ROT:密碼專欄 | 超強進階：PLONK VS Groth16（下）

前言

本篇是“PLONKVSGroth16”的下篇，在上篇中我們對PLONK作了簡要介紹，分析了PLONK和Groth16算法在「可信驗證」和「約束構建」上的異同。那么，接下來讓我們一起看看在后續的「證明生成」和「驗證階段」兩者將有怎樣的差異，以及整體上的性能區別。

證明生成

對于程序qeval,prover需要證明自己知道qeval(x)=35的解，即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我們已經介紹了PLONK的約束形式：門約束與線約束。繼續使用之前的例子，約束意味著零知識證明系統將這個問題約束成了一組格式固定的數學表達式，即問題描述等價于約束描述。而如果證明者真的知道這個問題的答案，將答案和計算中的中間參數代入約束表達式，這個組表達式必將是成立的。反之，如果該Prover提供的一組解無法使表達式成立，說明prover并不具備關于該問題解的知識。

密碼學博士高承實：量子計算機大規模應用將對非對稱密碼算法和哈希函數帶來致命性的影響:密碼學博士，計算機應用專業副教授高承實發表《量子計算機的應用會顛覆掉比特幣系統嗎？》專欄文章，文章表示，量子計算機從發展狀況來看，還處于極其早期階段，離真正實用還有相當遠的距離。如果量子計算機真正能夠大規模應用，將對密碼算法當中的非對稱密碼算法和哈希函數帶來致命性的影響。現在基于數學難解問題而生成的非對稱密碼算法RSA和ECC安全性將不復存在，哈希函數的抗碰撞性也將受到極大挑戰，除非盡可能增加哈希函數的輸出長度。目前的非對稱密碼，主要是ECDSA和哈希函數SHA256，是比特幣系統最核心的底層技術，確保了比特幣分配和支付的安全，在比特幣系統的多個環節得到了應用，包括生成錢包地址、對交易進行簽名和驗證、計算區塊內所有交易的默克爾數生成區塊以保證塊內數據難以被篡改、激勵礦工開展挖礦競賽以維護系統的自運行……如果ECDSA和SHA256兩種算法的安全性不復存在，那么整個比特幣系統的安全性也將不復存在。

當然我們也沒有必要那么悲觀。第一，量子計算機的真正使用還有相當遠的距離；第二，隨著量子計算以及量子計算機的發展，抗量子計算的密碼算法也會同步得到發展，比如格密碼。

真的到了那個時候，或者比特幣系統中的密碼模塊會替換為抗量子計算的密碼模塊，或者比特幣已經完成它的歷史使命，從這個世界上消亡。（財新）[2020/12/24 16:21:46]

這是最樸素的證明驗證思路，可以將它看作是“鎖”和“鑰匙的配對“：該問題約束的構建類似于“打造門鎖“，而針對該問題提供的一組解信息就是”一把開啟門鎖的鑰匙“。顯然，Prover可以舉著自己的解交給驗證者來驗證。可是這違背了我們的零知識原則：Verifier不應該獲取到Prover的隱私信息。

密碼安全技術被納入中國禁止出口技術目錄:商務部科技部公告2020年第38號關于調整發布《中國禁止出口限制出口技術目錄》的公告，在計算機服務業中新增“密碼安全技術（編號：186103X），控制要點：1.密碼芯片設計和實現技術（高速密碼算法、并行加密技術、密碼芯片的安全設計技術、片上密碼芯片（SOC）設計與實現技術、基于高速算法標準的高速芯片實現技術）2.量子密碼技術（量子密碼實現方法、量子密碼的傳輸技術、量子密碼網絡、量子密碼工程實現技術）”。根據《中華人民共和國技術進出口管理條例》，凡是涉及向境外轉移技術，無論是采用貿易還是投資或是其他方式，均要嚴格遵守《中華人民共和國技術進出口管理條例》的規定，其中限制類技術出口必須到省級商務主管部門申請技術出口許可，獲得批準后方可對外進行實質性談判，簽訂技術出口合同。（人民網）[2020/8/29]

那么有什么方法能在解鎖的同時保護隱私信息呢？

這里我們用到一個簡單的數學小技巧：減除，對此不太了解的讀者可查閱文章最后的前置知識。在前文《超強進階：PLONKVSGroth16》我們已經對從約束系統轉化到多項式進行了詳細的描述，在此我們不再贅述具體的轉化過程，但需要重復的一點是：根據生成時使用的點值對，生成的多項式在這些點處的取值將恒為0。PLONK同理，此處我們給出兩種算法的約束系統轉化為多項式后的形式。

聲音 | 劉昌用：世界和平發展將建立在密碼共識構建的基礎設施之上:北京大學經濟學博士、知密大學創始人劉昌用發微博稱，世界和平發展將建立在密碼共識構建的基礎設施之上。他表示，金本位的邏輯在于，黃金白銀能成為貨幣，是因為其有社會權威也不能決定和改變的稀缺性，和適合做貨幣的物理屬性。即使社會權威能夠暫時規定貨幣，但終會失控，還是要找不被特定社會權威控制的、更可靠的錨。而比特幣和比特幣現金這樣的密碼共識貨幣的重大意義在于通過分布式共識，脫離物理稀缺性，借助非對稱密碼技術和分布式共識確立了社會權威也不能控制的貨幣之錨。

就是要用最簡單粗暴的方式建立任何社會權威不能左右的共識，各種社會權威才不得不放下分歧，達成共識，在共識之錨基礎上去博弈。世界的和平和發展將建立在密碼共識構建的基礎設施之上。[2019/11/1]

Groth16:

聲音 | Dovey Wan：Coinbase 最大的效用是成為密碼貨幣世界里幣安的提款機:Primitive Ventures 聯合創始人 Dovey Wan 在推特上表示：隨著時間推移，Coinbase 最大的效用是成為密碼貨幣世界里幣安的提款機。當人們在 Coinbase 上把法幣轉成密碼貨幣后，迅速轉移到幣安。大部分交易其實都在幣安進行。盡管 Dovey Wan 稱這個觀點并不流行，但是很快獲得不少人跟進討論。幣安創始人趙長鵬跟帖表示，Coinbase 和幣安彼此有交集，但是事實上交集不大，兩家交易所都在努力推動行業發展，彼此互助成長。[2019/2/13]

PLONK:?我們設門約束多項式為D(X)，線約束多項式為L(X)，那么PLONK的整個約束多項式將被表示為：

可以看到，兩者都使用了減除的思路，也就是這里的h(X)和ZH(X)，其具體內容取決于構建約束多項式時取的點值。

研究表明：70％的加密貨幣交易所允許用戶創建密碼較弱的賬號:據Bitcoin News，數字安全公司Dashlane提供的年度加密貨幣交易所密碼能力排名顯示，超過70％的領先加密貨幣交易所允許用戶創建密碼較弱的賬戶。作者表示，由于不安全的密碼，使用戶暴露于資產失竊之中。目前該公司已經測試了35家交易所，每個交易所都經過了五項重要密碼和賬戶安全標準的測試。只有10個平臺符合全部五個標準，他們是Bitcoin.de，BitMEX，BTCC，Cobinhood，Coinbase，Cryptopia，Gemini，Huobi，itBit和Paxful。研究表明， 43％的平臺可以讓用戶創建少于8個字符的密碼。34％的平臺根本不需要字母和數字組合的密碼。測試人員可以使用簡單的數字組合（如“12345”）和甚至像“密碼”這樣的單詞來設置密碼帳戶。[2018/3/24]

證明與驗證

同樣在之前的文章中，我們可以看到Groth16的證明規模極小，只包含三個群元素A,B,C。然而，這樣優雅的證明實現依賴于它的非通用可信設置，這也是Groth16的一大痛點。在Groth16中，證明方提供A，B，C，驗證方基于可信設置提供的參數，構建一個配對驗證等式。在驗證過程中包含了三次配對操作，也就是對驗證性能影響較大的耗時運算。Groth16的具體證明驗證如下所示。

Groth16證明：

Groth16驗證：

相比之下，PLONK的證明驗證將會復雜得多，這也是使用通用可信設置付出的代價。從驗證方角度看，由于可信設置參數缺少了包含問題具體內容，從而無法幫助其構建一些制約證明多項式的值。因此，如何固定住證明多項式的內容成為一個難題。PLONK使用的一個思路是引入Kate承諾。

結合前述的約束多項式，我們可以對t(x)中出現的每一項都構建一個承諾，以實現驗證方的驗證。PLONK證明的具體內容如下，包含了兩個點處的驗證：Wz(X)為多個多項式的同點承諾，Wzw(X)則為另一個點處的對z(X)的承諾。

最后，PLONK的驗證在原文中也被歸納為一個簡潔的公式，實際上就是將上面提到的兩個點處的承諾簡單相加，具體等式如下所示：

以上就是PLONK和Groth16算法內容的具體對比結果，講了這么多冗長的公式變換，兩者在性能層面的差距究竟如何呢？

性能比較

在這里我們給出的是PLONK論文中的結論。Table1是在證明階段的一個性能比較，Table2則是驗證階段的性能。可以看出，在驗證上，兩者的差距不大，Groth16比PLONK多了一次配對運算；而在證明方面我們遺憾地發現，Groth16不論在證明的工作量還是證明長度上仍然保持著最優的性能。但需要指出的是PLONK，尤其當它工作在fast模式時，所使用的SRS長度是所有算法中最短的。

▲驗證階段性能比較

▲證明階段性能比較

前置知識

多項式減除

顧名思義，化減為除：若我們需要證明一個多項式f(x)在點a的取值為b，也就是證明f(a)-b=0；那么我們可以將其轉換為證明多項式f(x)-b可以整除(x-a)。其數學表示：

設多項式f(x)且f(a)=b，則存在一個多項式g(x)，使得：f(x)-b=g(x)(x-a)

kate承諾Kate承諾是由Kate，Zaverucha和Goldberg在2010年提出的一種多項式承諾方案。Kate承諾有多種形式，本文僅介紹PLONK中使用的常用形式，詳細可參考其paper中的相應內容。其常用形式可以概括為對多項式的隱藏和部分打開驗證。針對多項式f(x)，Kate承諾的具體步驟如下：

1）構造f(x)在點a處的承諾C

C：f(a)

2）選取點z，執行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3）給定f(z),C和Wz，驗證Kate承諾

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部內容，如有任何疑問，歡迎添加小助手桔子加入技術交流群，在這里，你想知道的都會得到解答～

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

Tags：PLOLONGROROTPLOCK幣PYLON價格Groovy FinanceANDROTTWEILER幣

火幣網下載官方app