如何将交互式证明改造为非交互式?

原文作者:康水跃,FoxTechCEO;孟铉济,FoxTech首席科学家

前言

密码学当中的零知识证明技术在web3世界有着广泛的应用,包括进行隐私计算、zkRollup等等。其中Layer?2项目FOX所使用的FOAKS就是一个零知识证明算法。在上述的一系列应用当中,对于零知识证明算法而言,有两方面属性极为重要,那就是算法的效率以及交互性。

算法效率的重要性不言而喻,高效的算法可以明显的降低系统运行时间,从而降低客户端延迟,显著的提高用户体验和效率,这也是FOAKS致力于实现线性证明时间的一个重要原因。

另一方面,从密码学的角度来讲,零知识证明系统的设计往往依赖证明者和验证者的多轮交互。例如在许多介绍零知识证明的科普文章当中都会使用的“零知识洞穴”的故事当中,证明的实现就依赖于阿里巴巴和记者多轮的信息传递交互才能实现。但是事实上,在许多应用场景当中,依赖交互会使得系统不再可用,或者极高的增加延迟。就像在zkRollup系统当中,我们期望证明者能够在本地,不依赖于和验证者交互的情况下就计算出正确的证明值。

从这个角度说,如何将交互式的零知识证明协议改造为非交互式,就是一个很有意义的问题。在这篇文章当中,我们将介绍FOX使用经典的Fiat-Shamir启发式来生成Brakedown中的挑战从而实现非交互式协议的过程。

萨尔瓦多居民仍对如何使用比特币和Chivo钱包感到困惑:11月27日消息,萨尔瓦多政府此前通过Chivo钱包向当地居民发放了价值30美元的比特币,两个月后,许多人仍然对如何使用比特币和该应用感到困惑,他们在花掉或兑现比特币后,已经完全放弃使用Chivo。其他人则表示,他们仍在坐等价格上涨。30岁的机修工Luis Mauricio表示:“Chivo还不能完全运作,但我希望随着时间的推移,它能得到修复,这会让人们对它的使用更有信心。”他补充说,自己在周末使用Chivo ATM机时也遇到了问题。

此前消息,数百名萨尔瓦多人10月底表示,有黑客用其身份证号码打开了Chivo钱包,以获得政府提供的30美元比特币奖励。(Decrypt)[2021/11/28 12:36:42]

零知识证明中的Challenge

零知识证明算法随着应用的铺开而变得异常火爆,近些年也诞生了包括FOAKS、Orion、zk-stark等在内的各种算法。这些算法,以及密码学界早期的sigma协议等的核心证明逻辑都是证明者先将某个值发送给验证者,验证者通过本地随机数产生一个挑战,将这个随机产生的挑战值发给证明者,证明者需要真的有知识才能以大概率做出通过验证者的响应。例如在零知识洞穴当中,记者抛一个硬币,告诉阿里巴巴从左侧出来还是从右侧出来,这里的“左和右”就是对阿里巴巴的挑战,他如果真的知道咒语,就一定可以从要求的方向走出来,否则就有一半的概率失败。

赵锡军:央行数字货币重点在于如何与传统货币进行融合:对于“数字货币研发重点和难点”的看法,中国人民大学财政金融学院副院长赵锡军指出,其中涉及两个问题。一是技术是否成熟。比特币实际上就是数字货币最初的雏形,从技术层面来讲,比特币是有一些缺陷的,一旦支付量变大,就会出现支付困难或者效率下降。另外,比特币出现过被盗等安全问题。而据央行货币研究所所长穆长春的一个内部研讨会指出,央行数字货币,效率是非常高的,支付能力很强,说明已经克服技术方面的问题。二是数字货币被引入后,如何与传统的货币和货币管理运行体系进行融合。数字货币的发行,是基于区块链的基础,它是有上限的,从目前来讲它的发行规模取决于互联网的算力。尽管穆长春所长也提到,央行数字货币现在可以突破区块链的上限限制,但是破获以后,它的发行究竟是怎么样的,是否能够跟我们目前的人民币发行顺利融合,这需要在制度层面有所安排。(澎湃新闻)[2020/4/22]

这里我们注意到,Challenge的生成是一个很关键的步骤,它有两个要求,随机和不可被证明者预测。第一点,随机性保证了它的概率属性。第二点,如果证明者可以预测挑战值那就意味着协议的安全性被破坏了,证明者没有知识也可以通过验证,可以继续类比,阿里巴巴如果能预测记者要求他从哪边出来,他即使没有咒语也可以提前进入那一边,结果表现出来一样可以通过协议。

现场 | 降维安全CTO:交易所应该如何保护数字资产:12月16日,由ChainUP主办,节点资本等联合主办的“Future BlockChain”全球行活动在韩国举办。降维安全CTO在会议中表示,交易所主要面临Hacker、恶意量化团队、恶意用户、恶意项目方这些外部攻击。具体到黑客攻击有以下四点:DoS勒索、Web渗透/APT社会工程学攻击以及利用区块链项目自身的漏洞进行攻击。据降维安全统计,交易所应用(不涉及期货合约)风险,共有5大类,14个子类,68个风险点。他表示:专业的事情应该交给专业的人做,选择专业的交易所系统和专业的安全服务商,非常重要。[2018/12/16]

所以我们需要一种办法,能够让证明者自己本地生成这样一个不可预测的随机数,同时还能够被验证者验证,这样就可以实现非交互式的协议。

哈希函数

哈希函数的名字对我们来说或许并不陌生,无论是在比特币的共识协议POW当中担任挖矿的数学难题,还是压缩数据量,构造消息验证码等等,都有哈希函数的身影。而在上述不同的协议当中,其实是运用了哈希函数的各种不同性质。

具体来讲,安全的哈希函数的性质包括以下几点:

压缩性:确定的哈希函数可以将任意长度的消息压缩成为固定长度。

在恶性通胀的委内瑞拉,比特币如何成了\"硬通货\":3月26日消息,据国外媒体报道,在世界各地,比特币主要是一种投机性投资,其飙升的价格往往被人们视为数字货币泡沫。而在委内瑞拉,由于国家的通货膨胀率畸高,持有数子货币成为了当地民众的生存手段。[2018/3/26]

有效性:给定输入x,计算输出h是容易的。

抗碰撞性:给定一个输入x?1?,希望找到另一个输入x?2?,x?1?x?2?,h=h,是困难的。

注意,如果哈希函数满足抗碰撞性,那么必然满足单向性,也就是说给定一个输出y,要找出x满足h=y是困难的。在密码学当中,还不能构造出理论上绝对满足单向性的函数,但是哈希函数在实际应用当中可以基本视作单向函数。

这样一来,可以发现上述的几种应用分别对应于哈希函数的几点不同的性质,同时我们说,哈希函数还有一个很重要的作用是提供随机性,虽然密码学理论当中要求的完美的随机数生成器目前也无法构造,但是哈希函数在实际当中同样可以充当这个角色,这就为我们后文介绍的Fiat-Shamir启发式的技巧提供了基础。

Fiat-Shamir启发式

事实上,Fiat-Shamir启发式就是利用哈希函数来对前面生成的脚本进行哈希运算,从而得到一个值,用这个值来充当挑战值。

传真格基金创始人徐小平呼吁各CEO了解区块链 学习如何拥抱这场革命:据某互联网知名博主爆料,真格基金创始人徐小平在真格基金投资组合微信群呼吁各CEO积极了解区块链,并立即动员全体高管和员工,学习如何拥抱这场革命。[2018/1/9]

因为将哈希函数H视作一个随机函数,挑战是均匀随机的被选择,独立于证明者的公开信息和承诺的。安全分析认为Alice不能预测H的输出,只能将其当作一个oracle。在这种情况下,Alice在不遵循协议的情况下做出正确响应的概率(特别是当她不知道必要的秘密时)与H的值域的大小成反比。

图1:利用Fiat-ShamirHeuristic实现非交互式证明

非交互式FOAKS

在本节,我们具体展示Fiat-Shamir启发式在FOAKS协议当中的应用,主要是用来产生Brakedown部分的挑战,从而实现非交互式的FOAKS。

首先我们看到,在Brakedown生成证明的步骤当中,需要挑战的步骤是“近似性检验”以及MerkleTree的证明部分。对于第一点原本的过程是证明者在这里需要验证者产生的一个随机向量,计算过程如下图所示:

图2:非交互证明FOAKS中的BrakedownChecks

现在我们使用哈希函数,让证明者自己产生这个随机向量。

令γ0?=H(C1?,?R,r0?,?r1?),对应的,在验证者的验证计算当中,也需要增加这个计算出γ0?的步骤。根据这样的构造,可以发现,在生成承诺之前,证明者并不能提前预测挑战值,于是不能提前根据挑战值来对应的“作弊”,也就是对应的生成假的承诺值,同时,根据哈希函数输出的随机性,这个挑战值也满足随机性。

对于第二点,令?=H(C1?,?R,r0?,?r1?,?c1?,?y1?,?cγ?0?,?yγ?0?)。

我们使用伪代码给出改造后非交互式的Brakedown多项式承诺当中的证明和验证函数,这也是FOAKS系统当中使用的函数。

functionPC.Commit(?):

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1?,C2?,C1?isak×nmatrix,C2?isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2?)

ComputeaMerkletreerootR=Merkle.Commit(),?andoutputRasthecommitment.

functionPC.Prover(?,X,R)

Theprovergeneratesarandomvectorγ0?∈Fkbycomputing:γ0=H(C1?,?R,r0?,?r1?)

Proximity:

Consistency:

Proversendsc1?,?y1?,?cγ?0?,?yγ?0?totheverifier.

Provercomputesavector?aschallenge,inwhich?=H(C1?,?R,r0?,?r1?,?c1?,?y1?,?cγ?0?,?yγ?0?)

foridx∈?do

ProversendsC1?andtheMerkletreeproofofRootidxforC2?underRtoverifier

functionPC.VERIFY_EVAL(ΠX,?X,?y=?(X),?R)

Proximity:?idx∈?,Cγ?0==<γ0?,C1?>andEc(yγ?0?)==Cγ?0?

Consistency:?idx∈?,C1?==<γ0?,C1?>andEc(y1?)==C1?

y==1?,y1?>

?idx∈?,Ec(C1?)?isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语

许多的零知识证明算法在设计之初都依赖证明者和验证者双方的交互,但是这种交互式证明协议不适合用在追求高效,网络通讯开销大的应用场景下,比如链上数据隐私保护和zkRollup等等。通过Fiat-Shamir启发式,可以在不破坏协议安全性的条件下让证明者本地生成随机数“挑战”,并且可以被证明者验证。根据这种方法,FOAKS同样实现了非交互式的证明,并应用在系统当中。

参考文献

1.Fiat,Amos;Shamir,Adi(?1987)."HowToProveYourself:PracticalSolutionstoIdentificationandSignatureProblems".AdvancesinCryptology—CRYPTO'86.LectureNotesinComputerScience.SpringerBerlinHeidelberg.263:186?–?194.doi:?10.1007/3-540-47721-7?_?12.ISBN978-3-540-18047-0.

2.https://www.cnblogs.com/zhuowangy?2?k/p/12246575.html

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SAND交易任意币对,享10000 USDT空投

亲爱的用户: 为回馈用户的支持,CoinW将开展平台交易人人有奖活动,详情如下:活动时间:2023/3/200:00~2023/3/2224:00活动期间.

[0:15ms0-2:427ms