最近研究了下零知识证明算法-PLONK。肚子里的墨水又增加了,记一下学习成果与新的体会,和大家共同学习---江小白。
现状
近些年,各种新的零知识证明算法层出不出,各有各的特点,各有各的优势。借用V神系列文章里的一张图来简单呈现下当前的零知识证明算法现状。
从图中可以简单总结出以下几点:
理论上安全性最高的是STARKs算法,不依赖数学难题假设,具有抗量子性;Proof大小上最小的是SNARKs算法,如Groth16;PLONK算法在安全性上和Proof大小上,位于上述两者之间;其他的这里不做过多阐述,如想了解零知识证明更多信息,可参考链接;对于SNARKs算法,绕不开的一个点就是中心化的TrustSetup,也称之为CRS(theCommonReferenceString)。而无论是PGHR13,Groth16,还是GM17算法,它们的CRS都是一次性的,不可更新的。即,不同的问题将对应着不同的CRS,这在某些场景下,会变得比较麻烦。这些存在的问题,变成了PLONK,SONIC这类算法的一个优势,它们算法虽然也需要中心化的可信设置,但是它的CRS具有一定的普适性。即,只要电路的大小不超过CRS的上限阈值,一些证明问题就可以共用一个CRS,这种CRS称之为SRS(universalStructuredReferenceString),关于SRS的定义,详细的可参考SONIC协议里的第3小节。PLONK算法继用了SONIC算法的SRS的思想,但是在证明的效率上,做了很大的提升。接下来,让我们详细的介绍下PLONK算法的具体细节,主要从下面四个小节去分享:
USDF银行联盟成员展示银行铸造Stablecoin的互操作性:1月19日消息,USDF成员们完成了第一次通过Provenance区块链进行的交易。交易是由NBH银行铸造USDF,并将其发送给纽约社区银行的客户,作为在公共区块链上演示银行间互操作性的测试。
此前报道,美国多个银行组建USDF财团,并计划推出完全由银行铸造的USDF Stablecoin。[2022/1/19 8:59:49]
电路的设计--描述PLONK算法的电路的描述思想;置换论证或者置换校验--复制约束,证明电路中门之间的一致性;多项式承诺--高效的证明多项式等式的成立;PLONK协议--PLONK协议剖析;电路
PLONK算法电路的描述和SONIC算法一直,具体的过程可以参考李星大牛的分享,已经写的比较详细且易懂。在这个小篇幅里,我想主要分享下我自己的两点想法:
无论是什么样的电路描述方式,电路的满足性问题都要归结于2点,门的约束关系和门之间的约束关系成立;在SNARKs系列的算法里,电路的描述单元都是以电路中有效的线为基本单元,具体的原理可以参考我之前分享的文章,而在PLONK,SONIC以及HALO算法里,电路的描述单元都是以门为基本单元。这两种电路的不同描述方式带来了一定的思考。那就是,之前在研究SNARKs算法时,我们都已经相信一个事实,“多项式等式成立,就代表着每个门的约束成立”,然后推断,整个电路逻辑都是成立;在这个过程中,并没有额外的去证明门之间的一致性成立;但是在PLONK算法里,除了要证明多项式等式成立外,还要额外的用置换论证的数学方法去证明门之间的约束关系,即复制约束。为何会有这样的区别?希望有心的读者能一起在评论区探讨这个问题?我个人理解是因为电路的描述方式的不同:
Ethereum Classic:ETC不以学习ETH1为目标,将带来创新:Ethereum Classic今日发推称,ETC必须不再遵循Vitalik愿景下的路线图,以学习ETH1为目标。是时候让ETC给Ethereum Classic网络带来一些有意义的创新了。[2020/11/24 21:56:39]
PLONK算法里,电路描述的单元是门,它为每个门定义了自己的L,R,O,因此需要证明门之间的一致性;SNARKs算法里,电路描述的单元是线,门与门之间的值用的是同一个witness,因此不用额外证明一致性;置换论证
前面我们说过,在PLONK算法里,需要去证明门之间的约束关系成立。在做具体的原理解释之前,我们先简单的过一下PLONK协议的过程,如下图所示:
可描述为:
根据电路生成三个多项式,分别代表这电路的左输入,右输入,输出;利用置换校验协议,去证明复制约束关系成立;步骤3和4,校验门的约束关系成立。其中第1点已经在电路小节里阐述过了,接下来,将详细的讲解多项式置换校验的原理。先从简单的场景去讲解:
Hotcoin Global与飞月学院达成战略合作 共建学习型合约社区:2020年7月23日,飞月学院与Hotcoin Global(热币全球)达成战略合作,双方就共建学习型合约社区深入探讨,充分交换意见并达成共识。双方将整合优势资源,建立深层次的战略合作关系,在内容输出、社区建设、业务拓展等方面,深度展开合作,携手共创美好合约市场。
据介绍,飞月学院是集区块链行业知识普及、高端社区资源共享、区块链教育培训一体化的综合学院。整合区块链产业卓越人才,运用先进的管理理念,与用户共赢的合作方式,通过教育培训促进区块链产业生态健康发展。[2020/7/23]
单个多项式的置换校验
其实就是证明对于某个多项式f,存在不同的两个点x,y,满足f(x)=f(y)。下面来看具体的原理:
声音 | 学习时报:建议加大数字货币的试点工作:学习时报发表文章《采取措施把疫情对经济的影响降到最低》,文章指出,这次疫情对中小微企业发展影响更大,加快相关金融改革和货币政策调整的紧迫性上升。建议加大数字货币的试点工作。随着数字时代的到来,区块链技术的快速发展催生了数字货币。下一步,可通过数字货币来增加金融包容性、支付效率、支付操作系统、网络安全。[2020/2/14]
上图中加入了一个正例P,一个反例A,方便大家理解置换校验的原理。有几点需要解释的是:
而经过仔细剖析Z的形式,不难发现,Z(n+1)其实就是两个函数所有值的乘积的比值(不知是否等同于V神文章里的坐标累加器?)。理论上是等于1。因此,我们需要设计这样的一个多项式Z,需满足:deg(Z)<n
Z(n+1)=1
2.乘法循环群刚好可以满足这个条件,如果设计一个阶为n的一个乘法循环群H,根据群的性质可以知道Z(g)=Z(g^(n+1))。因此,在设计Z时,会保证Z(g)=1;上图中的自变量的取值也将从{1...n}变成{g...g^n}。所以在上图中验证的部分,a其实已经换成了群H里的所有元素。
现场 | 鲍帅:机器学习技术能极大提升智能合约安全检测引擎效率:金色财经现场报道,今日,2018可信区块链峰会在北京召开。在主题为“区块链安全焦点关注”的区块链安全论坛上,西安好码安全信息科技有限公司CEO鲍帅分析了智能合约与机器学习的相互影响。他指出,当前智能合约发展迅速,如何有效处理海量智能合约的安全成为行业普遍关注的问题,机器学习技术的引入能极大地提升智能合约安全检测引擎效率,在大规模 、易扩展、半监督学习、高价值、高效率、通用方案等方面发挥较大的优势。[2018/10/10]
3.根据论文中的协议,多项式Z是会发给可信第三方I验证方V会从I处获取到多项式Z在所有a处的取值,然后依次校验。
下面具体看一下论文中的定义:
从定义中可以看出:多项式f,g在范围内具有相同的值的集合;下面看一下论文中具体的协议部分,结合上述解释的3点:
说明:图4中的f,g对应图3中的f。即f,g是同一个多项式。其实只要是相同的值的集合,也可以不用于是同一个多项式。图3是一个特例而已。
跨多项式的校验
其实就是证明对于某个多项式f,g,存在两个点x,y,满足f(x)=g(y)。与存在两处不同:
多个多项式;不强制x,y的关系,即也可以等,也可以不等;有了(1)小节的基础,这次我们先看一下相关的定义:
从定义可以看到,这次是两个多项式集合见的置换校验算法。从标注的部分可以看出:
两个多项式集合仍然具有相同的值的结合;为了区分集合里的多项式,自变量的索引得区分开来;因此,可以想象的到,如果存在两个多项式f,g,想要证明f(x)=g(y),那么根据以上描述可以判断{f1,f2}={f,g}={g1,g2}。也保证了上述第1点的成立。
下面我们看一下具体的原理:
和(1)小节相比,证明方P增加了些工作量,验证方V工作量不变。结合上述描述,也能很容易的理解其数学原理。
说明:至此,其实我们已经慢慢的接触到PLONK算法的核心了,前面我们讲到,电路的满足性问题除了门的约束关系还有门之间的约束关系。
比如一个输入x,它既是一个乘法门的左输入,又是另外一个乘法门的右输入,这就需要去证明L(m)=R(n),这就是跨多项式的置换校验。
下面再给出论文里的协议内容:
至此,本篇文章已经描述了,在PLONK算法里,电路的设计以及复制约束的成立验证两大部分,接下来,将会另起一片文章,去分享门约束的成立和整个协议的具体步骤。
以上都是作者小白的个人理解,还希望各位读者多多指教,谢谢。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。