撰文:FoxTechCTO林彦熹,FoxTech首席科学家孟铉济前言
Prover和Verifier之间的计算代理思想是零知识证明的核心内容之一,是调节证明者和验证者工作量于复杂度之间取舍的工具。不同的零知识证明算法本质的不同在于不同程度的计算代理;高度的代理虽然会使验证的计算容易,但是却可能使得证明的复杂度高,从而导致证明耗时长,或是生成的证明大小较大;反之,低程度的代理会使得验证者的开销较大。
图1:零知识证明的计算代理程度影响计算代理是什么
杠杆比特币期货ETF交易量超过50万股:金色财经报道,美国唯一杠杆比特币期货ETF的小型发行人Volatility Shares Trust表示,该基金第一周的交易量超过了50万股。该ETF上周开始在芝加哥期权BZX交易所交易,股价一直徘徊在15美元左右。自从贝莱德和富达等大型传统金融机构开始寻求批准推出自己的现货比特币ETF以来,比特币交易所交易基金一直是热门话题。Volatility的产品有所不同,因为它是所有杠杆化的比特币期货ETF。
注:该ETF的交易代码为BITX。[2023/7/7 22:22:27]
随着以太坊上应用和用户的扩展,以太主网上的拥堵程度不断提升,使用zkRollup进行Layer2的扩容成为一个很有吸引力的方案,FOX就是专注于使用FOAKS算法进行zkRollup的项目。而zkRollup的可行性,本质上在于使用的零知识证明算法的原理可行性。简单来说,零知识证明算法实现的功能是使得证明者向验证者证明某件事,但又不透露任何关于这件事的信息。zkRollup的构造就是利用了这个性质,使得Layer2的节点可以执行原本在Layer1进行的计算,同时向Layer1节点提供计算正确性的证明。从更广义的角度来说,上述的过程我们可以理解为,由于验证者计算能力有限,所以将这部分的计算代理给了证明者来执行,证明者完成了这个任务,需要返回结果给验证者。从这个角度来说,我们可以说,零知识证明算法使得保障正确性的“计算代理”得以实现。从宏观上这种计算代理的例子可以表现为zkRollup这种形式的应用,具体到零知识算法当中,这种计算代理的思想也有各种应用。本文主要介绍FOAKS使用的在Orion当中提到的Code-Switching所做的令证明者帮助验证者执行的验证计算过程,以及FOAKS如何应用这种技巧进行递归。从而减少了证明的大小以及验证者的开销。为什么需要计算代理
数据:5个地址于2月26日向OKX存入5.17亿枚CELT:2月28日消息,Web3知识图谱协议0xscope发推表示,通过分析CELT的OKX存款发现,5个EOA(外部账户)地址在2月26日(大规模拉高出售的前一天)存入了5.17亿枚CELT(2月27日峰值为260万美元)。这些地址由CELT代币部署者资助。
金色财经此前报道,徐明星表示,OKX团队将审查上市标准,并考虑下架CELT;Celestial对此回应称,未利用与OKX的关系进行宣传,虚假宣传系其他KOL操纵。[2023/2/28 12:33:46]
从系统的实用性角度来说,很多情况下计算节点的算力是有限的,或者说计算资源是很宝贵的。例如在Layer1链上的所有计算都需要经过所有节点的共识,并且用户需要为此支付高昂的手续费。所以,在这种情况下,将本来由共识节点来处理的计算“代理出去”交给链下节点来完成,就是一种自然的想法,避免消耗链上资源。而这也正是FOX所专注的链下计算服务。从密码学理论角度来讲,在GMR模型当中限定了证明者拥有无限计算能力,验证者拥有多项式计算能力。如果验证者也有无限能力,则零知识证明的基本性质无法满足。所以自然地,将计算向证明者一方倾斜,让证明者承担更多的计算就是很多零知识证明算法设计都会考虑的问题。当然,为了实现这一点,我们需要特别的技巧。CodeSwitching
数据:已有超过10亿美元的USDC通过5个地址兑换成USDT美元并存入交易所:金色财经报道,Lookonchain监测显示,在今年的小牛市之前,一个神秘的基金开始向加密货币市场投入资金。该基金于2022年12月7日开始从Circle中提取USDC,截至今天,已经有超过10亿美元的USDC。然后通过5个地址兑换成USDT美元,并存入交易所。每次基金开始从Circle中提取USDC并转移到交易所时,ETH的价格都会上涨。看来加密货币价格的上涨与这只基金有关。[2023/2/10 11:58:18]
这一节介绍Orion当中使用的CodeSwitching技巧。Orion和FOAKS都使用了Brakedown作为多项式承诺方案,而CodeSwitching是在Orion当中命名的有证明者代替验证者执行验证计算的过程。在《一文了解FOAKS当中的多项式承诺协议Brakedown》一文当中我们曾经介绍过,验证者的验证计算为以下的过程:
美国司法部:涉嫌博尔顿的暗杀阴谋涉及加密货币支付:金色财经报道,美国司法部周三在一份声明中表示,伊朗涉嫌谋杀美国前国家安全顾问约翰·博尔顿,涉及高达130万美元的加密支付承诺。8月10日公开的法庭文件称,伊朗伊斯兰革命卫队的德黑兰成员Shahram Poursafi出价高达300,000美元暗杀博尔顿,并提供100万美元用于进一步的未指明工作,转移显然将通过数字方式进行货币。Poursafi在国外仍然逍遥法外,如果罪名成立,他将面临最高25年的监禁和500,000美元的罚款。(coindesk)[2022/8/11 12:16:44]
以太坊在985美元附近存在近2亿美元链上借贷清算额度:6月16日消息,据parsec.finance数据显示,以太坊在985美元附近存在约 1.95 亿美元链上借贷清算额度,额度主要由Aave组成。[2022/6/16 4:32:54]
现在如果令证明者承担这部分计算,则证明者除了执行这些计算,还要附上证明值来证明自己的计算是正确的。做法是将上述等式同样写成R1CS电路:
之后使用Virgo算法进行验证。FOAKS当中的计算代理
在FOAKS当中同样使用类似的技巧完成计算代理,值得一提的是,FOAKS由于使用了Fiat-Shamirheuristic技巧实现了非交互式证明。想要了解更多,读者可以参考《如何将交互式证明改造为非交互式?Fiat-ShamirHeuristic!》。所以FOAKS的挑战生成和Orion所使用的CodeSwitching方法不同,电路当中也需要加入新的等式:
这样之后FOAKS当中的证明者同样生成了代理验证者进行验证的计算证明。而对于验证证明的过程,FOAKS利用算法自身进行迭代,这也是FOAKS实现递归的关键内容。具体内容见《如何设计出一种精妙绝伦的证明递归方案》。通过一定次数的迭代可以使得证明的大小被压缩,从而极大降低验证者的计算负担以及通信复杂度。这就是FOAKS这个零知识证明方案对FOX这条zkRollup的重大意义。结语
zkRollup中使用的零知识证明算法的计算代理程度需要被精心设计,必须恰到好处才能使其整体达到最佳效率。而FOAKS算法通过自身迭代的递归实现了可以调节的计算代理,是为专门为zkRollup所设计的零知识证明算法。参考文献
1.Orion:Xie,Tiancheng,YupengZhang,andDawnSong."Orion:Zeroknowledgeproofwithlinearprovertime."AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。