LON:密码专栏 | 超强进阶:PLONK VS Groth16(下)_ROT

前言

本篇是“PLONKVSGroth16”的下篇,在上篇中我们对PLONK作了简要介绍,分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么,接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异,以及整体上的性能区别。

证明生成

对于程序qeval,prover需要证明自己知道qeval(x)=35的解,即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我们已经介绍了PLONK的约束形式:门约束与线约束。继续使用之前的例子,约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式,即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案,将答案和计算中的中间参数代入约束表达式,这个组表达式必将是成立的。反之,如果该Prover提供的一组解无法使表达式成立,说明prover并不具备关于该问题解的知识。

以太坊Layer2总锁仓量为96.8亿美元,7日涨幅1.47%:金色财经报道,据L2BEAT数据显示,以太坊Layer2总锁仓量为96.8亿美元,7日涨幅1.47%。锁仓量前五分别为:ArbitrumOne(58.2亿美元,7日涨幅0.38%);OPMainnet(21.7亿美元,7日涨幅2.5%);zkSyncEra(7.02亿美元,7日涨幅6.51%);dYdX(3.5亿美元,7日跌幅0.88%);ImmutableX(1亿美元,7日涨幅3.04%)。[2023/7/6 22:21:24]

这是最朴素的证明验证思路,可以将它看作是“锁”和“钥匙的配对“:该问题约束的构建类似于“打造门锁“,而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然,Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则:Verifier不应该获取到Prover的隐私信息。

那么有什么方法能在解锁的同时保护隐私信息呢?

这里我们用到一个简单的数学小技巧:减除,对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶:PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述,在此我们不再赘述具体的转化过程,但需要重复的一点是:根据生成时使用的点值对,生成的多项式在这些点处的取值将恒为0。PLONK同理,此处我们给出两种算法的约束系统转化为多项式后的形式。

动态 | 以太坊未确认交易64427笔:据Etherscan.io数据显示,以太坊未确认交易64427笔。当前挖矿难度2084.24 TH,交易处理能力5.2 TPS。截至目前以太坊全球均价为176.28美元,最近24小时涨幅为1.17%。[2020/1/30]

Groth16:

PLONK:?我们设门约束多项式为D(X),线约束多项式为L(X),那么PLONK的整个约束多项式将被表示为:

可以看到,两者都使用了减除的思路,也就是这里的h(X)和ZH(X),其具体内容取决于构建约束多项式时取的点值。

“日食攻击”发布后,以太坊火速修改:“日食攻击”是一种针对区块链点对点节点的攻击方法,可以让使用者用已经支付给其他人的数字货币转账,而接受者无法查证。自方案被发布到以太坊社区后,以太坊发布补丁Geth v1.8.1以解决该问题。[2018/3/3]

证明与验证

同样在之前的文章中,我们可以看到Groth16的证明规模极小,只包含三个群元素A,B,C。然而,这样优雅的证明实现依赖于它的非通用可信设置,这也是Groth16的一大痛点。在Groth16中,证明方提供A,B,C,验证方基于可信设置提供的参数,构建一个配对验证等式。在验证过程中包含了三次配对操作,也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。

Groth16证明:

Groth16验证:

声音 | 杨庆峰:现代密码学结合区块链技术可基本消除技术层面的安全问题:据澎湃新闻消息,上海大学哲学系教授杨庆峰发文指出,如果说长三角一体化建设过程中数据共享会成为一个问题,数据共享会影响到未来长三角一体化公共服务的落实,那么这个问题就必须严肃对待。同时,其表示现代密码学的方法已完全可以解决这一问题,再加上区块链技术的未来运用的可能性极大,这基本上消除技术层面出现的安全问题。需要担忧的是伦理方面的问题,诸如隐私保护、被遗忘权等方面的问题。[2019/3/14]

相比之下,PLONK的证明验证将会复杂得多,这也是使用通用可信设置付出的代价。从验证方角度看,由于可信设置参数缺少了包含问题具体内容,从而无法帮助其构建一些制约证明多项式的值。因此,如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。

动态 | 黑客发邮件威胁受害者支付比特币赎金 否则将泄露密码:据thenextweb报道,康奈尔大学计算机科学教授Emin Gün Sirer分享了一封电子邮件,该电子邮件声称在受害者播放视频时,会从受害者的网络摄像头拍摄观看者的视频。威胁受害者将泄露其密码,要求他们支付比特币赎金。目前尚不清楚到有多少用户陷入局,但通过审查该电子邮件中包含的比特币地址,该地址在过去几天内收到了超过2.8枚BTC(约17000美元)。[2018/7/12]

结合前述的约束多项式,我们可以对t(x)中出现的每一项都构建一个承诺,以实现验证方的验证。PLONK证明的具体内容如下,包含了两个点处的验证:Wz(X)为多个多项式的同点承诺,Wzw(X)则为另一个点处的对z(X)的承诺。

最后,PLONK的验证在原文中也被归纳为一个简洁的公式,实际上就是将上面提到的两个点处的承诺简单相加,具体等式如下所示:

以上就是PLONK和Groth16算法内容的具体对比结果,讲了这么多冗长的公式变换,两者在性能层面的差距究竟如何呢?

性能比较

在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较,Table2则是验证阶段的性能。可以看出,在验证上,两者的差距不大,Groth16比PLONK多了一次配对运算;而在证明方面我们遗憾地发现,Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK,尤其当它工作在fast模式时,所使用的SRS长度是所有算法中最短的。

▲验证阶段性能比较

▲证明阶段性能比较

前置知识

多项式减除

顾名思义,化减为除:若我们需要证明一个多项式f(x)在点a的取值为b,也就是证明f(a)-b=0;那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示:

设多项式f(x)且f(a)=b,则存在一个多项式g(x),使得:f(x)-b=g(x)(x-a)

kate承诺Kate承诺是由Kate,Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式,本文仅介绍PLONK中使用的常用形式,详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x),Kate承诺的具体步骤如下:

1)构造f(x)在点a处的承诺C

C:f(a)

2)选取点z,执行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3)给定f(z),C和Wz,验证Kate承诺

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部内容,如有任何疑问,欢迎添加小助手桔子加入技术交流群,在这里,你想知道的都会得到解答~

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-14:796ms