問題作為目標問題。不過,大部分zkSNARK不會直接對R1CS下手,而是把R1CS問題繼續轉化,得到一個等價的多項式問題,再對這個多項式問題設計證明方案。Groth16也不例外。不同的zkSNARK選擇的多項式問題各不相同,Groth16選擇的是一個叫做QuadraticArithmeticProgramming(QAP)的問題。
這一節中介紹一下怎樣把R1CS問題轉化為等價的QAP問題。
然后,我們把這些列向量換成多項式,使得多項式方程和原先的向量方程等價。
把向量轉化成多項式的一種方式是使用多項式插值。
多項式插值
QAP問題
現在,我們直接把R1CS矩陣中的列向量換成它們的多項式插值,得到的結果如下圖所示。
我們用一個表格總結一下上文中提到的所有問題。
為什么要越搞越復雜,把電路問題轉化為QAP問題呢?一個簡單的回答:就是為了引入多項式!多項式是一個強大的工具。多項式的作用,可以理解為一個「杠桿」,或者叫「誤差放大器」。如果我們要檢查兩個長度為10000的向量是否相等,一定需要檢查10000次,哪怕檢查過了9999個點都是一樣的,也不能保證最后一點是相同的。而兩個10000次的多項式,哪怕非常接近,比如說它們的系數有9999個都相同,或者它們在這些點上的取值都相等,但只要有一個點不同,這兩個多項式就截然不同。這意味著,如果在一個很大的范圍內,例如到當中均勻隨機選一個點,兩個不同的多項式在這個點上相等的機會只有。檢查兩個多項式是否相等,比檢查同樣規模的向量要快得多,這幾乎是所有zkSNARK提高Verifier效率的根本原理。
為QAP問題構造zkSNARK
QAP問題就是Groth16要用來構造zkSNARK的最終問題了。不過,在解釋Groth16的構造細節之前,我們先準備一些工具。
準備工具
我們假設讀者對橢圓曲線群的基本特性和應用有所了解,并采用加法群的記號來描述橢圓曲線群中的點和運算。橢圓曲線群中的元素可以用來表示多項式,并限制Prover必須使用給定的多項式來進行線性組合。這正是QAP所需要用到的特性。
我們看一下橢圓曲線是怎么用來表示多項式的。
KoE假設
然而,上述直覺并不能從離散對數假設嚴格地證明而來。所以,只能把它作為一個新的安全性假設來用。這個假設就叫做Knowledge-of-Exponent(KoE)假設。
KoE假設怎樣應用到QAP問題上呢?那就是,KoE允許我們使用橢圓曲線點來表示多項式,并且迫使Prover只能從已知的多項式線性組合產生新的多項式。
不過,到目前為止,我們忽略了兩個關鍵問題:
關于第二個問題,一個解決方法就是雙線性配對。
雙線性配對
現在,我們已經準備好了工具:KoE假設和雙線性配對。接下來,我們就介紹Groth16是如何為QAP問題構造zkSNARK的。
Groth16方案
Setup
Prove
Verify
解析
我們簡單解釋一下上述構造為什么能夠工作。至于它為什么是安全的,請感興趣的讀者參閱原文。
當然,Verifier的驗證式中還包含了許多其他項,但在Groth的精心設計下,它們都消掉了。感興趣的可以自行驗證。
小結
本文中,我們解釋了Groth16這個zkSNARK方案的構造原理。我們從算術電路開始,介紹了怎樣將計算驗證問題轉化為R1CS問題以及QAP問題。然后我們解釋了怎樣使用Groth16方案來證明知道一個QAP問題的解。Groth16方案使用了KoE假設以及雙線性配對。它的缺點是需要可信第三方進行初始化,而且初始化過程需要對每個電路進行一次。與此同時,Groth16享有最高效的Verifier算法以及最短的證明字符串,使得Groth16成為至今仍然應用最廣的zkSNARK方案。
參考資料
JenGroth.OntheSizeofPairing-basedNon-interactiveArgument.2016.
撰文:Cyte
Tags:ROTGROARKZKSSmart Content ProtocolTrident GroupBaby Shark Tankzks幣創始人
親愛的庫幣用戶, 為了感謝廣大用戶一直以來對庫幣的支持與喜愛,庫幣社群春節準備了大波新春福利哦!加入社群,開開心心過新年。海量年貨禮品、現金紅包、不定期空投、限量周邊、購物卡等福利你來拿.
1900/1/1 0:00:00本周技術周刊包含比特幣、以太坊、波卡、COSMOS、Filecoin五個網絡的技術類新聞。 比特幣網絡 比特幣在區塊高度666,833出現陳腐區塊,并出現0.0006BTC雙花據BitMEXRe.
1900/1/1 0:00:00CYC是旋風協議的原生通證,有機的激勵匿名提供者,流動性提供者和用戶。CYC通證沒有投資方、沒有團隊預挖,而是全部分配給為旋風協議做出貢獻的社區和用戶.
1900/1/1 0:00:00鏈聞消息,Bitcoin.org負責人Cobra發推呼吁加密領域內公司共同捍衛比特幣白皮書,并表示永遠不會刪除白皮書.
1900/1/1 0:00:00金色財經訊,1月25日17時,火幣全球站開放ZEN?(Horizen)的USDT交易對(ZEN/USDT),開盤價格24.235USDT,數分鐘后即上漲至44USDT,漲幅達81.56%.
1900/1/1 0:00:00出行無需核酸證明,盡量減少前往境內疫情級別中高風險地區所在省市出行活動,如確有特殊原因前往中高風險地區的人員,要在出行前向所在社區(村委會)登記、向所在單位報備,返回后第一時間主動報告.
1900/1/1 0:00:00