ERK:零知识证明——基于libsnark的电路构造及证明示例

libsnark库代码层次非常清晰。libsnark也给出了SNARK相关算法的全貌,各种Relation,Language,Proof System。为了更好的生成R1CS电路,libsnark抽象出protoboard和gadget,方便开发者快速搭建电路。在阅读该示例代码前,请仔细阅读libsnark的源代码分析:零知识证明 - libsnark源代码分析

唯一有点遗憾的,libsnark没有给个完整的电路构造实例,入门者想搭建自己的电路,刚开始有点摸不着头脑。

为了方便入门者编写自己的电路,同事写了个基于libsnark构造电路,并生成并验证电路的实例:

https://github.com/StarLI-Trapdoor/libsnark_sample

基于零知识的隐私协议 Elusiv 已在 Solana 上线主网:3月9日消息,基于零知识且合规的隐私协议 Elusiv 已在 Solana 上线主网,允许用户发送隐私交易。此外,Elusiv 与 Solana Pay 兼容,并支持 SOL 和 SPL 代币。基本合规性功能包括所有权证明和创建查看密钥的能力,使用户可以根据需要控制他们共享的交易信息。

据悉,Elusiv 旨在为用户和商家提供隐私保护,同时通过低交易合规解决方案保持安全。此外,Elusiv 可使标准交易隐私化,同时允许用户选择要公开的交易。Elusiv 于 2022 年 11 月完成 350 万美元融资,Big Brain Holdings、Jump Crypto、Solana Ventures 等参投。[2023/3/9 12:52:17]

入门者,可以基于这个示例开发自己的电路。选择默克尔树作为电路的示例,因为在零知识证明的应用中,大量的使用默克尔树数据结构。

徐明星:以太坊2.0和零知识证明技术将使以太坊成为真正的区块链操作系统:金色财经报道,OKX创始人徐明星发推特表示,2023年将非常有趣,以太坊2.0和零知识证明技术将使以太坊成为真正的区块链操作系统。[2022/12/28 22:11:35]

该示例构造了一条merkle路径的验证电路,生成并验证证明。merkle树的深度为3,并且merkle树的计算采用sha256散列函数。代码结构比较清晰,merkle目录中的main.cpp是主函数。circuit目录下的merklecircuit.h是电路的实现。整个项目用cmake进行编译。

电路名为MerkleCircuit,主要依赖两个gadget:merkle_authentication_path_variable和merkle_tree_check_read_gadget。merkle_authentication_path_variable提供了merkle树的一条路径。merkle_tree_check_read_gadget检查给定一个叶子节点,是否能计算出正确的root。

a16z宣布推出使用零知识证明技术的空投领取工具:金色财经报道,加密风投机构a16z在官网宣布推出使用零知识证明技术的空投领取工具,使得加密项目方向活跃贡献者发放空投时保护贡献者的地址隐私,特别是根据用户链下活动空投代币的情况下。

具体而言,潜在的空投接收者可以通过公共渠道(如 Telegram、Discord、Twitter 或 Signal)提供消息(称为“承诺”);然后,空投者通过将这些承诺散列在一起,构建一个Merkle树。随后,潜在的接受者可以通过提供零知识Merkle证明,证明他们是树内承诺的作者,而无需透露是哪一个,从而声称自己的空投份额。

a16z称,以这种方式申领代币将收件人的公共地址与所有其他有权空投的用户的公共地址混合在一起,从而保护他们的匿名性。[2022/3/28 14:21:12]

实现一个电路,主要实现两个接口函数:

零知识证明系统Bulletproofs+代码获准可在门罗币协议中使用:12月30日,门罗币发推宣布,零知识证明系统Bulletproofs+的代码现已获得许可,可在Monero协议中使用,以替代现有的Bulletproofs零知识证明系统。新系统将使得门罗交易结构变得更小,钱包交易速度更快以及网络验证速度更快。此外,官方表示,该代码具有功能性并包括对基础算法的测试,若考虑将来在门罗币网络升级中进行部署,则应该由第三方进行审核。[2020/12/30 16:04:23]

generate_r1cs_constraints - 生成R1CS,该电路比较简单,只要让依赖的两个gadget,生成R1CS即可。

generate_r1cs_witness - 给所有的变量进行赋值。该电路,需要赋值的变量有root,leaf(叶子节点),和叶子节点配套的默克尔路径,以及默克尔路径对应的地址信息(也就是每一层的节点的位置,左边还是右边)。

零知识证明研发机构StarkWare将在几周内开源ethSTARK:零知识证明研发机构 StarkWare 称,2018年我们获得以太坊基金会的资助去探索对 STARK 友好的哈希函数以及开源 ZKP 代码。我们将在几周内提前完成我们的工作。ethSTARK代码的运行速度将比现有的任何 ZKP 代码快20倍。注,2018年7月份,StarkWare称获得了以太坊基金会的资助(现金+代币),将研发对STARK 友好的哈希函数和技术,并为生态系统提供开源代码。STARK将允许区块链在兼备隐私和后量子安全的情况下进行大规模扩展(例如分片)。[2020/5/26]

整个电路最复杂的就是电路的构造函数,申请变量,创建gadget。其中重点讲一讲,set_input_sizes函数。libsnark的框架中,使用简单的区分public和private变量的模型。通过set_input_sizes函数,设置前几个变量为public变量。

pb.set_input_sizes(root_digest->digest_size);也就是说,该电路的公开变量为root的bit个数。

确定了电路的实现,看看main函数,如何生成和验证证明。

在main函数中定义了merkle树计算需要的一些类型:

FieldT默认是bn256椭圆曲线的的Fr,默克尔树计算采用是sha256算法。

3.1 setup

实现了generate_read_keypair函数,生成pk/vk。仔细看一下generate_read_keypair函数,逻辑简单清晰:构造MerkleCircuit,在生成R1CS后,调用r1cs_gg_ppzksnark_generator生成pk/vk。

pk存放在merkle_pk.raw文件中,vk存放在merkle_vk.raw中。

3.2 prove

prove逻辑,首先从输入参数构造一个完整的merkle树,并根据输入选定了默克尔路径。通过generate_read_proof函数生成证明。该函数逻辑也比较清晰:

构造MerkleCircuit,在生成R1CS后,设置各个变量的值。接着通过r1cs_gg_ppzksnark_prover生成证明。

3.3 verify

在获知vk,证明以及公开信息(root)的基础上,调用r1cs_gg_ppzksnark_verifier_strong_IC的接口完成验证。这也就是verify_read_proof函数的逻辑。

在编译之前,同步该项目依赖的libsnark库:

git submodule update --init --recursive4.1 编译

mkdir build; cd build; cmake ..编译完成,merkle目录下会生成merkle的可执行文件。

4.2 可信设置(trusted setup)

./merkle setup4.3 生成证明

./merkle prove [data1] [data2] [data3] [data4] [data5] [data6] [data7] [data8] [index]prove命令,需要提供原始的3层merkle树的8个叶子节点,并指定需要证明的第几个叶子节点对应的路径(index指明)。

4.4 验证

./merkle verify [root]其中,root信息是在prove中生成过程中打印出来的root信息(也是公开信息)。如果验证通过,就说明存在一条能生成root的merkle路径,虽然没有公开路径的具体信息。

总结:

libsnark库代码层次非常清晰,并抽象出protoboard和gadget,方便开发者快速搭建电路。本文给出了一个基于libsnark库开发的完整电路示例。示例实现了3层默克尔树的一条默克尔路径的验证。其中默克尔树采用sha256的散列函数。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-0:980ms