ARK:ZKSwap團隊解讀零知識證明算法之Zk-stark

談到ZKP算法，大伙可能聽過一些，比如zk-snark、zk-stark、bulletproof、aztec、plonk等等。今天，ZKSwap團隊就和大伙聊聊這一對“表面兄弟”，zk-stark和zk-snark算法的異同之處。

首先，先從名字說起。

如下圖所示，我們將名稱zk-stark和zk-snark根據功能特點分別分成四個部分，然后逐個比較分析。

Zk-stark=>zk-stark

zk：零知識，表明隱私的輸入將會被隱藏，除了證明者，其他任何人不會看見；s：可擴展的，和ReplayComputation的驗證耗時相比，zk-stark的證明和驗證耗時分別與之呈擬線性關系和對數關系；t：透明的，zk-stark算法沒有CRSsetupbyTrustedparty；arg：知識論證，只有知道privateinput的prover，才能生成有效的proof；Zk-snark=>zk-snark

Polygon Labs：SEC變更交易所定義的擬定規則會危害DeFi行業和區塊鏈網絡:6月14日消息，Polygon Labs首席政策官Rebecca Rettig在推特上表示，今天Polygon Labs提交了對美國證券交易委員會（SEC）提議的交易所定義規則制定的回應。新的擬議規則不僅會危害DeFi行業，還威脅到美國未獲許可的區塊鏈網絡。從技術、法律或實踐的角度來看，許多不同和獨立的驗證者無法以某種方式協調到監管機構注冊為交易所。驗證者不會通過分叉或其他方式控制DeFi協議。正如我們在回應中更全面地闡述的那樣，擬議的修訂規則實際上將禁止美國所有未獲許可的區塊鏈網絡，以及建立在此類網絡之上的許多軟件協議，包括DeFi協議。[2023/6/14 21:35:56]

zk：零知識，表明隱私的輸入將會被隱藏，除了證明者，其他任何人不會看見；s：簡潔的，指的是生成的proof足夠小和驗證時間足夠短；n：非交互式的，Prover生成證明的過程中和verifier沒有交互；arg：知識論證，只有知道privateinput的prover，才能生成有效的proof；Compare

足球NFT初創公司Payfoot獲GEM 5000萬美元投資承諾:金色財經報道， 總部位于瑞士的足球NFT及元宇宙初創公司Payfoot宣布獲得另類投資集團GEM Global Yield LLC SCS（“GGY”）的 5000 萬美元投資承諾，GEM將在Payfoot上市后認購價值5000萬美元的公司股票。Payfoot希望借助卡塔爾2022世界杯契機推動體育行業探索Web 3.0，該公司計劃構建一個足球虛擬世界，讓足球俱樂部和球迷以全新方式進行互動并讓用戶更輕松地購買、接受和交易粉絲Token和NFT。（marketsherald）[2022/9/14 13:29:47]

相同點都實現了將隱私的輸入可靠隱藏；都是基于知識論證，不知道privateinput的prover生成不了有效的proof；都可以實現交互式與非交互式式的算法，只是取決于randomness是由誰來生成的；不同點zk-stark具有可擴展性，即證明和驗證的耗時與原始計算的耗時分別呈擬線性關系和對數關系，這意味這，如果原始輸入的數據集增大1000000倍，zk-stark的證明耗時增加線性倍數的時間，但驗證時間僅僅增加21*log1000000=~420倍。證明耗時呈線性關系基本滿足所有的ZKP算法，但是驗證時間呈對數關系，僅此一家，因此在擴展性上，zk-stark要勝一籌。zk-stark同樣具有簡潔性，但是是驗證簡潔性。所謂簡潔性，通常是指即使驗證程序很大，生成的proofsize也不會很大，同時又能很快的完成驗證。相比對zk-snark，zk-stark的proofsize要大的多，因此在簡潔性上，zk-snark要勝一籌。ALGcompare

知情人士：EquitiesFirst欠Celsius 4.39億美元未償還:金色財經報道，兩位知情人士表示，Celsius首席執行官Alex Mashinsky在周四提交的破產保護文件中指出的 \"私人借貸平臺 \"就是EquitiesFirst。法庭文件稱，這兩家公司之間的關系最初來自于Celsius早在2019年作為借款人的交易。2021年7月，Celsius尋求償還貸款并取回抵押品，但被告知它無法做到這一點。根據該報告，當時欠Celsius的變成了EquitiesFirst。雖然債務正在穩步償還，但仍有4.39億美元--由3765個比特幣和3.61億美元的現金組成--未償還。（《金融時報》）[2022/7/15 2:16:37]

前面從概念上對zk-stark和zk-snark算法做了比較，其異同點可以籠統的概括為：

ETH跌破1200美元，24小時內跌幅3.16%:行情顯示，ETH跌破1200美元，現報1188.00美元，24小時內跌幅達到3.16%，行情波動較大，請做好風險控制。[2022/6/28 1:34:54]

都是基于知識論證的ZKP算法；zk-stark不需要zk-snark的Trustedparty設置CRS，因此是Transparent；zk-stark的驗證耗時與nativecomputation耗時呈對數關系，因此是Scalable；下面，我們將從算法層面，去做相對更深入一些的比較分析：

zk-snarkALG算法思想：將證明CIstatement成立問題轉換成證明多項式等式成立問題，轉換過程用到了算術環路和QAP方法；多項式等式成立意味著什么？a.等式兩邊可以看作兩個度相等的多項式，假設為n，其交點最多有n個，假如在一個很大的域范圍內隨機選一個點，如果的兩個多項式在此點的值相等，則證明兩個多項式是相等的。b.我們可以看到，等式右邊的多項式因子Z是目標多項式，它的零點就是右邊整體多項式的零點，也就是等式左邊整體多項式的零點，而等式左邊的多項式在這些零點的取值，就轉換成了一個個的算術電路里每個乘法門對應的一階線性約束等式成立，即原始計算等式成立；算法分為三個步驟：CRS生成；證明者證明；驗證者驗證；可以看到prover生成證明過程中，沒有與驗證者交互，因此是non-interative;如何保證prover用于生成證明的A/B/C/H是多項式且是小于某個度數呢？a.通過trustedparty來保證，因為它是可信任的，因此它生成pk，vk用到的A/B/C等肯定是多項式并且是小于某個度的；b.如果證明者作惡，那么驗證者將會很大概率驗證失敗；c.主要用到了同態加密HH和系數知識假設KCA和橢圓曲線雙線性配對等數學知識；

zk-starkALG算法思想：將證明CIstatement成立問題轉化成證明多項式小于某個度的問題，轉換過程用到了多項式插值方法；多項式等式成立意味著什么？思想與zk-snark一樣，T同樣為目標多項式，其零點已知且公開，也是等式左側多項式Q的零點，多項式Q在每一個零點的取值都對應了一個executetrace的成立。因此多項式相等，意味著executetrace正確，說明原始CI成立。

多項式小于某個度意味著什么？和zk-snark類似的是，兩者都把CIstatement轉換成了證明多項式等式成立的問題。為了防止驗證者作惡，必須要保證多項式是低于某個度的。不同的是，zk-snark使用了trustedparty機制和同態加密等數學方法，而zk-stark使用了低度測試等數學方法。當且僅當多項式真正的小于某個度時，多項式的相等才是真實意義上的相等，說明生成軌跡多項式的executetrace是正確的，即原始CI成立。

算法分為兩大步驟，算術化和低度測試；a.算術化：是把問題轉化為多項式形式b.低度測試：是證明組合多項式(圖中黃色)和軌跡多項式小于某個固定的度-->FRI算法在生成證明的過程中，有交互，所以圖中描述的是交互式的零知識證明算法；

Summary

以上分別從概念和算法上介紹了zk-snark和zk-stark算法的異同之處，作為引文，后續發文將深入詳細價紹zk-stark算法的原理。如有錯誤，麻煩批評指正，謝謝。

Tags：ARKSTASTARSTARKHeroParkWrapped StarPSTARStarkMeta

Ethereum