密码学当中的零知识证明技术在 web3 世界有着广泛的应用,包括进行隐私计算、zkRollup 等等。其中 Layer2 项目 FOX 所使用的 FOAKS 就是一个零知识证明算法。在上述的一系列应用当中,对于零知识证明算法而言,有两方面属性极为重要,那就是算法的效率以及交互性。
算法效率的重要性不言而喻,高效的算法可以明显的降低系统运行时间,从而降低客户端延迟,显著的提高用户体验和效率,这也是 FOAKS 致力于实现线性证明时间的一个重要原因。
另一方面,从密码学的角度来讲,零知识证明系统的设计往往依赖证明者和验证者的多轮交互。例如在许多介绍零知识证明的科普文章当中都会使用的“零知识洞穴”的故事当中,证明的实现就依赖于阿里巴巴(证明者)和记者(验证者)多轮的信息传递交互才能实现。但是事实上,在许多应用场景当中,依赖交互会使得系统不再可用,或者极高的增加延迟。就像在 zkRollup 系统当中,我们期望证明者(也就是 FOX 当中的 folder)能够在本地,不依赖于和验证者交互的情况下就计算出正确的证明值。
从这个角度说,如何将交互式的零知识证明协议改造为非交互式,就是一个很有意义的问题。在这篇文章当中,我们将介绍 FOX 使用经典的 Fiat-Shamir 启发式(heuristic)来生成 Brakedown 中的挑战从而实现非交互式协议的过程。
零知识证明算法随着应用的铺开而变得异常火爆,近些年也诞生了包括 FOAKS、Orion、zk-stark 等在内的各种算法。这些算法,以及密码学界早期的 sigma 协议等的核心证明逻辑都是证明者(Prover)先将某个值发送给验证者(Verifier),验证者通过本地随机数产生一个挑战(Challenge),将这个随机产生的挑战值发给证明者,证明者需要真的有知识才能以大概率做出通过验证者的响应。例如在零知识洞穴当中,记者抛一个硬币,告诉阿里巴巴从左侧出来还是从右侧出来,这里的“左和右”就是对阿里巴巴的挑战,他如果真的知道咒语,就一定可以从要求的方向走出来,否则就有一半的概率失败。
Terra 2.0 社区已启动就有关如何分配 0.5% 应急资金提案的投票:6月9日消息,Terra 2.0 社区已启动就有关如何分配 0.5% 应急资金提案的投票,该提案建议将这部分资金分配给在 Terra Classic 上推出过符合市场需求的产品,包括产生了一定量的 TVL 和没有产生 TVL 的项目以及尚未推出过符合市场需求产品的项目,并提议向以上三类项目分别分配 250 万枚 LUNA、100 万枚 LUNA 和 150 万枚 LUNA。此外,该提案建议组件一个由部分 Terra 社区的长期成员组成的理事会监督分配工作。[2022/6/9 4:13:09]
这里我们注意到,Challenge 的生成是一个很关键的步骤,它有两个要求,随机和不可被证明者预测。第一点,随机性保证了它的概率属性。第二点,如果证明者可以预测挑战值那就意味着协议的安全性被破坏了,证明者没有知识也可以通过验证,可以继续类比,阿里巴巴如果能预测记者要求他从哪边出来,他即使没有咒语也可以提前进入那一边,结果表现出来一样可以通过协议。
所以我们需要一种办法,能够让证明者自己本地生成这样一个不可预测的随机数,同时还能够被验证者验证,这样就可以实现非交互式的协议。
哈希函数的名字对我们来说或许并不陌生,无论是在比特币的共识协议 POW 当中担任挖矿的数学难题,还是压缩数据量,构造消息验证码等等,都有哈希函数的身影。而在上述不同的协议当中,其实是运用了哈希函数的各种不同性质。
币情观察室 | 我是如何从650赚到100个比特币的?:4月8日 19:00,金色盘面邀请实盘大V 币圈栋哥做客金色财经《币情观察室》直播间,将分享《我是如何从650赚到100个比特币的?》,敬请关注,扫描下图二维码即可观看直播![2020/4/8]
具体来讲,安全的哈希函数的性质包括以下几点:
压缩性:确定的哈希函数可以将任意长度的消息压缩成为固定长度。
有效性:给定输入 x,计算输出 h(x)是容易的。
抗碰撞性:给定一个输入 x1,希望找到另一个输入 x2,x1x2,h(x1)= h(x2),是困难的。
注意,如果哈希函数满足抗碰撞性,那么必然满足单向性,也就是说给定一个输出 y,要找出 x 满足 h(x)= y 是困难的。在密码学当中,还不能构造出理论上绝对满足单向性的函数,但是哈希函数在实际应用当中可以基本视作单向函数。
这样一来,可以发现上述的几种应用分别对应于哈希函数的几点不同的性质,同时我们说,哈希函数还有一个很重要的作用是提供随机性,虽然密码学理论当中要求的完美的随机数生成器目前也无法构造,但是哈希函数在实际当中同样可以充当这个角色,这就为我们后文介绍的 Fiat-Shamir 启发式(Heuristic)的技巧提供了基础。
事实上,Fiat-Shamir 启发式(Heuristic)就是利用哈希函数来对前面生成的脚本进行哈希运算,从而得到一个值,用这个值来充当挑战值。
动态 | 芬兰海关对如何处理缴获的比特币感到困惑:金色财经报道,芬兰财政部下属的海关一直在考虑如何处理几年前从贩手中缴获的1666枚比特币。据悉,芬兰海关不想拍卖没收的比特币,因为可能会将其返还给犯罪分子。这些比特币在没收的时候价值不到70万欧元(约合76万美元)。根据Coin360的数据,截至目前,这1666枚比特币的价值接近1500万欧元(超过1550万美元)。据报道,该机构最初计划在2018年拍卖这些资金,但最终以“反”为由冻结了这些比特币。报告指出,除了持有超过1500万美元的比特币外,芬兰海关还持有一些价值数百万欧元的山寨币。[2020/2/26]
因为将哈希函数 H 视作一个随机函数,挑战是均匀随机的被选择,独立于证明者的公开信息和承诺的。安全分析认为 Alice 不能预测 H 的输出,只能将其当作一个 oracle。在这种情况下,Alice 在不遵循协议的情况下做出正确响应的概率 ( 特别是当她不知道必要的秘密时 ) 与 H 的值域的大小成反比。
图 1: 利用 Fiat-Shamir Heuristic 实现非交互式证明
在本节,我们具体展示 Fiat-Shamir 启发式在 FOAKS 协议当中的应用,主要是用来产生 Brakedown 部分的挑战,从而实现非交互式的 FOAKS。
动态 | V神阐述如何进行ETH委托挖矿:V神回复网友提问“1.可以通过合约合租一个validator(平民化参与,共享投票身份)吗?2.一个客户端可以跑多个valifator (共享机器)吗?”表示,“你开一个validator,需要设置两个公钥:签名的公钥和取款的公钥。Phase 2后,不一定需要设置取款公钥,也可以设置取款合约。签名的私钥能withdraw,withdraw完成后validator里面的资金都给取款合约的地址。所以你开新的validator到时候,可以先发比如1以太币,设置取款合约,这个合约的规则是,谁deposit多少谁按照比例withdraw多少。一段时间后,你发withdraw的交易。现在因为奖励这个validator的balance是33.6以太币(加 5%),33.6以太币给合约,合约的规则分配1.05给你,8.4, 10.5和13.65 给其他的参与者。签名的私钥是你的,谁能withdraw多少的规则是合约定的。别人能看一个还未activated的validator的withdraw合约的规则,如果他们觉得是合理的,则他们能发他们的币给这个validator,这个是委托的方法。”[2019/10/22]
首先我们看到,在 Brakedown 生成证明的步骤当中,需要挑战的步骤是“近似性检验”以及 Merkle Tree 的证明部分(读者可以参考之前的文章《一文了解 FOAKS 当中的多项式承诺协议 Brakedown》)。对于第一点原本的过程是证明者在这里需要验证者产生的一个随机向量,计算过程如下图所示:
韩国政府召开紧急会议 讨论如何遏制加密货币投机:首尔12月13日电 韩国政府周三召集了相关部委的紧急会议,讨论如何在当地投资者日益担忧财务损失的情况下遏制加密货币投机。会议汇集了司法部,财政部,科学部和ICT部,金融服务委员会,韩国通信委员会,公平贸易委员会和国家税务局的高级官员。比特币和以太坊等加密货币近年来迅速普及。韩国是世界上最大的比特币交易所之一,约有100万人拥有最知名的数字货币。[2017/12/13]
图 2: 非交互证明 FOAKS 中的 Brakedown Checks
现在我们使用哈希函数,让证明者自己产生这个随机向量。
令γ0=H(C1,R, r0,r1),对应的,在验证者的验证计算当中,也需要增加这个计算出γ0的步骤。根据这样的构造,可以发现,在生成承诺之前,证明者并不能提前预测挑战值,于是不能提前根据挑战值来对应的“作弊”,也就是对应的生成假的承诺值,同时,根据哈希函数输出的随机性,这个挑战值也满足随机性。
对于第二点,令 ? =H(C1,R, r0,r1,c1,y1,cγ0,yγ0)。
我们使用伪代码给出改造后非交互式的 Brakedown 多项式承诺当中的证明和验证函数,这也是 FOAKS 系统当中使用的函数。
function PC. Commit(?):
Parse was a k × k matrix. The prover locally computes the tensor code encoding C1,C2 ,C1 is a k × n matrix,C2 is a n × n matrix.
for i ∈ [n] do
Compute the Merkle tree root Roott=Merkle.Commit(C2[:,i])
Compute a Merkle tree root R=Merkle.Commit([Root0,......Rootn-1]),and output R as the commitment.
function PC. Prover(?, X, R)
The prover generates a random vector γ0 ∈ Fk by computing: γ0 =H(C1,R, r0,r1)
Proximity:
Consistency:
Prover sends c1,y1,cγ0,yγ0 to the verifier.
Prover computes a vector ? as challenge, in which ? = H(C1,R, r0,r1,c1,y1,cγ0,yγ0)
for idx ∈ ? do
Prover sends C1 [:,idx] and the Merkle tree proof of Rootidx for C2 [:,idx] under R to verifier
function PC. VERIFY_EVAL(ΠX,X,y= ? (X),R)
Proximity: ?idx ∈ ?, Cγ0 [idx] == and Ec(yγ0) == Cγ0
Consistency: ?idx ∈ ?, C1 [idx] == and Ec(y1) == C1
y==1, y1>
?idx ∈ ?, Ec ( C1[:,idx]) is consistent with ROOTidx, and ROOTidx’s Merkle tree proof is valid.
Output accept if all conditions above holds. Otherwise output reject.
许多的零知识证明算法在设计之初都依赖证明者和验证者双方的交互,但是这种交互式证明协议不适合用在追求高效,网络通讯开销大的应用场景下,比如链上数据隐私保护和 zkRollup 等等。通过 Fiat-Shamir 启发式(Heuristic),可以在不破坏协议安全性的条件下让证明者本地生成随机数“挑战”,并且可以被证明者验证。根据这种方法,FOAKS 同样实现了非交互式的证明,并应用在系统当中。
1.Fiat, Amos; Shamir, Adi (1987). "How To Prove Yourself: Practical Solutions to Identification and Signature Problems". Advances in Cryptology — CRYPTO' 86. Lecture Notes in Computer Science. Springer Berlin Heidelberg. 263: 186–194. doi:10.1007/3-540-47721-7_12. ISBN 978-3-540-18047-0.
2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html
撰文:康水跃,Fox Tech CEO;孟铉济,Fox Tech 首席科学家
来源:DeFi之道
DeFi之道
个人专栏
阅读更多
金色财经 善欧巴
金色早8点
白话区块链
Odaily星球日报
MarsBit
欧科云链
深潮TechFlow
Arcane Labs
BTCStudy
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。