免責聲明:本文旨在傳遞更多市場信息,不構成任何投資建議。文章僅代表作者觀點,不代表火星財經官方立場。
小編:記得關注哦
來源:鏈聞
原文標題:零基礎理解隱私保護技術「防彈證明」與「Supersonic」
理解兩類零知識證明技術「防彈證明」與「Supersonic」,你需要先了解機密交易與密碼學承諾等概念。
原文標題:《瞭解 zk-SNARK 技術——零基礎詳解防彈證明與 supersonic》
撰文:Cent
當前區塊鏈所涉及的問題當中,隱私被普遍是認為是重中之重,比特幣、以太坊以及 Libra 的隱私性都很糟糕,而對此相關的技術解決方案也在不斷湧現而出,想要同時兼顧隱私和可審計性,可使用零知識證明方案來解決,從最初門羅幣使用的環簽名到 Zcash 使用的 zk-SNARKs,再到 Bulletproofs (防彈證明)以及 Supersonic (超音速證明)的出現。隱私解決方案的發展,日新月異。
在開始本篇的介紹之前,先讓我們回顧一下上一篇文章中關於 zk-SNARK 的相關知識。
我們瞭解了 zk-SNARK 實際上是一種帶有零知識特性的非交互簡潔論證,而這個技術的最大問題是證明者和驗證者之間需要一個「初始化可信設置」,由此可能帶來信任問題。對於 zk-SNARK,「初始化可信設置」是新技術努力嘗試克服的最核心問題。
在這篇文章中,我們將主要講述兩種已知的可以比較好的解決這個問題的零知識證明技術。
防彈證明與 Supersonic 是加密技術新的突破,但也可以說成是當時先進的一些加密技術思想的非常巧妙的結合。具體地說,它們起源於一些隱私協議的思想,例如機密交易和零知識證明和密碼學承諾。我們已經瞭解過什麼是零知識證明,因此,在瞭解防彈證明和 Supersonic 之前我們先要了解一些機密交易、密碼學承諾相關的概念。
機密交易「一個黑盒子」
籠統地講,您可以將機密交易視為一筆類似於比特幣交易的技術,但是不同的是其中金額是機密的。這意味著只有發送者和接收者才能知道實際金額。但是很酷的一點是,即使完全不知道交易的金額,也可以通過第三方驗證交易是否正確。這些驗證者可以看到誰發送給誰,他們可以看到交易中有多少輸入和輸出,但是他們看不到涉及的金額。
在 2016 年,格雷格·麥克斯韋(Greg Maxwell)引入了機密交易的概念,該概念用可以由接收方驗證的加密承諾有效地取代了交易金額。加密方式通常基於 Pedersen 承諾,這是一種可以表達有關值的語句的方法,該語句可以在隱藏值本身的同時進行驗證。機密交易當然可以使用可驗證的簽名和未花費的金額來實現安全交易,但無法使接收者驗證輸入的金額大於輸出的金額。這就是零知識證明發揮作用的地方。
零知識證明通過允許接收者向發送者挑戰以證明特定的內容來擴展機密交易。從隱私的角度來看,該技術非常有效,但它們卻大大增加了交易的規模,並且經常需要可信任的設置。而這也是我們需要解決的問題。
機密交易的實現過程
如果我們考慮驗證加密貨幣交易所需的步驟,可以將它們概括為三個步驟:簽名正確:交易來自有效節點,未用金額:沒有重複支出問題(雙花),輸入的總和大於輸出的總和:具體來說輸出 = 輸入-交易費用。
那麼這個過程是如何實現的呢?我們考慮一個加密貨幣情境下的交易問題:
小明希望在小紅那裡購買一部手機,小紅從小明那裡獲得了 1BTC,而小明想以 0.1BTC 的價格購買手機。在這種情況下,小明將創建一個輸入為 1BTC 的交易,支付輸出為 0.1BTC,並且找回的零錢輸出為 0.9BTC。
當比特幣網絡的某個節點驗證交易時,它會確保交易成功 1 = 0.1 + 0.9。請注意,現實世界存在交易費用,這個式子沒有包含交易費用。缺少了一部分,在這個例子中我們可以忽略掉它,以簡易化這個知識點的概念。
機密交易的想法基於這樣的認識,為了良好的隱私性,驗證節點不必知道具體金額,只需要知道:
sum of inputs = sum of outputs
(總輸入 = 總輸出)
而事實上確實有一種類似魔法的加密技術可以隱藏類似金額信息而驗證這樣的等式:
在密碼學中這被稱作
密碼學承諾。但是這又引進了一個新的問題,對於:
C(1) = C(100) + C(-99)
上面的驗證也可以通過,但這實際上憑空創造了 100BTC。因此,我們還需要限制每個承諾的界限,或者說範圍。
防彈證明
「範圍證明使任何人都可以驗證承諾代表指定範圍內的金額,而無需透露其價值的任何其他信息。」
防彈證明是範圍證明(range proofs)的一種更有效的形式,是非交互式零知識證明協議的新實現,不需要信任的設置。防彈證明基於現有的範圍證明方法,可將多個範圍證明合為一個,且其數據比以往方法還要小。有趣的是,防彈允許聚合驗證,這意味著您可以通過將多個驗證聚合起來,一起進行,這相比較一個一個驗證的話,效率有很大的提高。
防彈證明的證明數據量比較短,而且有很好的隱私保護,但是對比於其他新的零知識證明技術較慢,因此它可能不適用於特別複雜的證明,比如說交易的時候要隱藏金額,我們就可以用防彈證明。但是對於類似償付能力證明這樣內容較為複雜的證明,防彈證明就不再適合。而在應用上,Monero 中對防彈證明進行的早期測試中,交易規模和費用減少了 80%,這是一個巨大的進步。
Supersonic
2019 年 10 月 22 日,Findora 聯合創始人,斯坦福密碼學家 Ben Fisch 和 Benedikt Bünz,以及 Alan Szepeniec 發佈了他們在零知識證明方面的最新突破,即「Supersonic」(超音速)。(Benedikt Bünz 也是防彈證明的發明者之一)
Supersonic 證明是第一個實用,不可信,簡潔且可有效驗證的零知識證明,Supersonic 的驗證證明數據小於 10 KB,並且僅需要 7 毫秒便可驗證一個 10 萬個邏輯門的語句。Supersonic 和防彈證明適用於不同的語句。一個機密交易的語句大概需要 4000 個邏輯門,相比較來講,一個完全匿名的交易語句則需要 10 萬個邏輯門。一般情況下,適用防彈證明的機密交易所提供的交易隱私已足夠滿足日常生活所需要的隱私,並且可以與別的區塊鏈隱私工具合併使用增加隱私性,例如把多個交易合併在一起的 CoinJoin 工具。但是在用戶必須要完全保密所有信息的情況下,交易可以使用 Supersonic 來構造應對與更復雜的語句的零知識證明,並且不會在速度和時間上造成損失。
Supersonic 技術原理淺析
在上篇我們講述 SNARK 的相關知識時,我們提到了 SNARK 在驗證知識時,會將一段陳述轉換為多項式證明的形式。而在實際應用中 PCP (概率可檢驗的證明)和更一般的多項式 IOP 具有很好的特性,即僅對某些多項式進行幾次評估就足以確定要證明的陳述的真實性。
但是,我們之前提到,這裡有一個小問題:證明者必須將整個多項式發送給驗證者(將導致冗長的證明,這對於 SNARK 來說是不利的屬性),或者證明者必須以某種方式執行驗證者評估。利用密碼學承諾技術,SNARK 使用加密方法僅發送多項式的簡短承諾,而不發送整個多項式,這大大減少了證明方和驗證方之間的通信。
Sonic,PLONK,Fractal 和 Libra 均使用應用於多項式 IOP 的多項式承諾方案。有趣的是,多項式的選擇和使用的承諾方案在很大程度上彼此獨立。因此,通常可以將一個 SNARK 的多項式 IOP 與其他 SNARK 的多項式承諾方案一起使用。這意味著多項式 IOP 的開發和多項式承諾方案的開發可以分別進行,這就是 Supersonic 的情況。
Supersonic SNARK 為現有的多項式 IOP (例如 Sonic,PLONK 或 Marlin)引入了一種新的,有效的多項式承諾方案,可以移除 SNARK 中的初始化可信設置。Supersonic 中使用的多項式承諾方案(以前未用於 SNARK)稱為 DARK (Diophantine Arguments of Knowledge)。而由於多項式承諾比多項式小得多,我們明顯縮小了多項式 IOP 的「證明」大小,同時引入了一個新的假設,即證明方在證明上濫用承諾方案在計算上是不可行,這將產生錯誤陳述的「證明」。
這使得對於複雜的陳述,Supersonic 的綜合證明大小和驗證時間在最新技術上得到了超過一個數量級的改進。在這類應用中,它們至少比 STARK小 50 倍,並且比 Bulletproofs 的驗證速度快 1000 倍。」
Findora 的聯合創始人兼研究主管 Benedikt Bünz 表示:「這一突破的意義在於其將零知識證明的實用性和能力提升到一個新水平的能力。許多零知識解決方案的關鍵問題是證明量大,消耗存儲和帶寬,並且驗證交易證明可能是一個非常漫長的過程。先前的解決方案要麼不切實際,龐大,緩慢,要麼並非真正不可信。通過消除對可信設置的需求,Supersonic 將使 Findora 能夠解決區塊鏈的一些最大風險和問題,例如隱私,合規性和選擇性披露問題。
在這篇文章中,我們介紹了兩種最近零知識證明相關技術的發展,這些技術在 Findora 的區塊鏈技術平臺中都發揮了巨大作用,而之後我們也會持續地更新介紹關於密碼學和零知識證明的科普知識。
來源鏈接:mp.weixin.qq.com
