區塊鏈:技術干貨 | 理解零知識證明算法之Bulletproofs：Range Proof I

前言

Bulletproofs，又一個有意思的零知識證明算法，相信讀者已經很熟悉它了。和zk-snark相比，它不需要可信設置；和zk-stark算法相比，它具有較小的proofsize。根據論文，它有兩個方面的應用：1.用于rangeproof；2.用于一般算術電路的零知識證明。下面，讓我們先看一下Bulletproofs是如何高效的實現第一點。

Rangeproof

1.?預備知識

aL：表示向量{a1,a2……an}

2n：表示向量{20,21…2n-1}

<a,b>：表示向量內積∑ai*bi，結果是一個值

aob：向量對應位相乘，{a1*b1……an*bn}，結果是一個向量

2.?證明

Alice想要證明

v?

=>則，需要證明一個relation得成立，如下所示：

{：V=grhv^v?}

public-x??????????witness-wrelation-R

即，對于公開信息x，Alice有隱私信息w，使得關系R成立。

令aL為金額v的在范圍內的二進制形式，則aL={a1,a2……an}?{0,1}n，且滿足<aL,2n>=v。因此，證明者需要證明以下幾個等式相等：

鏈上ChainUP榮獲“2020星勢力最具技術實力區塊鏈公司”:據官方消息，10月25日，在2020區塊鏈年度盛典暨第二屆博鏈財經“星勢力”頒獎典禮上，鏈上ChainUP榮獲“最具技術實力區塊鏈公司”。

在2020年，鏈上ChainUP陸續推出了合約體驗金、混合合約、合約跟單、合約流動性、流動性挖礦、自定義杠桿倍數ETF等功能，同時緊跟行業熱點，第一時間上線DeFi、波卡等熱門幣種交易區。近期，鏈上ChainUP推出了一條獨立的產品線：鏈上ChainUP WaaS聯盟，依托集團3年時間所服務的300多家交易所經驗，將底層資產托管和錢包封裝成一套完整的服務，包含資產托管、節點服務、主鏈幣種開發、熱門幣種一鍵接入、共管錢包、借貸理財等多種功能服務，目前，已有超過500家企業加入ChainUP WaaS聯盟。[2020/10/26]

V=grhv????(1)

<aL,2n>=v???(2)

aLoaR=0n??(3)

aR=aL-1n???(4)

等式(1)確保了承諾V和金額v的綁定關系，等式(2)確保了v的范圍，等式(3)(4)確保了a

L元素只屬于{0,1}。等式(2)/(3)/(4)總共包含了2n+1個約束，其中公式(2)1個，公式(3)(4)各n個。接下來，為了效率，我們需要把2n+1個約束轉換成1個約束。

日本財務大臣麻生太郎：區塊鏈是一種可以應對傳染病風險的技術:日本財務大臣麻生太郎表示，新冠狀病的影響尚未減弱，區塊鏈技術可以跟蹤到個人同時保護個人的隱私，是可以增強病預防和抵御未來風險的能力。區塊鏈用例不僅限于在金融場景中使用數字資產，它在數字身份和貿易金融等廣泛領域中也發揮著重要作用。（cointelegraph）[2020/8/24]

3.?2n+1個約束轉換成1個約束

=>預備：從Zp中任意選擇一個數y，則b=0n是等式<b,yn>=0成立的充分條件；因為當b!=0n，等式成立的概率僅有n/p，p是有限域，遠大于n。因此，如果有<b,yn>=0，那么驗證者愿意相信b!=0n。

利用這個理論，我們把等式(2)/(3)/(4)做以下轉換：

1.驗證者隨機選取一個數y發送給證明者；

2.證明者要證明：

<aL,2n>=v(5)

<aL,aRoyn>=0???????(6)

<aL-1n-aR,yn>=0???(7)

同理，等式(5)確保了v的范圍，等式(6)(7)確保了a

L元素只屬于{0,1}。此時2n+1個約束轉換成3個約束，接下來，還需要做進一步的處理：

聲音 | 銀河證券董事長：未來要以區塊鏈等核心技術為手段，推動證券公司業務數字化、數字業務化:據上海證券報報道，銀河證券黨委書記、董事長陳共炎在接受上證報記者獨家專訪時表示，疫情使我們進一步認識到了應用金融科技提升服務能力、建設‘智能銀河’的重要性和必要性。未來要以數據為基礎，以云計算、大數據、人工智能、區塊鏈等核心技術為手段，推動證券公司業務數字化、數字業務化，進一步提升金融服務效率。[2020/2/10]

1.驗證者隨機選取一個數z發送給證明者：

2.證明者利用z對公式(5)(6)(7)進行線性組合，得到如下公式：

z2*<aL,2n>+z*<aL-1n-aR,yn>+<aL,aRoyn>=z2*v???(8)

至此，我們已經把2n+1個約束轉換成1個約束。下面我們對公式(8)做進一步的優化，把三個點積優化成1個點積

4.?三個點積優化成1個點積

=>z2*<aL,2n>+z*?<aL-1n-aR,yn>+<aL,aRoyn>=z2*v

=><aL,z2*2n>+<aL,z*yn>-<z*1n,yn>-<z*aR,yn>+<aL,aRoyn>=z2*v

聲音 | 北京大學雷凱：中國區塊鏈技術發展已經處于相對領先地位:金色財經報道，北京大學深圳研究生院副教授雷凱表示，中國區塊鏈技術的發展已經處于相對領先地位，進入了高度關注狀態，但還未到高速發展狀態，在政策引導下，區塊鏈會繼續保持穩定發展的狀態，但是也不排除發展到一定階段會遇到共性問題的可能性。[2019/12/27]

=><aL,aRoyn+z*yn+z2*2n>-<z*1n,yn>+<z*1n,ynoaR>=z2*v

=><aL,aRoyn+z*1noyn+z2*2n>-<z*1n,yn+ynoaR>=z2*v

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,yn+ynoaR>=z2*v

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,(aR+z*1n)oyn+z2*2n-z*1n*yn+yn-z2*2n>?=?z2*v

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>-<z*1n,-z*1n*yn+yn-z2*2n>=?z2*v

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,-z*1n*yn+yn-z2*2n>

金色財經現場報道 全球區塊鏈投資論壇發起人張迅誠：區塊鏈投資是一個創新的時代，創新的技術和團隊才能在行業中找到機會:金色財經現場報道，在2018全球區塊鏈精英峰會上，全球區塊鏈投資論壇發起人、中國天使投資人學院創始合伙人張迅誠發表了《區塊鏈投資的全球化布局》的演講。目前，在整個區塊鏈投資領域中，礦場和交易所是最熱的投資領域，目前，很多傳統金融機構，包括主流互聯網機構，都在積極入局。在未來的1-2個月之內，我們會看的越來越清晰。區塊鏈投資是一個創新的時代，創新的技術和團隊才能在行業中找到機會，在區塊鏈行業中，很多都是年輕的群體，這些人可能并不了解技術，但他們對行業把握的很準。很多的專家和大佬對行業進行分享的過程中，他們可能在幾年前就布局了該產業，真正的趨勢是在別人還沒有看見趨勢的時候，就進行布局。[2018/4/28]

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,(-z*1n+1n)*yn>-<z*1n,?z2*2n>

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+(z–z2)*<1n,yn>-z3*<1n,2n>???(9)

=>?令

L=?aL-z*1n

R=?(aR+z*1n)oyn+z2*2n

δ=?(z–z2)*<1n,yn>-z3*<1n,2n>

5.驗證：

1.證明者把L/R/V發送給驗證者；

2.驗證者事先算好δ

3.驗證者根據L算出來aL，根據<aL,2n>=v算出v

4.驗證者根據L,R,v,δ驗證等式<L,R>=z2*v+δ

因為y，z都是驗證者提供，因此如果驗證者如果能驗證公式(9)成立，則相信等式(5)(6)(7)成立，則相信等式(2)(3)(4)成立，則相信v滿足關系v?。

但是，可以看到上述過程，泄露了v的信息，因此需要一個零知識證明協議。

6.?一個零知識證明協議

由于L,R包含了v的相關信息，因此，我們需要添加兩個盲因子s

L

、s

R來隱藏a

L，a

R。如公式(10)(11)所示：

l(X)=(aL-z*1n)+sL*X)??(10)

r(X)=(aR+z*1n+sR*X)oyn+z2*2n???(11)

此時，定義公式(12)

t(X)=<l(X),r(X)>=t0+t1*X+t2*X2???(12)

可以看出系數t

0是l(x)和r(x)常數項的乘積，即滿足：

t0=<L,R>=z2*v+δ

因此，問題由證明：

<L,R>=z2*v+δ

轉化成了，在任意一點x，驗證者驗證多項式值l(x),r(x),t(x)滿足關系：

<l(x),r(x)>=t(x)

多項式值l(x),r(x),t(x)由證明者提供，為了保證l(x)，r(x)well-formed，即：

l(x)=(aL-z*1n)+sL*x)

r(x)=(aR+z*1n+sR*x)oyn+z2*2n

需要校驗：

P=A*Sx*g(-z)*(h`)z*yn+z^2*2^n

=hαgaLhaR*(hρgsLhsR)x*g(-z)*(h`)z*y^n+z^2*2^n

=hαgaLhaR*?hρxgsL*xhsR*x*g(-z)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*haR+sR*x*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)+z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x+z*1^n)+z^2*2^n

=?hμgl(h`)r

=>當且僅當l/rwell-formed，等式成立

為了保證t(x)well-fromed，即：

t=t0+t1x+t2x2

需要校驗：

=>gthτx=?Vz^2*gδ*T1x*T2x^2

=>gthτx=?(hrgv)z^2*gδ*(gt1)x*(hτ1)x*(gt2)x^2*(hτ2)x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gz^2*v+δ+t1*x+t2*x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gt0+t1*x+t2*x^2

=>t=?t0+t1*x+t2*x2&&τx=?z2*r+τ1*x+τ2*x2

=>當且僅當t和τxwelle-formed，等式成立

具體的協議流程圖如下圖所示：

總結

從上述流程可以看出，一次rangeproof，證明者需要發送總共{

l/r/t/

τ

x

/

μ

/T1/T2/A/S}個元素給驗證者，總共2n+3個Z

p元素，4個G元素。下一篇文章將細講，Bulletproofs如何將交互復雜度降低到對數級O(log(n))

附錄

1.Bulletproofs論文：

chrome-extension://cdonnmffkdaoajfknoeeecmchibpmkmg/assets/pdf/web/viewer.html?file=https%3A%2F%2Feprint.iacr.org%2F2017%2F1066.pdf

Tags：區塊鏈ROOPROProof區塊鏈證據保全怎么操作zkProofNEAR Protocol0XPROOF價格

幣安app官方下載最新版