原文作者:康水躍,FoxTechCEO;孟鉉濟,FoxTech首席科學家
前言
密碼學當中的零知識證明技術在web3世界有著廣泛的應用,包括進行隱私計算、zkRollup等等。其中Layer2項目FOX所使用的FOAKS就是一個零知識證明算法。在上述的一系列應用當中,對于零知識證明算法而言,有兩方面屬性極為重要,那就是算法的效率以及交互性。
算法效率的重要性不言而喻,高效的算法可以明顯的降低系統運行時間,從而降低客戶端延遲,顯著的提高用戶體驗和效率,這也是FOAKS致力于實現線性證明時間的一個重要原因。
另一方面,從密碼學的角度來講,零知識證明系統的設計往往依賴證明者和驗證者的多輪交互。例如在許多介紹零知識證明的科普文章當中都會使用的“零知識洞穴”的故事當中,證明的實現就依賴于阿里巴巴和記者多輪的信息傳遞交互才能實現。但是事實上,在許多應用場景當中,依賴交互會使得系統不再可用,或者極高的增加延遲。就像在zkRollup系統當中,我們期望證明者能夠在本地,不依賴于和驗證者交互的情況下就計算出正確的證明值。
從這個角度說,如何將交互式的零知識證明協議改造為非交互式,就是一個很有意義的問題。在這篇文章當中,我們將介紹FOX使用經典的Fiat-Shamir啟發式來生成Brakedown中的挑戰從而實現非交互式協議的過程。
美國國會法案呼吁聯邦政府研究加密貨幣用于非法活動的案例,并就如何減少這些用途提出建議:4月27日消息,周四向美國參議院和眾議院提交的一項兩黨法案將呼吁聯邦政府研究加密貨幣用于非法活動的案例,并就如何減少這些用途提出建議。《金融技術保護法案》建議成立一個工作組,負責研究恐怖分子或其他犯罪分子如何使用加密貨幣和其他新的金融技術,并為國會和監管機構提出旨在打擊這些用途的建議。[2023/4/27 14:31:26]
零知識證明中的Challenge
零知識證明算法隨著應用的鋪開而變得異常火爆,近些年也誕生了包括FOAKS、Orion、zk-stark等在內的各種算法。這些算法,以及密碼學界早期的sigma協議等的核心證明邏輯都是證明者先將某個值發送給驗證者,驗證者通過本地隨機數產生一個挑戰,將這個隨機產生的挑戰值發給證明者,證明者需要真的有知識才能以大概率做出通過驗證者的響應。例如在零知識洞穴當中,記者拋一個硬幣,告訴阿里巴巴從左側出來還是從右側出來,這里的“左和右”就是對阿里巴巴的挑戰,他如果真的知道咒語,就一定可以從要求的方向走出來,否則就有一半的概率失敗。
這里我們注意到,Challenge的生成是一個很關鍵的步驟,它有兩個要求,隨機和不可被證明者預測。第一點,隨機性保證了它的概率屬性。第二點,如果證明者可以預測挑戰值那就意味著協議的安全性被破壞了,證明者沒有知識也可以通過驗證,可以繼續類比,阿里巴巴如果能預測記者要求他從哪邊出來,他即使沒有咒語也可以提前進入那一邊,結果表現出來一樣可以通過協議。
馬斯克回應查理芒格關于加密貨幣言論的推文:我們可能會死,但無論如何都值得一試:2月17日消息,馬斯克回應一條關于芒格最新的批評加密貨幣言論的推文,加密貨幣應該被禁止,并稱加密貨幣就像“性病”一樣令人不齒。馬斯克評論稱,“2009年,我曾和芒格共進午餐,他向整個餐桌的人說特斯拉將如何失敗。這讓我很難過,但我告訴他,我同意所有這些理由,我們可能會死,但無論如何都值得一試。[2022/2/17 9:57:26]
所以我們需要一種辦法,能夠讓證明者自己本地生成這樣一個不可預測的隨機數,同時還能夠被驗證者驗證,這樣就可以實現非交互式的協議。
哈希函數
哈希函數的名字對我們來說或許并不陌生,無論是在比特幣的共識協議POW當中擔任挖礦的數學難題,還是壓縮數據量,構造消息驗證碼等等,都有哈希函數的身影。而在上述不同的協議當中,其實是運用了哈希函數的各種不同性質。
具體來講,安全的哈希函數的性質包括以下幾點:
壓縮性:確定的哈希函數可以將任意長度的消息壓縮成為固定長度。
有效性:給定輸入x,計算輸出h是容易的。
抗碰撞性:給定一個輸入x1,希望找到另一個輸入x2,x1x2,h=h,是困難的。
億優優創始人昀序:區塊鏈如何與金融正確聯系值得我們深思:金色財經現場報道,9月20日,由金色財經主辦,水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。在主題為《區塊鏈力量:創業、創新與創造》的圓桌環節,億優優創始人昀序表示,區塊鏈會改變未來,但并不是唯一改變未來的技術,區塊鏈技術會為未來的數字化社會做出一定的貢獻。區塊鏈跟金融行業正確聯系才是我們要深思的。目前區塊鏈技術還是處于萌芽狀態,各自摸索,互不兼容,也存在跨鏈的問題。從整個戰略方面來說,很多企業在五、六年之前就在布局區塊鏈技術了,只是他們沒有過重的把TOKEN與技術結合,區塊鏈需要真實用技術去展示和應用。[2020/9/20]
注意,如果哈希函數滿足抗碰撞性,那么必然滿足單向性,也就是說給定一個輸出y,要找出x滿足h=y是困難的。在密碼學當中,還不能構造出理論上絕對滿足單向性的函數,但是哈希函數在實際應用當中可以基本視作單向函數。
這樣一來,可以發現上述的幾種應用分別對應于哈希函數的幾點不同的性質,同時我們說,哈希函數還有一個很重要的作用是提供隨機性,雖然密碼學理論當中要求的完美的隨機數生成器目前也無法構造,但是哈希函數在實際當中同樣可以充當這個角色,這就為我們后文介紹的Fiat-Shamir啟發式的技巧提供了基礎。
動態 | Block.one 總裁發文闡述區塊鏈如何解決銀行的 KYC 和 AML 問題:據 IMEOS 報道,Block.one 總裁 Rob Jesudason 十分鐘前發文《How Blockchain Offers an Answer to Banks’ KYC and AML Issues 》闡述區塊鏈如何解決銀行的 KYC 和 AML 問題。他認為區塊鏈不是官僚或新聞中想象的監管雷區; 相反,它可以成為監管機構的資產。
文中提及在過去十年中,許多世界領先的銀行都因反洗錢問題而被罰款,罰款總數達260億美元之多。而在過去12個月中,監管機構如何考慮如何鼓勵使用區塊鏈技術方面取得了進展。區塊鏈技術可以減輕數據模糊性并減少欺詐的可能性。如果所有銀行都在區塊鏈上,那么KYC和AML數據可以以安全,透明和無縫的方式在金融機構之間共享。[2018/10/16]
Fiat-Shamir啟發式
事實上,Fiat-Shamir啟發式就是利用哈希函數來對前面生成的腳本進行哈希運算,從而得到一個值,用這個值來充當挑戰值。
因為將哈希函數H視作一個隨機函數,挑戰是均勻隨機的被選擇,獨立于證明者的公開信息和承諾的。安全分析認為Alice不能預測H的輸出,只能將其當作一個oracle。在這種情況下,Alice在不遵循協議的情況下做出正確響應的概率(特別是當她不知道必要的秘密時)與H的值域的大小成反比。
郭宇航談區塊鏈和數字貨幣項目如何規避政策風險:做到三個點:日前在“2018洪泰春分大會”上,談及到區塊鏈未來到底能做什么,星合資本董事長、點融創始人郭宇航,作為業內知名區塊鏈專家,他表示:“區塊鏈在金融、存證、版權、游戲、未來萬物上鏈等方面容易落地,最終是要讓全世界的機器走向共識。以及關于區塊鏈和數字貨幣項目如何規避政策風險?郭宇航認為就三點,一是不要渉眾,二是服務實體,三是擁抱監管。”[2018/3/22]
圖1:利用Fiat-ShamirHeuristic實現非交互式證明
非交互式FOAKS
在本節,我們具體展示Fiat-Shamir啟發式在FOAKS協議當中的應用,主要是用來產生Brakedown部分的挑戰,從而實現非交互式的FOAKS。
首先我們看到,在Brakedown生成證明的步驟當中,需要挑戰的步驟是“近似性檢驗”以及MerkleTree的證明部分。對于第一點原本的過程是證明者在這里需要驗證者產生的一個隨機向量,計算過程如下圖所示:
圖2:非交互證明FOAKS中的BrakedownChecks
現在我們使用哈希函數,讓證明者自己產生這個隨機向量。
令γ0=H(C1,R,r0,r1),對應的,在驗證者的驗證計算當中,也需要增加這個計算出γ0的步驟。根據這樣的構造,可以發現,在生成承諾之前,證明者并不能提前預測挑戰值,于是不能提前根據挑戰值來對應的“作弊”,也就是對應的生成假的承諾值,同時,根據哈希函數輸出的隨機性,這個挑戰值也滿足隨機性。
對于第二點,令?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)。
我們使用偽代碼給出改造后非交互式的Brakedown多項式承諾當中的證明和驗證函數,這也是FOAKS系統當中使用的函數。
functionPC.Commit(?):
Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1,C2,C1isak×nmatrix,C2isan×nmatrix.
fori∈do
ComputetheMerkletreerootRoott=Merkle.Commit(C2)
ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.
functionPC.Prover(?,X,R)
Theprovergeneratesarandomvectorγ0∈Fkbycomputing:γ0=H(C1,R,r0,r1)
Proximity:
Consistency:
Proversendsc1,y1,cγ0,yγ0totheverifier.
Provercomputesavector?aschallenge,inwhich?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)
foridx∈?do
ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier
functionPC.VERIFY_EVAL(ΠX,X,y=?(X),R)
Proximity:?idx∈?,Cγ0==<γ0,C1>andEc(yγ0)==Cγ0
Consistency:?idx∈?,C1==<γ0,C1>andEc(y1)==C1
y==<r1,y1>
?idx∈?,Ec(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.
Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.
結語
許多的零知識證明算法在設計之初都依賴證明者和驗證者雙方的交互,但是這種交互式證明協議不適合用在追求高效,網絡通訊開銷大的應用場景下,比如鏈上數據隱私保護和zkRollup等等。通過Fiat-Shamir啟發式,可以在不破壞協議安全性的條件下讓證明者本地生成隨機數“挑戰”,并且可以被證明者驗證。根據這種方法,FOAKS同樣實現了非交互式的證明,并應用在系統當中。
參考文獻
1.Fiat,Amos;Shamir,Adi(1987)."HowToProveYourself:PracticalSolutionstoIdentificationandSignatureProblems".AdvancesinCryptology—CRYPTO'86.LectureNotesinComputerScience.SpringerBerlinHeidelberg.263:186–194.doi:10.1007/3-540-47721-7_12.ISBN978-3-540-18047-0.
2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html
各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00據彭博社8日消息,他們目前已與由MichaelNovogratz創建的數字資產管理公司GalaxyDigital達成合作關系,并聯合推出BloombergGalaxyCryptoIndex.
1900/1/1 0:00:00原文作者:OpsideTeam–nanfengpo關于PoS&PoW的混合共識nativerollup是一個zk-based的3-layer擴容解決方案.
1900/1/1 0:00:00近日,時代周刊援引韓國媒體報道稱,已有多起自殺事件被認為與加密貨幣交易損失有關。韓比特幣憂郁患者不斷增加,多人或因幣市大跌自殺韓國是全球第三大加密貨幣市場,據韓國今年2月公開報道顯示,人口520.
1900/1/1 0:00:00各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00當地時間周四,美國專利商標局(USPTO)公布了去年10月沃爾瑪提交的專利申請文件。文件透露,通過區塊鏈技術連接的自動送貨車,將在沃爾瑪的物流配送中落地應用.
1900/1/1 0:00:00