原文作者:康水躍,FoxTechCEO;孟鉉濟,FoxTech首席科學家
前言
密碼學當中的零知識證明技術在web3世界有著廣泛的應用,包括進行隱私計算、zkRollup等等。其中Layer2項目FOX所使用的FOAKS就是一個零知識證明算法。在上述的一系列應用當中,對于零知識證明算法而言,有兩方面屬性極為重要,那就是算法的效率以及交互性。
算法效率的重要性不言而喻,高效的算法可以明顯的降低系統運行時間,從而降低客戶端延遲,顯著的提高用戶體驗和效率,這也是FOAKS致力于實現線性證明時間的一個重要原因。
另一方面,從密碼學的角度來講,零知識證明系統的設計往往依賴證明者和驗證者的多輪交互。例如在許多介紹零知識證明的科普文章當中都會使用的“零知識洞穴”的故事當中,證明的實現就依賴于阿里巴巴和記者多輪的信息傳遞交互才能實現。但是事實上,在許多應用場景當中,依賴交互會使得系統不再可用,或者極高的增加延遲。就像在zkRollup系統當中,我們期望證明者能夠在本地,不依賴于和驗證者交互的情況下就計算出正確的證明值。
從這個角度說,如何將交互式的零知識證明協議改造為非交互式,就是一個很有意義的問題。在這篇文章當中,我們將介紹FOX使用經典的Fiat-Shamir啟發式來生成Brakedown中的挑戰從而實現非交互式協議的過程。
觀點:英國加密監管的關鍵因素是如何處理零售問題:4月5日消息,在IFGS會議的第二天,金融服務行業集團Shearman & Sterling全球負責人Barnaby Reynolds在“Crypto重啟:2021年及未來”的發言中,淡化了英國財政部日前關于英國穩定幣使用的監管聲明的重要性。Reynolds稱:英國正在考慮如何監管加密貨幣,但昨天宣布將穩定幣納入支付體系的聲明相對沒有太大影響。就加密貨幣監管而言,倫敦和紐約是值得關注的兩個重要市場,因為這兩個市場是全球“脈搏”所在。Reynolds解釋說,英國的關鍵因素是如何處理零售問題。英國對加密貨幣交易的禁令是爭議所在,因為零售市場非常希望進入加密貨幣市場。
此前消息,英國財政部在官網宣布推出一系列舉措,將把穩定幣視為一種有效的支付方式,作為使英國成為全球加密資產技術和投資中心的計劃的一部分。(Finextra)[2022/4/5 14:05:21]
零知識證明中的Challenge
零知識證明算法隨著應用的鋪開而變得異常火爆,近些年也誕生了包括FOAKS、Orion、zk-stark等在內的各種算法。這些算法,以及密碼學界早期的sigma協議等的核心證明邏輯都是證明者先將某個值發送給驗證者,驗證者通過本地隨機數產生一個挑戰,將這個隨機產生的挑戰值發給證明者,證明者需要真的有知識才能以大概率做出通過驗證者的響應。例如在零知識洞穴當中,記者拋一個硬幣,告訴阿里巴巴從左側出來還是從右側出來,這里的“左和右”就是對阿里巴巴的挑戰,他如果真的知道咒語,就一定可以從要求的方向走出來,否則就有一半的概率失敗。
SWIFT探索如何支持代幣化資產市場發展中的互操作性:金色財經報道,銀行合作機構SWIFT將與 Clearstream、Northern Trust、SETL 和其他市場參與者合作,探索如何支持代幣化資產市場發展中的互操作性。相對于加密貨幣和穩定幣,目前代幣化資產的市值很小,但預計到 2027 年,交易量可能會達到約 24 萬億美元。銀行和證券公司正競相通過開發數字資產服務能力來進入這個新興市場,例如私鑰保管和對數字證券全生命周期的支持。Swift 正在探索如何在代幣化資產的交易生命周期中提高參與者和系統之間的互操作性。
Swift 首席創新官 Thomas Zschach 表示,這些實驗將使用既定的支付形式和中央銀行數字貨幣 (CBDC)。“作為一個中立的合作機構,覆蓋 200 多個國家/地區的 11,000 家機構,并受到全球中央銀行的監督,Swift 處于獨特的位置,可以密切參與證券的未來”。(finextra)[2021/12/23 7:59:31]
這里我們注意到,Challenge的生成是一個很關鍵的步驟,它有兩個要求,隨機和不可被證明者預測。第一點,隨機性保證了它的概率屬性。第二點,如果證明者可以預測挑戰值那就意味著協議的安全性被破壞了,證明者沒有知識也可以通過驗證,可以繼續類比,阿里巴巴如果能預測記者要求他從哪邊出來,他即使沒有咒語也可以提前進入那一邊,結果表現出來一樣可以通過協議。
幣情觀察室 | 我是如何從650賺到100個比特幣的?:4月8日 19:00,金色盤面邀請實盤大V 幣圈棟哥做客金色財經《幣情觀察室》直播間,將分享《我是如何從650賺到100個比特幣的?》,敬請關注,掃描下圖二維碼即可觀看直播![2020/4/8]
所以我們需要一種辦法,能夠讓證明者自己本地生成這樣一個不可預測的隨機數,同時還能夠被驗證者驗證,這樣就可以實現非交互式的協議。
哈希函數
哈希函數的名字對我們來說或許并不陌生,無論是在比特幣的共識協議POW當中擔任挖礦的數學難題,還是壓縮數據量,構造消息驗證碼等等,都有哈希函數的身影。而在上述不同的協議當中,其實是運用了哈希函數的各種不同性質。
具體來講,安全的哈希函數的性質包括以下幾點:
壓縮性:確定的哈希函數可以將任意長度的消息壓縮成為固定長度。
有效性:給定輸入x,計算輸出h是容易的。
抗碰撞性:給定一個輸入x1,希望找到另一個輸入x2,x1x2,h=h,是困難的。
注意,如果哈希函數滿足抗碰撞性,那么必然滿足單向性,也就是說給定一個輸出y,要找出x滿足h=y是困難的。在密碼學當中,還不能構造出理論上絕對滿足單向性的函數,但是哈希函數在實際應用當中可以基本視作單向函數。
大咖零距離 | 半年收益38倍教你如何成就自己的交易系統:3月10日18:00,金色盤面邀請實盤大V以太坊大手子做客金色財經《大咖零距離》直播間,將分享《半年收益38倍教你如何成就自己的交易系統》,敬請關注,欲進群觀看直播掃描下圖二維碼報名即可![2020/3/10]
這樣一來,可以發現上述的幾種應用分別對應于哈希函數的幾點不同的性質,同時我們說,哈希函數還有一個很重要的作用是提供隨機性,雖然密碼學理論當中要求的完美的隨機數生成器目前也無法構造,但是哈希函數在實際當中同樣可以充當這個角色,這就為我們后文介紹的Fiat-Shamir啟發式的技巧提供了基礎。
Fiat-Shamir啟發式
事實上,Fiat-Shamir啟發式就是利用哈希函數來對前面生成的腳本進行哈希運算,從而得到一個值,用這個值來充當挑戰值。
因為將哈希函數H視作一個隨機函數,挑戰是均勻隨機的被選擇,獨立于證明者的公開信息和承諾的。安全分析認為Alice不能預測H的輸出,只能將其當作一個oracle。在這種情況下,Alice在不遵循協議的情況下做出正確響應的概率(特別是當她不知道必要的秘密時)與H的值域的大小成反比。
動態 | V神闡述如何進行ETH委托挖礦:V神回復網友提問“1.可以通過合約合租一個validator(平民化參與,共享投票身份)嗎?2.一個客戶端可以跑多個valifator (共享機器)嗎?”表示,“你開一個validator,需要設置兩個公鑰:簽名的公鑰和取款的公鑰。Phase 2后,不一定需要設置取款公鑰,也可以設置取款合約。簽名的私鑰能withdraw,withdraw完成后validator里面的資金都給取款合約的地址。所以你開新的validator到時候,可以先發比如1以太幣,設置取款合約,這個合約的規則是,誰deposit多少誰按照比例withdraw多少。一段時間后,你發withdraw的交易。現在因為獎勵這個validator的balance是33.6以太幣(加 5%),33.6以太幣給合約,合約的規則分配1.05給你,8.4, 10.5和13.65 給其他的參與者。簽名的私鑰是你的,誰能withdraw多少的規則是合約定的。別人能看一個還未activated的validator的withdraw合約的規則,如果他們覺得是合理的,則他們能發他們的幣給這個validator,這個是委托的方法。”[2019/10/22]
圖1:利用Fiat-ShamirHeuristic實現非交互式證明
非交互式FOAKS
在本節,我們具體展示Fiat-Shamir啟發式在FOAKS協議當中的應用,主要是用來產生Brakedown部分的挑戰,從而實現非交互式的FOAKS。
首先我們看到,在Brakedown生成證明的步驟當中,需要挑戰的步驟是“近似性檢驗”以及MerkleTree的證明部分。對于第一點原本的過程是證明者在這里需要驗證者產生的一個隨機向量,計算過程如下圖所示:
圖2:非交互證明FOAKS中的BrakedownChecks
現在我們使用哈希函數,讓證明者自己產生這個隨機向量。
令γ0=H(C1,R,r0,r1),對應的,在驗證者的驗證計算當中,也需要增加這個計算出γ0的步驟。根據這樣的構造,可以發現,在生成承諾之前,證明者并不能提前預測挑戰值,于是不能提前根據挑戰值來對應的“作弊”,也就是對應的生成假的承諾值,同時,根據哈希函數輸出的隨機性,這個挑戰值也滿足隨機性。
對于第二點,令?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)。
我們使用偽代碼給出改造后非交互式的Brakedown多項式承諾當中的證明和驗證函數,這也是FOAKS系統當中使用的函數。
functionPC.Commit(?):
Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1,C2,C1isak×nmatrix,C2isan×nmatrix.
fori∈do
ComputetheMerkletreerootRoott=Merkle.Commit(C2)
ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.
functionPC.Prover(?,X,R)
Theprovergeneratesarandomvectorγ0∈Fkbycomputing:γ0=H(C1,R,r0,r1)
Proximity:
Consistency:
Proversendsc1,y1,cγ0,yγ0totheverifier.
Provercomputesavector?aschallenge,inwhich?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)
foridx∈?do
ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier
functionPC.VERIFY_EVAL(ΠX,X,y=?(X),R)
Proximity:?idx∈?,Cγ0==<γ0,C1>andEc(yγ0)==Cγ0
Consistency:?idx∈?,C1==<γ0,C1>andEc(y1)==C1
y==<r1,y1>
?idx∈?,Ec(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.
Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.
結語
許多的零知識證明算法在設計之初都依賴證明者和驗證者雙方的交互,但是這種交互式證明協議不適合用在追求高效,網絡通訊開銷大的應用場景下,比如鏈上數據隱私保護和zkRollup等等。通過Fiat-Shamir啟發式,可以在不破壞協議安全性的條件下讓證明者本地生成隨機數“挑戰”,并且可以被證明者驗證。根據這種方法,FOAKS同樣實現了非交互式的證明,并應用在系統當中。
參考文獻
1.Fiat,Amos;Shamir,Adi(1987)."HowToProveYourself:PracticalSolutionstoIdentificationandSignatureProblems".AdvancesinCryptology—CRYPTO'86.LectureNotesinComputerScience.SpringerBerlinHeidelberg.263:186–194.doi:10.1007/3-540-47721-7_12.ISBN978-3-540-18047-0.
2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html
相關閱讀 KuCoinLabs第一季孵化計劃項目解析KuCoinLabs第一季孵化計劃項目解析KuCoinLabs第一季孵化計劃項目解析近日,KuCoinLabs第1季孵化計劃開始.
1900/1/1 0:00:00近日,全球領先的虛擬資產交易所火必宣布與Solaris達成合作,推出全新借記卡火必Visa卡,該卡將打通加密貨幣劃轉法幣的通道,用戶可在全球支持Solaris的銷售網點直接使用數字資產進行消費.
1900/1/1 0:00:00一、行業動態總結 行業動態 上周加密市場跟隨美股大漲,比特幣在周三強勢突破周線后隨機連續三個交易日連漲5%以上,帶動了整個加密市場進行了一波大反彈,交易量也顯著上升.
1900/1/1 0:00:00本文將介紹FreedomFinance的目的、設計機制、牽引力和未來計劃,其中涉及有趣和令人興奮的貨幣理論,這也是一個關于激勵機制設計的實驗.
1900/1/1 0:00:00編譯:Odaily星球日報NFT項目“胖企鵝”的首席執行官LucaNetz曾經歷過流浪街頭的窘迫,但現在他不但可以用250萬美元收購“胖企鵝”,還帶領著該項目走向了新的巔峰.
1900/1/1 0:00:00Endgame是MakerDAO的一個重大更新,旨在提高效率、恢復力和參與度。Endgame利用精細調整的AI工具,應用于開放、可擴展的流程,創建了一個強大的治理均衡,允許無需許可的SubDAO.
1900/1/1 0:00:00