零知識證明的力量:數學解碼zk-SNARK
2023-11-02 08:49 金色精選
作者:0xAlpha Co-founder @DeriProtocol;編譯:DODO Research
介紹
zk-SNARK,即“零知識簡潔非交互式知識論證”,使得一名驗證者 能夠確認一名證明者 擁有某些特定知識,這些知識被稱爲 witness,滿足特定的關系,而無需透露關於見證本身的任何信息。
爲特定問題生成 zk-SNARK 包括以下四個階段:
將問題(或函數)轉換成算術門電路。
然後將這個電路翻譯成矩陣公式。
這個矩陣公式進一步轉換成一個多項式,這個多項式應該能被一個特定的最小多項式整除。
最後,這種可整除性在有限域的橢圓曲线點中表示出來,證明就在這裏進行。
前三個步驟僅僅是轉換了原始陳述的表示方式。最後一個步驟使用同態加密將第三步的陳述投影到加密空間中,使得證明者能夠證實其中的鏡像陳述。鑑於這種投影利用了非對稱加密,從第三步的陳述回溯到原始陳述是不可行的,確保了零知識的暴露。
閱讀本文所需的數學背景相當於 STEM 專業學生的大一級代數水平。唯一可能具有挑战性的概念可能是橢圓曲线加密。對於不熟悉這一點的人來說,可以將其視爲具有特殊基數的指數函數,同時要記住其逆函數仍然未解。
本文將遵循以下符號規則:
矩陣:粗體大寫字母,例如A;顯式形式寫作
向量:帶箭頭的小寫字母,顯式形式寫作[ ] ;默認情況下所有向量均爲列向量
標量:常規字母表示
讓我們用這個問題作爲例子:
f(x)=x^3+x^2+5 (1)
假設愛麗絲想要證明她知道一個 。我們將逐步介紹愛麗絲爲她的證明生成 zk-SNARK 所需採取的整個程序。
這個問題可能看起來太簡單,因爲它不涉及控制流(例如,if-then-else)。然而,將帶有控制流的函數轉換爲算術表達式並不困難。例如,讓我們考慮以下問題(或在編程語言中的“函數”):
f(x, z):
if(z==1):
return x*x*x+x*x+5
else:
return x*x+5
將這個問題重寫爲以下算術表達式很容易(假設z屬於(0,1) ),這並不比方程式 (1) 復雜多少。
f(x,z)=(z-1)(x^2+5)+z(x^3+x^2+5)
在本文中,我們將繼續使用方程式 (1) 作爲討論的基礎。
第1步:算術門電路
方程式 (1) 可以分解爲以下基本算術運算:
這對應於以下算術門電路:
我們還將方程式 (2) 稱爲一組4個“一級約束”,每個約束描述了電路中一個算術門的關系。通常,一組 n 個一級約束可以概括爲一個二次算術程序(QAP),接下來將進行解釋。
第2步:矩陣
首先,讓我們定義一個“見證”向量,如下所示:
其中y, s1,s2,s3 與方程式 (2) 中定義的相同。
通常,對於一個有m個輸入和n個算術門的問題(即 n-1 個中間步驟和最終輸出),這個見證向量將是(m+n+1)維的。在實際問題中,數字n可能非常大。例如,對於哈希函數,n通常是幾千。
接下來,讓我們構造三個 n*(m+n+*1) 矩陣A,B,C,以便我們可以將方程式 (2) 重寫如下:
方程式 (3) 只是方程式 (2) 的另一種表示形式:每組(ai,bi,ci)對應於電路中的一個門。我們只需要明確地展开矩陣公式就可以看到這一點:
所以LHS=RHS與方程式 (2) 完全相同,矩陣方程的每一行對應一個一級約束(即電路中的一個算術門)。
我們跳過了構建(A,B,C)的步驟,其實這些步驟相對簡單直接。我們只需要根據相應的一級約束,把它們轉換成矩陣形式,從而確定(A,B,C)每一行的內容,即(ai,bi,ci)。以第一行爲例:可以很容易地看出,要使第一個一級約束 x與x 相乘等於 s1 成立,我們需要的是將[0,1,0,0,0]、[0,1,0,0,0] 和[0,0,0,1,0,0]與向量s相乘。
因此,我們已經成功地把算術門電路轉換成了矩陣公式,即方程式 (3)。同時,我們也把需要證明掌握的對象,從 轉變爲了見證向量s。
第3步:多項式
現在,讓我們構造一個 n*(*n+m+*1) 矩陣PA,它定義了一組關於z的多項式:
這些是六個變量的四組线性方程,可以用傳統方法求解。然而,在這種情況下解決 PA 的更有效方法是拉格朗日插值,它利用了問題的特殊性。這裏我們跳過求解 PA 的過程,雖然有點繁瑣但很直接。
其中:
第4步:橢圓曲线點
將方程式 (4) 重寫爲:
其中i(z)=1只是z的一個平凡的零次多項式,用來使方程統一——所有項都是二次的。這樣做的必要性很快就會變得清晰。注意這個方程只包含z的多項式的加法和乘法。
接下來,我們將更詳細地闡述實際的操作步驟。
橢圓曲线加密
橢圓曲线的一般理論遠遠超出了本文的範圍。就本文的目的而言,橢圓曲线被定義爲從素域Fp映射到E函數,其中E包括滿足y^2=x^3+ax+b的點(稱爲橢圓曲线點,簡稱 ECPs)。
請注意,雖然到目前爲止我們一直在討論常規算術,但現在當我們轉換到素域時,數字的算術運算是以模運算的方式進行的。例如a+b=a+b(mod p),其中p是Fp的階。
另一方面,兩個橢圓曲线點的加法定義如下圖所示:
具體來說,兩個 ECPs P和Q的加法:
找到直线PQ和曲线R的交點 ,定義爲-(P+Q)
翻轉到曲线上R的“鏡像”點R'。
因此我們定義橢圓曲线點的加法P+Q=R':
請注意,這個規則也適用於特殊情況,即一個 ECP 自加的情況,此時將使用該點的切线。
現在假設我們隨機選擇一個點G,並將數字1映射到它上面。(這種“初始映射”聽起來有點任意。稍後將進行討論)。然後對於任n 屬於Fp,我們定義:
E(N)=G+G+G+.....+G=G點乘n
這有一個操作表達式。定義+G的操作爲“生成器”,記爲g。那么上述定義等同於:
對於不熟悉橢圓曲线的人來說,你可以將這種映射類比爲一個常規的指數函數,其中基數g代替了實數。算術運算的行爲類似。然而,一個關鍵的區別是g^n的逆函數在計算上是不可行的。也就是說,沒有辦法計算橢圓曲线版本的。這當然是橢圓曲线加密的基礎。這樣的映射被稱爲單向加密。
請注意,給定一個橢圓曲线,由於選擇G(因此選擇“生成器” g)是任意的(除了 x 軸上的點),有無限種映射方式。選擇(G或 g)可以類比爲選擇指數函數的基數(2^x,10^x,e^x等),這是常識的一部分。
然而,Alice 想要證明的方程式 (5) 是二次形式的,所以线性不夠。爲了處理二次項,我們需要在加密空間中定義乘法。這被稱爲配對函數,或雙线性映射,接下來將進行解釋。
雙线性映射
公共參考字符串
整個過程被稱作“驗證鑰”,簡稱VK。這裏只涉及7個橢圓曲线點(ECPs),需要提供給驗證方。要注意的是,不管問題裏面涉及多少輸入和一級約束,VK始終是由7個ECPs構成的。
另外,值得一提的是,“可信設置”以及生成PK和VK的過程,對於一個特定的問題來說,只需操作一次即可。
證明與驗證
現在擁有公鑰(PK),愛麗絲將計算以下橢圓曲线點(ECPs):
這9個橢圓曲线點就是零知識簡潔非交互式證明(zk-SNARK)的關鍵!
注意,愛麗絲其實只是對公鑰裏的橢圓曲线點做了些线性組合運算。這點特別關鍵,驗證時會重點檢查。
現在,愛麗絲交出了zk-SNARK證明,咱們終於進入驗證環節,分三步走。
首先得確認,前8個橢圓曲线點真的是通用參考串裏那些點的线性組合。
如果這三項檢查都成立,那么等式(5)得到驗證,因此我們相信愛麗絲知道見證。
讓我們解釋一下等式背後的理由。以第一部分中的第一個等式爲例,等式成立是因爲雙线性性質:
然而,由於愛麗絲不知道符號阿拉法的值,她無法明確計算這個加法。她唯一能想出來滿足等式的一對(EA,EA')的方法,是分別用相同的一組向量s ,計算的兩個組合。
參考文獻
“Zk-SNARKs: Under the Hood” (Vitalik Buterin)
“A Review of Zero Knowledge Proofs” (Thomas Chen, Abby Lu, Jern Kunpittaya, and Alan Luo)
“Why and How zk-SNARK Works: Definitive Explanation” (Maksym Petkus)
Website: Zero-Knowledge Proofs
Wikipedia: Elliptic curve
Wikipedia: Finite field
Wikipedia: Pairing-based cryptography
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:零知識證明的力量:數學解碼zk-SNARK
地址:https://www.sgitmedia.com/article/14568.html
相關閱讀:
- 一文讀懂AI智能體代幣化平台Virtuals Protocol 2024-11-21
- AI 的暴力美學 Arweave 的抗衡之道 2024-11-21
- 鄧建鵬 李鋮瑜:加密資產交易平台權力異化及其規制進路 2024-11-21
- 一個跨越三輪周期的價投老VC面對這輪meme焦慮嗎? 2024-11-21
- BTC已近95000 再看幣圈微笑曲线 2024-11-21
- 特朗普的移民政策會適得其反? 2024-11-21
- 索羅斯門徒會成爲特朗普的財政部長嗎? 2024-11-21
- 白宮即將迎來首位Crypto顧問? 2024-11-21