作者:康水跃,FoxTechCEO;孟铉济,FoxTech首席科学家
前言
密码学当中的零知识证明技术在web3世界有着广泛的应用,包括进行隐私计算、zkRollup等等。其中Layer2项目FOX所使用的FOAKS就是一个零知识证明算法。在上述的一系列应用当中,对于零知识证明算法而言,有两方面属性极为重要,那就是算法的效率以及交互性。
算法效率的重要性不言而喻,高效的算法可以明显的降低系统运行时间,从而降低客户端延迟,显著的提高用户体验和效率,这也是FOAKS致力于实现线性证明时间的一个重要原因。
另一方面,从密码学的角度来讲,零知识证明系统的设计往往依赖证明者和验证者的多轮交互。例如在许多介绍零知识证明的科普文章当中都会使用的「零知识洞穴」的故事当中,证明的实现就依赖于阿里巴巴和记者多轮的信息传递交互才能实现。但是事实上,在许多应用场景当中,依赖交互会使得系统不再可用,或者极高的增加延迟。就像在zkRollup系统当中,我们期望证明者能够在本地,不依赖于和验证者交互的情况下就计算出正确的证明值。
Life预言机协议:正在探索如何把真实数据存储在Filecoin网络:北京时间2021年5月18日15时,Life预言机协议官方发布博客表示正在探索如何把真实数据存储在Filecoin网络。Life去中心化数据预言机协议启动于2017年,旨在实现区块链与现实世界的数据可信交互。Life是一个集成了智能合约、加密算法、通证经济以及各种API的综合性去中心化预言机网络。生态参与者可依靠智能硬件采集设备进行海量数据收集,后端接入Life完成数据的加密存储、确权和自由流转。目前Life与可信硬件厂商的合作开发已经进展到了最后的阶段,相关可信硬件(数据采集设备)已经研发完成,不久将会上市。Life技术团队目前正基于Filecoin网络完善相关的API,以实现可信硬件采集的数据可直接上传至Filecoin网络。[2021/5/19 22:20:00]
从这个角度说,如何将交互式的零知识证明协议改造为非交互式,就是一个很有意义的问题。在这篇文章当中,我们将介绍FOX使用经典的Fiat-Shamir启发式来生成Brakedown中的挑战从而实现非交互式协议的过程。
零知识证明中的Challenge
直播|陆遥远 :普通用户如何参与DeFi获得高额收益:金色财经 · 直播主办的金点Trend《2020 DeFi Dai飞吗?》马上开始!DeFi生态里,我们还应该狙击哪些项目?成长空间是多少?应该关注哪些风险?11:00准时开播!本场嘉宾来自老陆的区块链笔记的作者/ 麦子钱包PM陆遥远分享“普通用户如何参与DeFi获得高额收益”,请扫码移步收听![2020/7/31]
零知识证明算法随着应用的铺开而变得异常火爆,近些年也诞生了包括FOAKS、Orion、zk-stark等在内的各种算法。这些算法,以及密码学界早期的sigma协议等的核心证明逻辑都是证明者先将某个值发送给验证者,验证者通过本地随机数产生一个挑战,将这个随机产生的挑战值发给证明者,证明者需要真的有知识才能以大概率做出通过验证者的响应。例如在零知识洞穴当中,记者抛一个硬币,告诉阿里巴巴从左侧出来还是从右侧出来,这里的「左和右」就是对阿里巴巴的挑战,他如果真的知道咒语,就一定可以从要求的方向走出来,否则就有一半的概率失败。
这里我们注意到,Challenge的生成是一个很关键的步骤,它有两个要求,随机和不可被证明者预测。第一点,随机性保证了它的概率属性。第二点,如果证明者可以预测挑战值那就意味着协议的安全性被破坏了,证明者没有知识也可以通过验证,可以继续类比,阿里巴巴如果能预测记者要求他从哪边出来,他即使没有咒语也可以提前进入那一边,结果表现出来一样可以通过协议。
声音 | 复旦杨洁萌:Libra落地最大挑战来自于如何应对监管:9月25日晚,第83期“金融学术前沿”报告会在复旦大学智库楼106会议室举行。复旦发展研究院金融研究中心(FDFRC)主任孙立坚教授研究团队成员杨洁萌发布了题为“Libra乌托邦与中国法定数字货币的机遇”的报告。杨洁萌表示,Libra和传统支付系统比,满足不同参与方的诉求,帮助账户方做大支付、汇款,让收款方降低交易成本,也让传统机构观察、应对创新的手段。具体来说,具有三大优势:1、低操作成本:区块链取代人工对账带来效率提高,差错减少;2、低交易成本:Libra体系内交易无需向中心化机构代理机构付费;3、低保证金降低成本:账本实时同步加强机构间公信,减少保证金要求,降低保证金带来的额外成本。Libra也依然面临着四大风险:各国面临的监管要求不同;反风险;资金安全和信息安全;监管政策不确定风险。因此,Libra虽然抱有非常美好的幻想,但离真正落地还有诸多挑战,最大的挑战来自于如何应对监管,还有包括隐私问题、挤兑风险问题等诸多问题,还处于乌托邦的阶段。(复旦发展研究院微信公众号)[2019/9/30]
所以我们需要一种办法,能够让证明者自己本地生成这样一个不可预测的随机数,同时还能够被验证者验证,这样就可以实现非交互式的协议。
布鲁金斯学会:全球监管机构之间没有就如何处理加密货币达成协议:据福布斯消息,布鲁金斯学会昨日发布关于央行和加密货币的研究报告。报告指出,世界各地的银行监管机构并未采取统一的方式来规范加密货币。该报告还指出,目前的大型经济体中,没有任何一个国家的央行认真考虑是否推出自己的加密货币。然而,美联储、日本央行、加拿大央行、英国央行和欧洲央行均表示正在评估央行加密货币的利与弊。研究表明,央行领导人目前主要对于加密货币潜在的逃税和可能表示担心。[2018/4/18]
哈希函数
哈希函数的名字对我们来说或许并不陌生,无论是在比特币的共识协议POW当中担任挖矿的数学难题,还是压缩数据量,构造消息验证码等等,都有哈希函数的身影。而在上述不同的协议当中,其实是运用了哈希函数的各种不同性质。
具体来讲,安全的哈希函数的性质包括以下几点:
压缩性:确定的哈希函数可以将任意长度的消息压缩成为固定长度。
有效性:给定输入x,计算输出h是容易的。
抗碰撞性:给定一个输入x1,希望找到另一个输入x2,x1x2,h=h,是困难的。
Shapeshift CEO:比特币与央行一样少有人知道其如何运作 却一直在被使用:Shapeshift的首席执行官Erik Voorhees在其社交媒体发文称:“现在有许多人质疑比特币是如何运作的,并且因为比特币的不确定性而远离它。然而与此同时,这些人中没有一个人知道中央银行的业务是如何运作的,但却毫无疑问地一直在使用它。[2018/3/22]
注意,如果哈希函数满足抗碰撞性,那么必然满足单向性,也就是说给定一个输出y,要找出x满足h=y是困难的。在密码学当中,还不能构造出理论上绝对满足单向性的函数,但是哈希函数在实际应用当中可以基本视作单向函数。
这样一来,可以发现上述的几种应用分别对应于哈希函数的几点不同的性质,同时我们说,哈希函数还有一个很重要的作用是提供随机性,虽然密码学理论当中要求的完美的随机数生成器目前也无法构造,但是哈希函数在实际当中同样可以充当这个角色,这就为我们后文介绍的Fiat-Shamir启发式的技巧提供了基础。
Fiat-Shamir启发式
事实上,Fiat-Shamir启发式就是利用哈希函数来对前面生成的脚本进行哈希运算,从而得到一个值,用这个值来充当挑战值。
因为将哈希函数H视作一个随机函数,挑战是均匀随机的被选择,独立于证明者的公开信息和承诺的。安全分析认为Alice不能预测H的输出,只能将其当作一个oracle。在这种情况下,Alice在不遵循协议的情况下做出正确响应的概率(特别是当她不知道必要的秘密时)与H的值域的大小成反比。
图1:利用Fiat-ShamirHeuristic实现非交互式证明非交互式FOAKS
在本节,我们具体展示Fiat-Shamir启发式在FOAKS协议当中的应用,主要是用来产生Brakedown部分的挑战,从而实现非交互式的FOAKS。
首先我们看到,在Brakedown生成证明的步骤当中,需要挑战的步骤是「近似性检验」以及MerkleTree的证明部分。对于第一点原本的过程是证明者在这里需要验证者产生的一个随机向量,计算过程如下图所示:
图2:非交互证明FOAKS中的BrakedownChecks
现在我们使用哈希函数,让证明者自己产生这个随机向量。
令0=H(C1,R,r0,r1),对应的,在验证者的验证计算当中,也需要增加这个计算出0的步骤。根据这样的构造,可以发现,在生成承诺之前,证明者并不能提前预测挑战值,于是不能提前根据挑战值来对应的「作弊」,也就是对应的生成假的承诺值,同时,根据哈希函数输出的随机性,这个挑战值也满足随机性。
对于第二点,令I=H(C1,R,r0,r1,c1,y1,c0,y0)。
我们使用伪代码给出改造后非交互式的Brakedown多项式承诺当中的证明和验证函数,这也是FOAKS系统当中使用的函数。
functionPC.Commit():
Parsewasakkmatrix.TheproverlocallycomputesthetensorcodeencodingC1,C2,C1isaknmatrix,C2isannmatrix.
forido
ComputetheMerkletreerootRoott=Merkle.Commit(C2)
ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.
functionPC.Prover(,X,R)
Theprovergeneratesarandomvector0Fkbycomputing:0=H(C1,R,r0,r1)
Proximity:c0=i=0k-10C1,y0=i=0k-10w
Consistency:c1=i=0k-1r0C1,y1=i=0k-1r0w
Proversendsc1,y1,c0,y0totheverifier.
ProvercomputesavectorIaschallenge,inwhichI=H(C1,R,r0,r1,c1,y1,c0,y0)
foridxIdo
ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier
functionPC.VERIFY_EVAL(X,X,y=(X),R)
Proximity:idxI,C0==<0,C1>andEC(y0)==C0
Consistency:idxI,C1==<r0,C1>andEC(y1)==C1
y==<r1,y1>
idxI,EC(C1)isconsistentwithROOTidx,andROOTidx』sMerkletreeproofisvalid.
Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.
结语
许多的零知识证明算法在设计之初都依赖证明者和验证者双方的交互,但是这种交互式证明协议不适合用在追求高效,网络通讯开销大的应用场景下,比如链上数据隐私保护和zkRollup等等。通过Fiat-Shamir启发式,可以在不破坏协议安全性的条件下让证明者本地生成随机数「挑战」,并且可以被证明者验证。根据这种方法,FOAKS同样实现了非交互式的证明,并应用在系统当中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。