以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

零知識證明的寒武紀大爆炸_STAR:ARK幣是什么幣STAR幣

Author:

Time:1900/1/1 0:00:00

這篇文章適用于具有一定密碼學背景的人。它調查了不斷擴展的證明系統密碼學以及對稱STARK在其中的作用。基于2019年11月在舊金山發表的演講。

1.簡介

35億年來,地球上的生命都是由單細胞生物組成的。然后,在地質學上的一眨眼之間,在所謂的寒武紀大爆發期間,幾乎所有我們今天認識的動物門類都出現了。

通過類比,我們目前正在經歷計算完整性(CI)加密證明領域的寒武紀大爆發,其中一個子集包括零知識證明。幾年前,每年大約有1-3個新系統,而現在這個速度已經加快了很多,如果不是每周,我們每個月都能看到同樣的數量。到目前為止,在2019年,我們已經了解了Libra,Sonic,SuperSonic,PLONK,SLONK,Halo,Marlin,Fractal,Spartan,SuccinctAurora等新結構,以及OpenZKP,Hodor和GenSTARK等實現。哦,當墨水在這篇文章上干燥時,RedShift和AirAssembly出現了。

如何理解所有這些了不起的創新?這篇文章的目的是找出所有用代碼實現的CI系統的共同點,并討論一些區別因素。

請注意,本文將有點技術性,因為它假定有一些密碼學背景!然而,對于感興趣的非密碼學家來說,這可能值得略讀一下,以了解該領域使用的術語。盡管如此,我們的描述將是簡短的,并且從數學的角度來看故意不精確。這篇文章的另一個主要目的是解釋為什么我們公司StarkWare將其所有的科學、工程和產品芯片放在CI-verse的一個特定子家族上,從此稱為對稱STARKs。

共同的祖先

計算完整性證明系統可以幫助解決困擾去中心化區塊鏈的兩個基本問題:隱私和可擴展性。零知識證明(ZKPs1)通過屏蔽計算的某些輸入而不損害完整性來提供隱私。簡潔可驗證的CI系統通過指數級壓縮驗證大量事務完整性所需的計算量來提供可伸縮性。

所有用代碼實現的CI系統都有兩個共同點:都使用所謂的算術化,并且所有加密都強制執行稱為“低程度遵從性”(LDC)2的概念。

SKALE即將發布去中心化零知識證明解決方案Levitation Protocol:6月2日消息,以太坊側鏈 SKALE 開發人員宣布了一項 SKALE 改進提案,即,去中心化零知識證明解決方案 Levitation Protocol,旨在通過使全套 ZK 解決方案無縫連接到 SKALE 架構,并將 Rollup 連接到以太坊主網。該提案包括進一步的生態系統升級,增加了一個新的「Layer 1 Megachain」,稱為 SKALE G(G 代表木衛三,太陽系中最大的衛星)。

SKALE 開發人員計劃在未來幾個月內開始發布 Levitation Protocol 源代碼,之后將啟動公共測試網。Levitation Protocol 主網計劃于 2023 年第四季度推出。[2023/6/2 11:53:31]

算術化是對證明算法所做的計算陳述的簡化。你可以從這樣一個概念性的陳述開始:

“我知道允許我進行加密Zcash交易的密鑰”

并將其轉化為包含一組有界多項式的代數語句,如:

“我知道四個多項式A(X),B(X),C(X),D(X),每一個都小于1000度,因此這個等式成立:A(X)*B2(X)-C(X)=(X1??-1)*D(X)”

低次遵從意味著使用密碼學來確保證明者實際上選擇了低次多項式3,并在驗證者請求的隨機選擇的點上評估這些多項式。在上面的例子中(我們將在這篇文章中繼續提到),一個好的最不發達國家解決方案向我們保證,當證明者被問及x0時,它將回答a0,b0,c0,d0,這些值是輸入x0時a,b,c和d的正確值。棘手的部分是,證明者可能在看到查詢x0后選擇a,B,C和D,或者可能決定用任意的a0,B0,C0,D0來安撫驗證者,并且不對應于預先選擇的低次多項式的任何評估。所以,所有的加密技術都是為了防止這種攻擊媒介。(要求證明者發送完整的A、B、C和D的平凡解決方案既不能提供可伸縮性,也不能提供隱私。)

考慮到這一點,CI-verse可以根據(i)用于強制LDC的加密原語,(ii)使用這些原語構建的特定LDC解決方案以及(iii)這些選擇允許的算法類型來繪制。

2.比較維度

i.密碼學假設

數據:過去一周零知識區塊鏈上的交易量和投資者存款激增:5月24日消息,DeFi用戶正涌向使用“零知識證明”的基于以太坊的區塊鏈,DefiLlama數據顯示,zkSync Era、Starknet和Polygon zkEVM的活動在過去一周大幅飆升,這些鏈上去中心化交易所交易量過去一周分別增長了88%、48%和230%,總鎖定價值(Total Value Locked,簡稱TVL) 過去一周增長分別增長了13%、16%和219%。[2023/5/24 15:22:47]

從30000英尺的角度來看,不同CI系統之間最大的理論區別因素是它們的安全性是需要對稱基元還是不對稱基元(參見圖1)。典型的對稱基元是SHA2、Keccak(SHA3)或Blake,我們假設它們是抗碰撞哈希(CRH)函數、偽隨機函數,其行為就像隨機的oracle。非對稱假設包括求解以素數、RSA模數或橢圓曲線群為模的離散對數問題的難度,計算RSA環的乘法群的大小的難度,以及此類問題的更奇特的變體,如“指數知識”假設,“自適應根”假設等。

圖1:密碼學假設家譜

CI系統之間的這種對稱/不對稱劃分有許多后果,其中包括:

A.計算效率

今天在代碼中實現的非對稱原語的安全性需要在大型代數域上進行算術運算并解決LDC問題:大型素域和它們上面的大型橢圓曲線,其中每個域/組元素都是數百位長,或者整數環,其中每個元素都是數千位長。相比之下,僅依賴對稱假設的構造在任何代數域(環或有限域)上進行算術運算并執行LDC,這些代數域包含光滑的5子群,包括非常小的二進制域和2-光滑素域(64位或更少),其中算術運算很快。

結論:對稱CI系統可以在任何領域進行算術運算,從而提高效率。

B.后量子安全

如果有足夠大的量子計算機(以量子位為單位)出現,那么目前在ci領域中使用的所有不對稱原語都將被有效地打破。另一方面,對稱原語似乎是后量子安全的(可能每比特安全性具有更大的種子和狀態)。

Polygon Zero宣布其零知識驗證系統Plonky2已開源:8月17日消息,Polygon 旗下零知識技術開發商 Polygon Zero(原 Mir)在其社交平臺宣布其零知識驗證系統 Plonky2 已開源。

此前報道,1 月 11 日,Polygon Zero 宣布推出遞歸 SNARK 解決方案 Plonky2,并可與以太坊兼容。官方介紹,使用 Plonky2,用戶可以在筆記本電腦上僅 0.17 秒內生成遞歸零知識證明,比目前的速度快了近 100 倍。[2022/8/17 12:30:17]

結論:只有對稱系統才是后量子安全的。

圖2:加密假設及其支持的經濟價值

C.能否經得住時間的考驗

林迪效應理論認為,“一些不易腐爛的東西,比如技術或想法,未來的預期壽命與它們當前的年齡成正比。”或者用簡單的英語來說,舊的東西比新的東西存活的時間更長。在密碼學領域,這可以被翻譯為說依賴于舊的、經過戰斗測試的原語的系統比那些經過較少考驗的新假設更安全,更經得起未來的考驗(見圖2)。從這個角度來看,不對稱假設的新變體,如未知順序的組,一般的群體模型和指數假設的知識是年輕的,并且比舊的假設(如用于數字簽名,基于身份的加密和SSH初始化的更標準的DLP和RSA假設)更輕的經濟車。這些假設不如對稱假設(如抗碰撞哈希的存在)具有前瞻性,因為后者的假設(甚至是特定的哈希函數)是用于保護計算機、網絡、互聯網和電子商務的基礎。

此外,這些假設之間有嚴格的數學層次關系。CRH假設在這個層次結構中占主導地位,因為如果這個假設被打破(意味著沒有找到安全的加密哈希函數),那么RSA和DLP假設也會被打破,因為這些假設意味著存在一個好的CRH!同樣,DLP假設支配著指數知識(KoE)假設,因為如果前者(DLP)假設不成立,那么后者(KoE)也不成立。同樣,RSA假設優于未知順序組(GoUO)假設,因為如果RSA被破壞,那么GoUO也會被破壞。

結論:新的不對稱假設是金融基礎設施風險更高的基礎。

以太坊基金會、AMD、Polkadot 發起 700 萬美元競賽以促進零知識擴展:金色財經報道,ZPrize于4月19日宣布,多個加密貨幣項目聯合起來,為使用零知識(ZK)證明的創新團隊提供700萬美元的獎金。該競賽由21個Web3組織支持,包括Polygon、Polkadot、Mina和Ethereum基金會。AMD-Xilinx還將為參賽團隊提供高功率的計算設備。ZPrize在一份聲明中說,參賽團隊將嘗試設計 \"新的算法和技術,以實現最好的零知識系統無法比擬的性能指標。\"獲獎者必須將其提交的材料開源,以便其他開發者能夠將任何突破性的東西整合到他們的工作中。[2022/4/20 14:34:54]

D.參數長度

以上所有觀點都傾向于對稱CI結構而非對稱CI結構。但在一個領域,不對稱結構表現得更好。與之相關的溝通復雜性(或參數長度)要小1-3個數量級(盡管有尼爾森定律6)。眾所周知,Groth16SNARK在估計的128位安全級別上小于200字節,而目前存在的所有對稱結構都需要數十千字節才能達到相同的安全級別。應該注意的是,并非所有的非對稱結構都像200字節那樣簡潔。最近的結構改進了Groth16,通過(i)消除了對可信設置(透明度)的需要和/或(ii)處理一般電路(Groth16每個電路需要一個可信設置)。但是這些較新的結構具有更長的參數,其大小在半千字節(PLONK的情況就是如此)到兩位數的千字節之間,接近對稱結構的參數長度。

結論:非對稱電路專用系統(Groth16)最短,比所有非對稱通用系統和所有對稱系統都短。

重申上述要點:

對稱CI系統可以對任何領域進行算術運算,從而提高效率

只有對稱系統才是后量子安全的

新的不對稱假設為金融基礎設施奠定了一個風險更高的基礎

非對稱電路專用系統(Groth16)最短,比所有非對稱通用系統和所有對稱系統都短

ii.低程度合規計劃

實現低程度遵從性有兩種主要方法:(i)隱藏查詢和(ii)承諾方案(參見圖3)。讓我們來看看它們之間的區別。

金色沙龍 | 燕麗:零知識證明對于協調區塊鏈底層擴容也有很大幫助:在今日舉行的《隱私計算——區塊鏈信息安全守護者》為主題的金色沙龍中,算力智庫創始人燕麗表示,2020年1月1日,中國首部《中華人民共和國密碼法》將正式開始實施,而在這之前一直只有一部 2007年4月23日公布的《商用密碼產品使用管理規定》和《境外組織和個人在華使用密碼產品管理辦法》。很多人把這次《密碼法》和2019年“1024”中央把區塊鏈技術作為國家戰略聯系在一起。區塊鏈技術是完全基于密碼學技術,所以按照這個邏輯,如果政府要完全掌控未來區塊鏈技術的發展,首先就要完全掌控密碼學技術,而這個其中的核心是國家主權范圍之間在所有的通信安全和商業行為之間軍備競賽的升級。區塊鏈有大量擴容壓力,而為了達到這個操作,必然要犧牲系統處理效能和部分隱私。但矛盾的是,區塊鏈前期的應用場景如虛擬貨幣,數字金融等,都需要有更好的隱私保護和不容易被惡意攻擊的防護。所以若想讓區塊鏈技術落地生根,那么提高區塊鏈底層技術來滿足對于高安全性(含高完整性和高保密性)、高性能、高廣義效率的要求,也許是個穩妥做法。所以隱私計算中的零知識證明等對于協調區塊鏈底層擴容也有很大幫助。[2020/4/15]

圖3:隱藏查詢和承諾方案

隱藏查詢

這種方法(在這里形式化)是Zcash風格的snark(如Pinocchio,libSNARK,Groth16)以及基于它們的系統(如Zcash的Sapling,以太坊的Zokrates等)所使用的方法。為了讓證明者正確回答,我們使用同態加密來隱藏或加密x0,并提供足夠的信息,以便證明者可以計算x0上的A,B,C和D。實際上,給證明者的是x0的冪的加密序列(即x01,x02,…x01??),因此證明者可以計算任何1000次多項式,但只能計算最多1000次的多項式。粗略地說,這個系統是安全的,因為證明者不知道x0是什么,這個x0是隨機(預先)選擇的,所以如果證明者試圖作弊,那么他們很有可能會被暴露。這里需要一個可信的預處理設置階段來對x0進行采樣并加密上述冪次序列(以及其他信息),從而產生一個至少與被證明的計算電路一樣大的證明密鑰(也有一個短得多的驗證密鑰)。一旦設置完成,密鑰被釋放,每個證明都是一個單一的、簡潔的、非交互式的知識論證(簡稱SNARK)。請注意,這個系統確實需要某種形式的交互,以預處理階段的形式,這是不可避免的理論原因。還要注意的是,該系統并不透明,這意味著用于采樣和加密x0的熵不能僅僅是公共隨機硬幣,因為任何知道x0的人都可以破壞該系統并證明錯誤。因此,在不泄露x0的情況下生成x0及其功率的加密是一個構成潛在單點故障的安全問題。

承諾方案

這種方法要求證明者通過向驗證者發送一些加密的承諾消息來提交一組低次多項式(A、B、C和D,在上面的例子中)。有了這個承諾,驗證者現在采樣并詢問證明者隨機選擇的x0,現在證明者回復a0,b0,c0和d0以及額外的加密信息,這些信息使驗證者相信證明者透露的四個值符合早先發送給驗證者的承諾。這些方案是自然交互的,其中許多是透明的(驗證者生成的所有消息都是公共隨機硬幣)。透明度允許人們通過Fiat-Shamir啟發式(將偽隨機函數(如SHA2/3)視為提供“公共”隨機性的隨機oracle)將協議壓縮為非交互式協議,或者使用其他公共隨機性來源,如塊頭。最流行的透明承諾方案是通過Merkle樹,這種方法似乎是后量子安全的,但會導致許多對稱系統中出現的大參數長度(由于需要顯示所有身份驗證路徑并伴隨每個證明者答案)。這是大多數STARK使用的方法,如libSTARK和簡潔的Aurora,以及簡潔的證明系統,如ZKBoo,Ligero,Aurora和Fractal(即使這些系統不滿足STARK的正式可擴展性定義)。特別是,我們在StarkWare上構建的STARKs(就像我們即將部署的StarkDEXalpha和StarkExchange)屬于這一類。人們可以使用不對稱原語來構建承諾方案,例如,基于橢圓曲線群上離散對數問題的硬度的方案(這是BulletProofs和Halo采用的方法),以及未知階假設的組(如DARK和SuperSonic所做的)。使用不對稱承諾方案有前面提到的優點和缺點:較短的證明但較長的計算時間、量子敏感性、較新的(和較少研究的)假設,以及在某些情況下,透明度的喪失。

iii.算術化

加密假設和LDC方法的選擇也會以三種明顯的方式影響算術可能性的范圍(參見圖4):

圖4:算術化效果

A.NP(電路)vs.NEXP(程序)

大多數實現的CI系統將計算問題簡化為算術電路,然后將其轉換為一組約束(通常是R1CS約束,下面將討論)。這種方法允許特定電路的優化,但要求驗證者或受其信任的某些實體執行與被驗證的計算(電路)一樣大的計算。對于像Zcash的樹苗電路這樣的多用途電路,這種算法就足夠了。但是,像libSTARK、簡潔的Aurora和StarkWare正在構建的系統這樣的可擴展和透明(不受信任的設置)的系統,必須使用簡潔的計算表示,類似于一般的計算機程序,其描述比正在驗證的計算要小得多。實現這一目標的兩種現有方法是:(i)libSTARK、genSTARK和StarkWare系統使用的代數中間表示(AIRs),以及(ii)簡潔R1CS的簡潔aurora,最好被描述為通用計算機程序的算術運算(與電路相反)。這些簡潔的表示足以捕獲非確定性指數時間(NEXP)的復雜性類,它比電路描述的非確定性多項式時間(NP)類更具指數性和強大。

B.字母的大小和類型

如上所述,所使用的密碼學假設也在很大程度上決定了哪些代數域可以作為我們進行算術運算的字母表。例如,如果我們使用雙線性配對,那么我們將用于算術化的字母表是橢圓曲線點的一個循環群,這個群必須是大素數,這意味著我們需要在這個域上進行算術化。再舉一個例子,超音速系統(在它的一個版本中)使用RSA整數,在這種情況下,字母表將是一個大的素數字段。相比之下,當使用Merkle樹時,字母表的大小可以是任意的,允許在任何有限的域上進行算術運算。這包括上面的例子,也包括任意素數域,小素數域的擴展,如二進制域。字段類型很重要,因為較小的字段會導致更快的證明和驗證時間。

C.R1CS與一般多項式約束

zcash風格的snark利用橢圓曲線上的雙線性對來對計算約束進行算法化。這種雙線性對的特殊使用?將算法限制在二次秩-1約束系統(R1CS)的門上。R1CS的簡單性和普遍性使得許多其他系統在電路中使用這種形式的算法,即使可以使用更一般形式的約束,如任意秩二次型,或更高程度的約束。

3.STARKvs.SNARK

這是一個很好的機會來澄清stark和SNARKs之間的區別。這兩個術語都有具體的數學定義,某些結構可以實例化為stark或snark,或兩者兼而有之。不同的術語強調證明系統的不同性質。讓我們更詳細地檢查一下(參見圖5)。

圖5:STARKvs.SNARK

STARK

這里的S代表可擴展性,這意味著隨著批大小n的增加,在n中準線性證明時間尺度,同時在n中多對數?驗證時間尺度。STARK中的T代表透明度,這意味著所有驗證者消息都是公共隨機幣(沒有可信設置)。根據這個定義,如果有任何預處理設置,那么它必須是簡潔的(多對數的),并且必須僅包含對公共隨機硬幣的采樣。

SNARK

這里的S代表簡潔,這意味著驗證時間尺度在n上是多對數的(不要求準線性證明時間),n意味著非交互,這意味著在預處理階段(可能是不透明的)之后,證明系統不能允許任何進一步的交互。請注意,根據這個定義,允許非簡潔的可信設置階段,一般來說,系統不必是透明的,但它必須是非交互式的(在完成預處理階段之后,這是不可避免的)。

看看CI-verse(見圖5),人們注意到它的一些成員是STARKs,其他成員是SNARKs,有些是兩者都是,而另一些則兩者都不是(例如,如果驗證時間尺度比n的多對數更差)。如果你對隱私(ZKP)應用感興趣,那么ZK-SNARKs和ZK-STARKs甚至既沒有STARK的可擴展性也沒有SNARK的簡便性(較弱)的系統都可以很好地服務;門羅幣使用的防彈技術就是一個值得注意的例子,其驗證時間與電路尺寸呈線性關系。當談到代碼成熟度時,snark有一個優勢,因為有相當多好的開源庫可供構建。但是,如果您對可伸縮性應用程序感興趣(您需要為不斷增長的批處理大小構建),那么我們建議使用對稱stark,因為在編寫時,它們具有最快的證明時間,并且保證驗證過程(或設置系統)的任何部分都不需要超過多對數的處理時間。如果你想構建具有最小信任假設的系統,那么,再一次,你想使用對稱的STARK,因為需要的唯一成分是一些CRH和公共隨機性的來源。

4.總結

圖6:總結

我們有幸經歷了計算完整性證明系統宇宙的寒武紀大爆發,所有的賭注都是系統和創新的擴散將以越來越快的速度繼續下去。此外,隨著明天出現新的見解和結構,這種描述擴展和變化的CI-verse的嘗試可能會過時。話雖如此,調查今天的ci空間,我們看到的最大的分水嶺是(i)需要非對稱加密假設的系統-這導致更短的證明,但證明成本更高,有更新的假設,這些假設是量子敏感的,其中許多是不透明的;(ii)系統只依賴于對稱假設,使它們在計算上高效,透明,似乎是后量子安全的,而且是最未來的證明(根據林迪效應度量)。

關于使用哪種論證體系的爭論遠未結束。但在StarkWare,我們說:對于簡短的參數,使用Groth16/PLONKSNARKs。其他的都是對稱的STARKs。

伊萊·本·薩森,StarkWare公司

特別感謝JustinDrake對早期草稿的評論。

Billions項目組

Tags:ARKSTARSTAARK幣是什么幣STAR幣STAR價格STA幣STA價格

火必下載
盤點年度12個熱門科技詞,跟上一切變化太快的科技趨勢_NFT:加密貨幣市場還有未來嗎知乎

進入后疫情時代,今年你還記得一些什么科技界的大事?盤點了年度的12個熱門科技詞彙,從元宇宙到Clubhouse、NFT、Reddit散戶投資者大戰華爾街誕生的迷因詞等.

1900/1/1 0:00:00
穩住!我們能贏?BTC再破關鍵支撐位_BCH:BCH價格bnb是什么牌子衣服

摘要:掌握幣圈大趨勢,贏得生前身后名!昨天晚上,幣圈的微博上一片鬼哭狼嚎,沒有任何利空消息,BTC一路跌破8700美元,ETC、EOS、BSV等幣種24h跌幅均超14%.

1900/1/1 0:00:00
回頭率超高!斯巴魯翼豹WRX STI皮卡你見過嗎?_XST:RXS幣

斯巴魯翼豹WRXSTI一輛具有傳奇色彩的性能猛獸,從名字就能看出來這款車是為參加WRC打造的。 歷史上這款車分別在1995年、1996年、1997年打敗了其他對手,榮登車手和制作商總冠軍.

1900/1/1 0:00:00
LINA 未平倉合約總額已達1.8 億美元,超過其市值!_比特幣:LINA

小探本期為大家帶來的內容主題是“LINA未平倉合約總額已達1.8億美元,超過其市值!”歡迎大家關注小探,小探每天都會給您獻上關于幣圈的優質內容哦.

1900/1/1 0:00:00
狗狗幣遭遇滑鐵盧_加密貨幣:馬斯克最新消息狗狗幣交易

狗狗幣似乎已經對券商Robinhood的投資者失去了吸引力。10月29日,位于美國加利福尼亞州門羅帕克的經紀公司Robinhood披露,其第三季度的總凈收入為3.649億美元,其中與狗狗幣有關的.

1900/1/1 0:00:00
天王RSK,15日上線火幣,哪來的千倍萬倍?_BTC:RBTC比特幣中國官網聯系方式

作者丨萊道君 來源丨萊道區塊鏈 2018年初,被媒體爭相報道的千倍萬倍區塊鏈項目十大天王之首RSK,原定于11月11日下午3點登陸火幣開始交易,遭遇延遲,時間更改為11月15日下午3點.

1900/1/1 0:00:00
ads