BOB:巴比特现场 | 郭宇:3分钟搞懂零知识证明,为何它是一把双刃剑?_LAVA

12月22日,2019数字资产与区块链年会暨中国投资协会数字资产研究中心成立大会在北京召开。安比实验室创始人、数字资产研究院学术与技术委员郭宇以《零知识证明,区块链技术缺失的一环》为题进行了分享。

以下是郭宇演讲内容精编,由巴比特整理发布。

什么是区块链?在网上搜索了批评区块链的文章,其中一个理由是吞吐率低。比特币交易速度只有7笔/秒,以太坊交易处理速度不超过30笔/秒,而国际信用卡Visa至少2000笔/秒。区块链吞吐率如此低下,核心原因在于网络带宽。当全球超过1万个节点进行分布式共识时,不可避免的造成吞吐率的下降。单纯靠提高出块速度来提升吞吐率,到以太坊已经是极致了,出块速度快则会导致分叉的频繁出现,不会实质上提升吞吐率,或者靠降低节点数量提升吞吐率,会让系统安全将得不到保证。那么,如何在不降低安全性的基础上,提高吞吐率?

反直觉的零知识证明

零知识证明就是解决方案之一。以太坊创始人Vitalik在2018年做了一个实验,引入零知识证明,以太坊的吞吐率可以有几十倍的显著提升,可以达到500TPS。最新的路印协议采用了零知识证明技术方案——ZKRollup,根据他们的测试数据,能够在以太坊上实现高达10500TPS的去中心化应用。

电子邮件自动化工具Klaviyo遭入侵,44家加密相关公司受到数据泄露影响:8月11日消息,电子邮件营销自动化工具Klaviyo表示因其一位员工遭到钓鱼攻击,导致其内部系统遭到入侵,在得知这一事件后,Klaviyo撤销了受影响用户的访问权限,并从系统中移除攻击者。比特币储蓄公司Swan Bitcoin表示,其也受到了此事件的影响。

Klaviyo称,目前还在调查中,已知的是,攻击者使用内部客户支持工具主要搜索与加密货币相关的账户,并查看了44个Klaviyo账户(44家加密相关公司)的列表和细分信息。攻击者还查看并下载了Klaviyo用于产品和营销更新的两个内部列表。这些导出包括姓名、地址、电子邮件地址和电话号码等信息,不过未包括任何密码、密码哈希或信用卡号码。[2022/8/11 12:19:18]

1985年,麻省理工学院的研究人员ShafiGoldwasser,SilvioMicali和CharlesRackoff提出了“交互式证明系统”与“零知识证明”的概念,后来前两位因为这个工作而获得2012ACM图灵奖。

解释零知识证明前,我们首先要问,“证明”是什么?这个词从古希腊开始,它代表“洞见”;到1920年代,证明意味着形式化逻辑,怀特海和罗素在《数学原理》里花了几百页来证明1+1=2,它代表“符号推理”;到1970年代,证明被发现实际上“程序”没有区别;而到了1985年,证明的概念被延拓到了一个更广泛的概念“交互系统”,零知识证明系统正是一种交互系统。

灰度任命Dave LaValle为新的全球ETF主管:金色财经报道,灰度官方发推称,任命Dave LaValle为灰度新的全球 ETF 主管。?Dave LaValle在接受采访中表示,在纳斯达克,我第一次接触到加密货币是在最初的迭代工作中,当时我正在努力寻找推出实物支持的比特币 ETF 的途径。比特币作为一个概念的变革性质非常类似于 1990 年代后期互联网的兴起。在当时,这个概念新颖、独特、没有被很好地理解并且有点神秘。它引起了我的好奇心,让我有机会了解更多信息,并继续关注比特币的发展和演变。[2022/3/20 14:06:54]

但是,零知识证明非常反直觉。为什么这么说?如图所示,右边的Bob把输入X传给左边的硬件设备,在这个硬件设备上会跑一个程序Y=F(X,W),W则是一个秘密数据,设备算出结果后,会返回Y,Bob如何相信Y的计算过程没有问题呢?这就需要零知识证明了,只要设备再附加上一个零知识证明,而我们就能完全相信Y确实是F计算的结果,就能完全相信一个不受控制的硬件,可能是有后门的硬件设备,跑出的运算结果是没有经过恶意篡改的。准确点说,零知识证明能够保证远程计算的完整性,但这是反直觉的。

LAVAswap的BSC流动池正式开启:据官方消息,北京时间9月15日晚9点LAVAswap正式开启BSC流动池,首个交易对为LAVA/USDT。流动池奖励每100天进行减半。第一个100天,流动性池每天产生336,000LAVA。之后会根据社区投票结果陆续增加BSC流动池交易对。据悉,LAVA是由BSC+HECO提供支持的可互操作的去中心化资产跨链桥。[2021/9/15 23:27:41]

零知识证明还有什么用?我简单罗列一下,区块不断膨胀,越来越大?而用零知识证明技术,你只需要下载一个区块就可以了;链上交易可追踪,零知识证明可以保护用户的交易匿名性,可以保护用户身份的情况下进行身份认证、可以保护上链数据的隐私,实现安全地数据共享,以及链上链下的数据关联,都可以用零知识证明完成。

通过三染色问题理解零知识证明

零知识证明背后的原理是我今天要讲的重点,希望能让大家快速地理解。这是一个寻找地图三染色答案的问题,我们把一个地图想象成一个个城市,然后把城市用线连起来,相邻的城市必须用不同的颜色来染色。那么相当于我们要求一个图上的每一条边的两端顶点颜色必须不同。寻找地图三染色答案是一个NP-Complete的问题,也就是一个NP难解问题。

LAVAswap今日新增SOVI/LAVA & SOVI/USDT两个流动性矿池:据官方消息,LAVAswap已于2月18号晚10点上线SOVI/LAVA&SOVI/USDT两个流动性矿池。目前APY分别为1898%和2594%。

LAVAswap是基于火币生态链的全新DEX,包括质押池、流动性矿池、DEX、跨链资产桥等。[2021/2/19 17:28:26]

假设Alice有一个三染色答案,她要向Bob证明这件事,但是又不能让对方知道每个点的颜色是什么,实现所谓的“零知识”证明。这时候应该怎么做?第一步,Alice会把颜色对调成另一套颜色,但是对调颜色之后,这个地图仍然是一个三染色答案,然后Alice把答案的每个节点盖上纸片给Bob看。

第二步,Bob看不见每一个顶点,但他会随机选择一条边让Alice来揭开纸片。

观点:2.3万亿美元投资者现金储备可能会引发新一轮比特币涨势:随着投资者评估美国各州采取的临时重开措施,比特币将迎来新一轮价格上涨。目前,投资者持有价值2.3万亿美元的现金和现金证券,以重新进入市场,他们可能从持有的现金中提取一部分,将其投资于风险市场。比特币也可能受益,因为它在减半后的长期看涨情景。分析还显示,比特币与美国股市的相关性不断增强,可能导致其现货价格进一步走高。(Bitcoinist)[2020/5/6]

第三步,Alice揭开纸片后,Bob会看到两边的颜色是不同的,这时候他能相信顶点三染色问题是一个正确的答案吗?不一定,因为可能他选的这条边可能凑巧没问题,但是其它边可能是有问题的。

那么再来一遍,重复三步,Alice重新把颜色交换,Bob再随机挑一条边看,这时候Bob能相信吗?不一定,可能恰好两次都被Alice都蒙着了,有这种可能。

但是Bob可以不断的试,试N次,只要N足够大,Alice作弊的概率就会指数级减小,减小到几乎不可能。

通过这个方案,Alice成功以零知识的方式向Bob证明了自己确实拥有一个三染色答案,这就是零知识证明的最基本概念。

零知识证明的运行逻辑

说了这么多,大家可能觉得这和我们所说的“反直觉”非常遥远。如何信任一个远程计算呢?我具体说明下零知识证明技术是怎么做到的。

假设我们有一个超级摄像机,它把远程计算的详细过程,包括CPU、内存、程序的全部状态拍摄下来,我把视频从头放一遍,理论上就会知道这个计算过程没有问题,因为在任何一步作弊,理论上都可以找出来。但实际做不到,因为视频巨大无比,检验过程基本不可实现。

接下来我们做一个简单转换,用“算术电路”来重新表达这个计算过程。算术电路是什么意思呢?理论上大部分可终止的计算过程都可以转化为由“+”“×”两种电路门构成的电路来计算完成。在电路这头输入X,就会从另一头的引脚上得到Y。因此我们不再需要一个摄像机了,而只需要拍摄一张照片即可,然后我就可以“分别检查“每个门的计算过程是否正确。

但这仍然存在问题,就是验证过程太长了,意味着我们要检查所有门,检查一次哈希计算需要检查两万多个门的输入输出,显然这很麻烦。一个改进思路就是,用多项式编码所有门,把N次检验压缩到1次。

如图右侧所示,这个黄色的曲线编码了正确的计算过程,如果Alice要作弊,她只要改动任意一个引脚上的数字,曲线就会变得非常不一样,改动会被放大。理论上,我们通过一个叫做Schwatz-Zippel的定理,检查X轴上任意一点,就能知道这个曲线有没有改动过,这就是用代数理论,把N次检验转换成一次。

但这个问题还没有结束,这个过程中我们需要检验数据,但不想让Bob知道计算过程中的任何中间数据和结果数据,也就是说要对Bob是零知识的。这时候我们的思路是把多项式运算同态映射到椭圆曲线群上。在正常运算时我们得到的是“0、1、2、3…”这样的整数,它可以映射到椭圆曲线群上的N个点,进行一一对应。

通过椭圆曲线上的点你很难倒推回整数域,因为它是“离散对数难题”。接下来我们要去除交互过程,变成非交互零知识证明。思路是我们在X轴上随意选个点,由一个第三方预先产生一个加密挑战数,用来挑战曲线。最后就会形成一个简洁方案,即由第三方生成一个加密挑战数,生成两个密钥,Bob把计算交给Alice,Alice进行计算,完成零知识证明的动作,这就是2013年诞生的Pinocchio协议。

零知识证明离不开形式化验证

零知识证明安全吗?密码学教授MatthewGreen这样评论:“使用零知识证明技术就好像走了一条捷径:通过中土庞大地下城——摩瑞亚,这比翻山越岭要快不少,但是你可能会与炎魔作斗争。”所以说零知识证明是一把锋利的双刃剑,因为一旦你用了零知识证明,黑客攻击也将是零知识的,也就是说没有人知道已经被黑客攻击了。

2018.3.1ZCash团队的ArielGabizon发现了论文中附录B有一个致命错误,可导致无限造币。但有趣的是,在长达4年的时间里,没有其它密码学家发现这个漏洞,直到2019年2月份,BCTV14的论文作者和Zcash团队才同时公布了这个严重漏洞。

我的结论是,如果用零知识证明,请一定要进行严格的形式化验证。最后我想强调可信的3方面:1、区块链提供的共识协议的信任;2、零知识证明提供了数据信任和计算完整性;3、形式化验证最终保证这个计算逻辑是完全没有问题的。这三者结合在一起,才能形成真正可信任的数学基础,谢谢大家!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-5:720ms