mutourend
mutourend

Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1

1. 背景知识

Alogrand团队Gorbunov等人2020年论文《Pointproofs: Aggregating Proofs for Multiple Vector Commitments》,配套的代码实现参见:https://github.com/algorand/pointproofs

在该论文中,实现了:

  • Pointproofs —— a new vector commitment scheme that supports non-interactive aggregation of proofs across multiple commitments。允许任何第三方 aggregate a collection of proofs with respect to different, independently computed commitments into a single proof represented by an elliptic curve point of 48-bytes。
  • 将Pointproofs用于blockchain smart contract。相比于之前的vector commitment方案,Pointproofs可将传输一个区块交易所需的带宽开销降低至少60%。
  • 以单线程运行时,generate a proof for 8 values with respect to one commitment的时间为0.08s,aggregate 4000 such proofs across multiple commitments into one proof的时间为0.25s,verify the aggregated proof的时间为23s(0.7ms per value proven)。

Vector commitment可用于减少存储空间:instead of storing a vector of values, one can store only the commitment and receive the values together with their proofs as needed。

Vector commitment可让application 在storage of all value和 bandwidth taken up by revealed values and proofs 之间进行取舍平衡。
为了在减少存储空间的同时尽可能减少带宽,需要 reduce the proof size。但是,由于需要满足cryptographically hard to forge的要求,单个proof的size cannot be reduced too far。改进的方式可为:

  • 在单个proof中支持reveal multiple values。最短的单个proof size实现可参见Russell W. F. Lai 和 Giulio Malavolta 在Crypto 2019上发表的论文《Subvector Commitments with Application to Succinct Arguments》中5.2节构建的subvector commitment from Cube Diffie-Hellman Assumption:a proof takes up only 48 bytes (for typical parameter values at conjectured 128-bit security) regardless of how many elements of the vector are being revealed。(参见博客 Subvector Commitments with Application to Succinct Arguments学习笔记)
  • 在分布式应用中,存在大量来源不同的commitments/values/proofs,它们相互 not aware of each other’s data。此时存在以下两个问题:
    1)不存在可produce a single proof for all the values的单一实体;
    2)proofs需要于多个不同的commitments关联。
    Pointproofs可有效解决以上问题:a user can independently commit to her variables and provide short proofs for any subset of them; any third party can non-interactively aggregate multiple proofs with respect to different commitments into a single short proof。

Boneh等人2019年论文《Batching techniques for accumulators with applications to IOPs and stateless blockchains》可实现dynamic aggregation for proofs in a single (the same) commitment —— aggregate proofs for elements of a vector into a single proof for a subvector。(参见博客 密码学累加器cryptographic accumulator)
而在本论文中,Gorbunov等人实现了跨多个commitments的aggregate proofs。
具体的各方案对比为:

在本论文中,Gorbunov等人的主要贡献为:

  • 实现了proofs for individual elements of a single vector commitment can be aggregated by any third party into a single proof for the subvector;

  • 实现了proofs for subvectors of multiple commitments can be aggregated by any third party into a single proof for the multiple subvectors。

  • 在实现aggregation的同时,也提供了hiding属性。

  • 在Libert和Yung 2010年论文《Concise mercurial vector commitments and independent zero-knowledge sets with short proofs》构建的vector commitment基础上,增加了same-commitment aggregation和cross-commitment aggregation,从而实现了Pointproofs。
    1)与此类似,Pointproofs的public parameter size is linear in the size of the committed vector(可将long vector切分为多个短的vectors,多个短的vectors的proofs可以aggregate,但是commitments不能aggregate,从而缩短了public parameter size,但是增加了total size of the commitments);
    2)与此类似,Pointproofs也基于 q q q-type assumption。In order to prove security of aggregation, we have to work in the algebraic group model and the random oracle model. We can reduce these assumptions by lowering efficiency and/or security requirements.

  • Pointproofs生成的proof为single point on a pairing-friendly curve (48 bytes at 128-bit security),无论是single value for a single commitment,subvector of values for a single commitment,还是set of subvectors for multiple commitments。

  • Pointproofs中实现了支持aggregation的hiding属性,仅需增加an additional exponentiation,commitment size和proof size均无需增加。而Dario Catalano 和 Dario Fiore 2013年论文《Vector Commitments and their Applications》中提到的给Vector commitment加hiding属性的方法为:add an inner layer of hiding commitments to individual values —— first commit to each message separately using a standard commitment scheme, then apply the VC to the obtained sequence of commitments。但是该方式无法automatically extend to aggregatable vector commitments,因为proofs for the inner layer are not automatically aggregatable。

  • Pointproofs可用于reduce storage requirements for blockchains。主要针对smart contract智能合约场景。假设一个智能合约有多个变量,所有变量当前值 ( m 1 , ⋯   , m N ) (m_1,\cdots, m_N) (m1,,mN) are committed to a single vector commitment C C C,每个智能合约有一个commitment。
    为了与智能合约交互,one provides a 480byte proof $ \hat{\pi}$ of the current values of the variables needed for the transaction,transaction成功执行后可能会更新这些变量值。当存在多个智能合约时,cross-commitment aggregation允许compress multiple proofs π ^ 1 , ⋯   , π ^ l \hat{\pi}_1,\cdots,\hat{\pi}_l π^1,,π^l into a single 48-byte proof π \pi π。从而可从根本上消除the bandwidth overhead due to proofs in a proposed block。
    将Pointproofs用于智能合约存储时,针对 1 0 8 10^8 108千万级accounts,可将validators’ storage requirements降为4.5GB,assuming one open value per transaction 的情况下,仅需增加31KB per block overhead for 1000 transactions。

  • Pointproofs 代码实现https://github.com/algorand/pointproofs 中的实际性能表现为:针对a commitment for 1000 variables of a smart contract at 128-bit security level,生成任意subvector proof的时间为54~123ms;a block proposer对所有proofs进行cross-commitment aggregate的时间约为0.07ms per proof;存储了commitments 的 validator verify the aggregated proofs in a block的时间约为 0.7~1.9ms per value verified;为表示变量值的更新(通过交易执行),需要update commitments的时间约为0.2~0.3ms per variable updated。

cross-commitment aggregation of proofs可用于很多场景,如:

  • signature aggregation:compress multiple signatures produced by different users into a short signature。如Jae Hyun Ahn等人2010年论文《Synchronized aggregate signatures: new definitions, constructions and applications》中介绍的sensor networks,KyleBrogle等人2012年论文《Sequential aggregate signatures with lazy verification from trapdoor permutations - (extended abstract)》中介绍的internet routing以及Drijvers等人2020年论文《Pixel: Multi-signatures for consensus》中介绍的POS (Proof-of-Stake) 共识。Aggregating commitment proofs is a natural counterpart to aggregating signatures。
  • 多个用户或实体分别独立commit to their databases of records(如public keys, healthcare records, transactions等),然后同时produce proofs to reveal several committed values。在这种场景下,cross-commitment aggregation可用于减少带宽。

vector commitment的相关工作:

  • 正式定义了vector commitments:Libert和Yung 2010年论文《Concise mercurial vector commitments and independent zero-knowledge sets with short proofs》,以及Dario Catalano 和 Dario Fiore 2013年论文《Vector Commitments and their Applications》。
  • 实现了constant-size proofs for a subvector of values:Kate等人2010年论文《Constant-size commitments to polynomials and their applications》,以及Thakur 2019年论文《Batching non-membership proofs with bilinear accumulators》。
    但是Kate等人2010年论文《Constant-size commitments to polynomials and their applications》第3.4节定义的binding notion is not strong enough to preclude openings to two inconsistent subvectors。
    而Libert和Yung 2010年论文《Concise mercurial vector commitments and independent zero-knowledge sets with short proofs》, Dario Catalano 和 Dario Fiore 2013年论文《Vector Commitments and their Applications》,Benoˆıt Libert, Somindu C. Ramanna 和 Moti Yung 2016年论文 《Functional Commitment Schemes: From Polynomial Commitments to Pairing-Based Accumulators from Simple Assumptions》,以及Chepurnoy等人2018年论文《Edrax: A cryptocurrency with stateless transaction validation》,这些论文中的vector commitment无法实现constant-size proofs for multiple values。
  • pairing-based vector commitments:Dario Catalano 和 Dario Fiore 2013年论文《Vector Commitments and their Applications》,Benoˆıt Libert, Somindu C. Ramanna 和 Moti Yung 2016年论文 《Functional Commitment Schemes: From Polynomial Commitments to Pairing-Based Accumulators from Simple Assumptions》,以及Russell W. F. Lai 和 Giulio Malavolta 在Crypto 2019上发表的论文《Subvector Commitments with Application to Succinct Arguments》。
  • polynomial commitments:始于Kate等人2010年论文《Constant-size commitments to polynomials and their applications》,overview信息可参看Benedikt B¨unz等人2019年论文《Proofs for inner pairing products and applications》。
    在Boneh等人2020年论文《Efficient polynomial commitment schemes for multiple points and polynomials》中实现了polynomial commitments with batch opening和vector commitments with aggregation,但是其效率要低于本论文实现。

1.1 一些定义

  • Notation:
    在这里插入图片描述

  • The Algebraic Group Model(AGM) :即adversary输出的group element值应基于其收到的group element进行有效的group operation计算得出的,而不是随意创造的。
    Suppose adversary is given group elements X 1 , ⋯   , X N ∈ G 1 X_1,\cdots,X_N\in\mathbb{G}_1 X1,,XNG1. Then, for every group element Z ∈ G 1 Z\in\mathbb{G}_1 ZG1 that the adversary outputs, it must also ouput z 1 , ⋯   , z N ∈ Z p z_1,\cdots,z_N\in\mathbb{Z}_p z1,,zNZp such that Z = ∏ i = 1 N X i z i Z=\prod_{i=1}^{N}X_i^{z_i} Z=i=1NXizi.

  • security assumption:在bilinear pairing group中求解 l l l-wBDHE(weak bilinear Diffie-Hellman exponent problem)很难,即对任意的 α ← Z p \alpha\leftarrow \mathbb{Z}_p αZp已知 g 1 α , g 1 ( α 2 ) , ⋯   , g 1 ( α l ) , g 1 ( α l + 2 ) , ⋯   , g 1 ( α 3 l ) , g 2 α , g 2 ( α 2 ) , ⋯   , g 2 ( α l ) g_1^{\alpha},g_1^{(\alpha^2)},\cdots,g_1^{(\alpha^l)},g_1^{(\alpha^{l+2})},\cdots,g_1^{(\alpha^{3l})},g_2^{\alpha},g_2^{(\alpha^2)},\cdots,g_2^{(\alpha^l)} g1α,g1(α2),,g1(αl),g1(αl+2),,g1(α3l),g2α,g2(α2),,g2(αl)
    求解 g 1 ( α l + 1 ) g_1^{(\alpha^{l+1})} g1(αl+1)很难。
    对于BLS12-381 pairing-friendly curve with l = 32 l=32 l=32,当前best attack has complexity 2 112 2^{112} 2112

  • The Random Oracle Model(ROM):本文的security proofs are in the random oracle model。在本文model a cryptographic hash function as a truly random function, accessible to all parties only via oracle queries。本文使用了两个random oracles H H H H ′ H' H,both with output space Z p \mathbb{Z}_p Zp

2. vector commitment

采用与Libert和Yung 2010年论文《Concise mercurial vector commitments and independent zero-knowledge sets with short proofs》类似的思路,基于非对称bilinear pairing group,相应的实现细节为:

  • Setup: Let ( G 1 , G 2 , G T ) (\mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_T) (G1,G2,GT) be a group of prime order p p p,along with pairing e : G 1 × G 2 → G T e:\mathbb{G}_1\times\mathbb{G}_2\rightarrow \mathbb{G}_T e:G1×G2GT and generators g 1 , g 2 , g T = e ( g 1 , g 2 ) g_1,g_2,g_T=e(g_1,g_2) g1,g2,gT=e(g1,g2) for G 1 , G 2 , G T \mathbb{G}_1,\mathbb{G}_2,\mathbb{G}_T G1,G2,GT respectively. Let α ∈ Z p \alpha\in \mathbb{Z}_p αZp be a secret value (known to no one after the initial generation of public parameters). The pulic parameters are given by 2 N − 1 2N-1 2N1 values in G 1 \mathbb{G}_1 G1, N N N values in G 2 \mathbb{G}_2 G2, and one value in G T \mathbb{G}_T GT(该值易于计算获得,如 g T α N + 1 = e ( g 1 α , g 2 α N ) = e ( g 1 , g 2 ) α N + 1 g_T^{\alpha^{N+1}}=e(g_1^{\alpha},g_2^{\alpha^{N}})=e(g_1,g_2)^{\alpha^{N+1}} gTαN+1=e(g1α,g2αN)=e(g1,g2)αN+1):【注意 g 1 α N + 1 g_1^{\alpha^{N+1}} g1αN+1不应包含在public parameters中,否则Prover可伪造证明。】
    g 1 α , ⋯   , g 1 α N , g 1 α N + 2 , ⋯   , g 1 α 2 N ; g 2 α , ⋯   , g 2 α N ; g T α N + 1 g_1^{\alpha},\cdots,g_1^{\alpha^{N}},g_1^{\alpha^{N+2}},\cdots,g_1^{\alpha^{2N}};g_2^{\alpha},\cdots,g_2^{\alpha^N};g_T^{\alpha^{N+1}} g1α,,g1αN,g1αN+2,,g1α2N;g2α,,g2αN;gTαN+1

  • Commit:对vector m ⃗ = ( m 1 , ⋯   , m N ) ∈ Z p N \vec{m}=(m_1,\cdots,m_N)\in\mathbb{Z}_p^N m =(m1,,mN)ZpN
    C = g 1 ∑ i = 1 N m i α i C=g_1^{\sum_{i=1}^{N}m_i\alpha^i} C=g1i=1Nmiαi

  • Prove:reveal m i m_i mi
    π i = g 1 ∑ j ≠ i m j α N + 1 − i + j = ( C / g 1 m i α i ) α N + 1 − i \pi_i=g_1^{\sum_{j\neq i}m_j\alpha^{N+1-i+j}}=(C/g_1^{m_i\alpha^i})^{\alpha^{N+1-i}} πi=g1j=imjαN+1i+j=(C/g1miαi)αN+1i

  • Verify:
    e ( C , g 2 α N + 1 − i ) = e ( π i , g 2 ) ⋅ g T m i α N + 1 e(C,g_2^{\alpha^{N+1-i}})=e(\pi_i,g_2)\cdot g_T^{m_i\alpha^{N+1}} e(C,g2αN+1i)=e(πi,g2)gTmiαN+1

2.1 支持aggregation的vector commitment思路集锦

为了实现reveal multiple values m i : i ∈ S m_i:i\in S mi:iS (其中 S ⊆ [ N ] S\subseteq [N] S[N]) for a single commitment C C C via a very short proof π S \pi_S πS

  • 思路一:
    直接计算 π S = ∏ i ∈ S π i \pi_S=\prod_{i\in S}\pi_i πS=iSπi,然后验证 e ( C , ∏ i ∈ S g 2 α N + 1 − i ) = e ( π S , g 2 ) ⋅ g T α N + 1 ∑ i ∈ S m i e(C,\prod_{i\in S}g_2^{\alpha^{N+1-i}})=e(\pi_S,g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_i} e(C,iSg2αN+1i)=e(πS,g2)gTαN+1iSmi
    该方式不安全,若open S = 1 , 2 S={1,2} S=1,2,可commit to ( m 1 , m 2 ) = ( 1 , 3 ) (m_1,m_2)=(1,3) (m1,m2)=(1,3)而open为 ( m 1 , m 2 ) = ( 2 , 2 ) (m_1,m_2)=(2,2) (m1,m2)=(2,2),违反了binding属性(只bound to ∑ i ∈ S m i \sum_{i\in S}m_i iSmi,而不是 { m i : i ∈ S } \{m_i:i\in S\} {mi:iS}中的每一个值。)。
    同时,还需要防止inconsistnent reveals for possibly two different sets,如分别open ( m 1 , m 2 ) (m_1,m_2) (m1,m2) ( 1 , 3 ) (1,3) (1,3) ( m 2 , m 3 ) (m_2,m_3) (m2,m3) ( 2 , 1 ) (2,1) (2,1)的情况是不允许的。

  • 思路二:实现same-commitment aggregation
    在verification方程式中引入“随机”scalars t i t_i ti
    e ( C , ∏ i ∈ S g 2 α N + 1 − i t i ) = e ( π S , g 2 ) ⋅ g T α N + 1 ∑ i ∈ S m i t i e(C,\prod_{i\in S}g_2^{\alpha^{N+1-i}t_i})=e(\pi_S,g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S}m_it_i} e(C,iSg2αN+1iti)=e(πS,g2)gTαN+1iSmiti
    aggregated proof π S = ∏ i ∈ S π i t i \pi_S=\prod_{i\in S}\pi_i^{t_i} πS=iSπiti
    scalars t i t_i ti的值可通过applying a hash function H H H on some carefully chosen inputs depending on C , S , { m i : i ∈ S } C,S,\{m_i:i\in S\} C,S,{mi:iS}。类似的思路在Boneh等人2018年论文《Compact multi-signatures for smaller blockchains》的aggregating signatures中有提及。
    怎样选择 t i t_i ti来保证binding属性呢?若 t i ← Z p t_i\leftarrow \mathbb{Z}_p tiZp为indeed random,则可保证 P r [ ∑ i ∈ S m i t i = ∑ i ∈ S m i ′ t i ′ ] = 1 / p Pr[\sum_{i\in S}m_it_i=\sum_{i\in S}m_i't_i']=1/p Pr[iSmiti=iSmiti]=1/p,即对同一位置open为两个不同值的概率可忽略。
    可将hash function H H H 看成是a random oracle。同时,还需要restrict the adversary to the so-called algebraic group model,以便可express adversarially generated commitments C C C in terms of public parameters。

  • 思路三:实现cross-commitment aggregation
    对多个不同的vector进行commit,第 j j j个vector 可表示为 m ⃗ j = ( m j , 1 , ⋯   , m j , N ) \vec{m}_j=(m_{j,1},\cdots,m_{j,N}) m j=(mj,1,,mj,N),对应的commitment为 C j C_j Cj,对set S j S_j Sj的open proof为 π ^ j \hat{\pi}_j π^j,则满足:
    e ( C j , ∏ i ∈ S j g 2 α N + 1 − i t j , i ) = e ( π ^ j , g 2 ) ⋅ g T α N + 1 ∑ i ∈ S j m j , i t j , i e(C_j,\prod_{i\in S_j}g_2^{\alpha^{N+1-i}t_{j,i}})=e(\hat{\pi}_j,g_2)\cdot g_T^{\alpha^{N+1}\sum_{i\in S_j}m_{j,i}t_{j,i}} e(Cj,iSjg2αN+1itj,i)=e(π^j,g2)gTαN+1iSjmj,itj,i
    若直接将多个vector对应的verification equation都一起相乘,则有:
    ∏ j e ( C j , ∏ i ∈ S j g 2 α N + 1 − i t j , i ) = e ( ∏ j π ^ j , g 2 ) ⋅ g T α N + 1 ∑ j ∑ i ∈ S j m j , i t j , i \prod_{j}e(C_j,\prod_{i\in S_j}g_2^{\alpha^{N+1-i}t_{j,i}})=e(\prod_{j}\hat{\pi}_j,g_2)\cdot g_T^{\alpha^{N+1}\sum_{j}\sum_{i\in S_j}m_{j,i}t_{j,i}} je(Cj,iSjg2αN+1itj,i)=e(jπ^j,g2)gTαN+1jiSjmj,itj,i
    与思路一类似,上述方式是不安全的,需要再引入额外的random scalars t j ′ t_j' tj,相应的aggregated proof为 π = ∏ j π j ^ t j ′ \pi=\prod_{j}\hat{\pi_j}^{t_j'} π=jπj^tj,对应的verification equation调整为:
    ∏ j e ( C j , ∏ i ∈ S j g 2 α N + 1 − i t j , i ) t j ′ = e ( π , g 2 ) ⋅ g T α N + 1 ∑ j ∑ i ∈ S j m j , i t j , i t j ′ \prod_{j}e(C_j,\prod_{i\in S_j}g_2^{\alpha^{N+1-i}t_{j,i}})^{t_j'}=e(\pi,g_2)\cdot g_T^{\alpha^{N+1}\sum_{j}\sum_{i\in S_j}m_{j,i}t_{j,i}t_j'} je(Cj,iSjg2αN+1itj,i)tj=e(π,g2)gTαN+1jiSjmj,itj,itj

2.2 Same-commitment aggregation

首先考虑的是aggregation of proofs for a single commitment。
基本的算法包括Setup, Commit, UpdateCommit, Aggregate, Verify

  • p p ← S e t u p ( 1 λ , 1 N ) pp\leftarrow Setup(1^{\lambda},1^N) ppSetup(1λ,1N):输出public parameters,支持的vector 长度为 N N N
  • C ← C o m m i t ( m ⃗ ; r ) C\leftarrow Commit(\vec{m};r) CCommit(m ;r):输入为vector m ⃗ ∈ M N \vec{m}\in M^N m MN和randomness r r r,输出为commitment C C C
  • C ′ ← U p d a t e C o m m i t ( C , S , m ⃗ [ S ] , m ⃗ ′ [ S ] ) C'\leftarrow UpdateCommit(C,S,\vec{m}[S],\vec{m}'[S]) CUpdateCommit(C,S,m [S],m [S]):输入为commitment C C C,待更新的位置集 S S S,将待更新位置集内数据由 m ⃗ [ S ] \vec{m}[S] m [S]更新为 m ⃗ ′ [ S ] \vec{m}'[S] m [S]后,对应新的commitment C ′ C' C
  • π i ← P r o v e ( i , m ⃗ , r ) \pi_i\leftarrow Prove(i,\vec{m},r) πiProve(i,m ,r):open位置 i i i对应的proof,输入为待open位置 i ∈ [ N ] i\in [N] i[N] ( m ⃗ , r ) (\vec{m},r) (m ,r),输出为proof π i \pi_i πi。【应该还有一个输出 m i m_i mi,对应open位置 i i i的具体值】
  • π ^ ← A g g r e g a t e ( C , S , m ⃗ [ S ] , { π i : i ∈ S } ) \hat{\pi}\leftarrow Aggregate(C,S,\vec{m}[S],\{\pi_i:i\in S\}) π^Aggregate(C,S,m [S],{πi:iS}):输入为commitment C C C,open位置集 S ⊆ [ N ] S\subseteq [N] S[N],每个位置对应的proof { π : i ∈ S } \{\pi:i\in S\} {π:iS},输出为aggregated proof π ^ \hat{\pi} π^
  • b ← V e r i f y ( C , S , m ⃗ [ S ] , π ^ ) b\leftarrow Verify(C,S,\vec{m}[S],\hat{\pi}) bVerify(C,S,m [S],π^):输入为commitment C C C ,open位置集 S ⊆ [ N ] S\subseteq [N] S[N],open信息 m ⃗ [ S ] \vec{m}[S] m [S],aggregated proof π ^ \hat{\pi} π^,输出为 b b b,0表示拒绝,1表示接受。

本论文中,为了具有通用性,定义的Verify算法总是针对的aggregated proof,哪怕仅仅open了1个位置。同时,上述定义是调用多次Prove算法生成单个位置的proof然后调用一次Aggregated算法生成aggregated proof,可能存在其它算法可直接生成aggregated proof从而提升performance,但是并不影响定义。上述定义中,若commitment updated了,需调用Prove重新生成新的proof,可能存在效率更高的updateproof算法直接update existing proof。(如博客 Vector Commitments and their Applications学习笔记 中提到的ProofUpdate算法)

整个流程应关注如下属性:

  • Correctness of opening。即保证正确的proof aggregated后可100%验证通过。
    Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第1张图片
  • Correctness of updates。即保证对老的commitment进行update操作的输出值应与直接多新的vector进行commit的输出值一致。【有个typo?】
    在这里插入图片描述
  • Binding。即对同一commitment,若open不同的位置集合,应保证集合之间的交集应具有一致性,防止inconsistnent reveals for possibly two different sets。【具体见论文4.3节证明——Proof of binding for same-commitment aggregation。】
    Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第2张图片

具体的实现可为:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第3张图片
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第4张图片

上述具体实现中,可从如下维度优化:

  • Setup可通过多方安全计算或private communication等方式来高效安全实现。
  • 假设 n z ( m ⃗ ) nz(\vec{m}) nz(m )表示the number of non-zero entries in the vector m ⃗ \vec{m} m ,则Commit运算需要 n z ( m ⃗ ) nz(\vec{m}) nz(m ) G 1 \mathbb{G}_1 G1 exponentiation计算,ProveCommit运算少1次。同时,可通过Pippenger等算法,计算products of exponentiations的效率要高于分别计算exponentiations。
  • 实际计算same-commitment aggregated proof π ^ \hat{\pi} π^时,若 S S S is known inadvance,则可不用单独先多次调用Prove生成 π i \pi_i πiAggregate,可将两个算法合并直接生成aggregated proof,效率更高:
    Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第5张图片
  • Verify时, G 1 \mathbb{G}_1 G1域内的运算效率> G 2 \mathbb{G}_2 G2> G T \mathbb{G}_T GT,计算 r = ( ∑ i ∈ S m i t i ) − 1   m o d   p r=(\sum_{i\in S}m_it_i)^{-1}\ mod\ p r=(iSmiti)1 mod p,将 G T \mathbb{G}_T GT域内的运算转移到 G 1 \mathbb{G}_1 G1域内,Verify的公式变更为:
    在这里插入图片描述
    而a product of two pairings can be computed considerably faster than two separate pairings (because the time-consuming final exponentiation needs to be performed only once)。
    同时,当 ∣ S ∣ = 1 |S|=1 S=1,即只open 1个位置时,可设置 t i = 1 t_i=1 ti=1,这样可将 G 2 \mathbb{G}_2 G2域内的运算转移到 G 1 \mathbb{G}_1 G1域内,即上述公式第一项可为 e ( C r , g 2 α N + 1 − i ) e(C^r,g_2^{\alpha^{N+1-i}}) e(Cr,g2αN+1i)
  • ∣ S ∣ = 1 |S|=1 S=1,即只open 1个位置时,可设置 t i = 1 t_i=1 ti=1,相当于不需要执行Aggregate运算,直接设置 π ^ = π i \hat{\pi}=\pi_i π^=πi

具体各算法环节的运算复杂度为:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第6张图片

2.3 Cross-commitment aggregation

考虑的是aggregation of proofs across l l l commitments。
在Same-commitment aggregation的基础上,增加了两组算法AggregateAcrossVerifyAcross

  • π ← A g g r e g a t e A c r o s s ( { C j , S j , m ⃗ j [ S j ] , π j ^ } j ∈ [ l ] ) \pi\leftarrow AggregateAcross(\{C_j,S_j,\vec{m}_j[S_j],\hat{\pi_j}\}_{j\in [l]}) πAggregateAcross({Cj,Sj,m j[Sj],πj^}j[l]):输入为 l l l ( { C j , S j , m ⃗ j [ S j ] } j ∈ [ l ] ) (\{C_j,S_j,\vec{m}_j[S_j] \}_{j\in [l]}) ({Cj,Sj,m j[Sj]}j[l])和相应的same-commitment-aggregated proofs { π j ^ } j ∈ [ l ] \{\hat{\pi_j}\}_{j\in [l]} {πj^}j[l](通过上面的Aggregate算法获得),输出为跨commitment的aggregated proof π \pi π
  • b ← V e r i f y A c r o s s ( { C j , S j , m ⃗ j [ S j ] } j ∈ [ l ] , π ) b\leftarrow VerifyAcross(\{C_j,S_j,\vec{m}_j[S_j] \}_{j\in [l]},\pi) bVerifyAcross({Cj,Sj,m j[Sj]}j[l],π):输入为 l l l ( { C j , S j , m ⃗ j [ S j ] } j ∈ [ l ] ) (\{C_j,S_j,\vec{m}_j[S_j] \}_{j\in [l]}) ({Cj,Sj,m j[Sj]}j[l])和cross-commitment-aggregated proof π \pi π,用于验证 C j C_j Cj is a commitment to a message vector consistent with m ⃗ j [ S j ] \vec{m}_j[S_j] m j[Sj] for all j ∈ [ l ] j\in [l] j[l]

与Same-commitment aggregation类似,也需要满足Correctness of opening属性。

Cross-commitment aggregation的binding属性以实际场景举例:【具体见论文4.4节证明——Proof of binding for cross-commitment aggregation。】
存在两组commitments,第一组(第一次)有 l 0 l^0 l0个不同的commitments,如包含了vectors x ⃗ , z ⃗ \vec{x},\vec{z} x ,z ;第二组(第二次)有 l 1 l^1 l1个不同的commitments,如包含了vectors y ⃗ , x ⃗ . z ⃗ \vec{y},\vec{x}.\vec{z} y ,x .z
所谓的Cross-commitment aggregation的binding属性是指,若第一次cross-commitment-aggregated proof π 0 \pi^0 π0 和 第二次的 π 1 \pi^1 π1VerifyAcross 验证成功,以 x ⃗ \vec{x} x 为例,第一次对应的commitment为 C j 0 0 C_{j^0}^0 Cj00,open位置集合为 S j 0 0 S_{j^0}^0 Sj00;第二次对用的为 C j 1 1 , S j 1 1 C_{j^1}^1,S_{j^1}^1 Cj11Sj11,binding属性要求两次open的交集应具有一致性。
若an opening is inconsistent with a same-commitment opening,则将其和其它commitment openings 聚合在一起的cross-commitment aggregated proof应验证失败。
?即cross-commitment aggregation的binding属性要求要强于same-commitment aggregation 中的binding属性。若cross-commitment中的任一commitment的binding属性有问题,则相应的cross-commitment aggregation proof应验证失败。

特殊地,当 l 0 = l 1 = 1 l^0=l^1=1 l0=l1=1时,其实就是same-commitment。
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第7张图片
具体的实现可为:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第8张图片
借助2.2节中的优化思路,可做如下调整:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第9张图片

2.4 hiding属性的实现

本文考虑的是simulation-based statistical security——存在efficient randomized simulator ( S e t u p ∗ , C o m m i t ∗ , P r o v e ∗ ) (Setup*,Commit*,Prove*) (Setup,Commit,Prove),其中:

  • S e t u p ∗ Setup* Setup:输出 p p pp pp和trapdoor t d td td
  • C o m m i t ∗ ( ; r ) Commit*(;r) Commit(;r);除了随机值 r r r外无其它输入,输出为a random fake commitment C C C。【fake commitment】
  • P r o v e ∗ Prove* Prove:基于trapdoor t d td td,fake C C C, index i i i, value m i m_i mi来生成a fake proof π \pi π。【fake proof】

其核心思想为以上算法生成的fake proofs应statistically indistinguishable from real ones, even given the commitments, and even if the committed messages are chosen adversarially。
fake commitment和fake proof中除了要open的信息外,应leak no information about other messages。

举例为:

  • 真实的stateful oracle O − r e a l ( p p ) O-real(pp) Oreal(pp):计算 C o m m i t ( m ⃗ j ; r j ) Commit(\vec{m}_j;r_j) Commit(m j;rj) P r o v e ( i , m ⃗ j , r j ) Prove(i,\vec{m}_j,r_j) Prove(i,m j,rj)
  • 仿真的stateful oracle O − s i m ( p p , t d ) O-sim(pp,td) Osim(pp,td):计算 C o m m i t ∗ ( ; r j ) Commit*(;r_j) Commit(;rj) P r o v e ∗ ( t d , r j , i , ( m ⃗ j ) i ) Prove*(td,r_j,i,(\vec{m}_j)_i) Prove(td,rj,i,(m j)i)。【为实现hiding属性,很关键的一点是 C o m m i t ∗ Commit* Commit不获取 m ⃗ j \vec{m}_j m j的任何信息,而 P r o v e ∗ Prove* Prove中仅获取要open的信息 ( m ⃗ j ) i (\vec{m}_j)_i (m j)i,除待open位置之外其它的信息均不获取。】

Hiding属性要求基于真实的stateful oracle O − r e a l ( p p ) O-real(pp) Oreal(pp)和仿真的stateful oracle O − s i m ( p p , t d ) O-sim(pp,td) Osim(pp,td)的输出分布的差异性应可忽略。
在这里插入图片描述

当进行update操作时,由于 C ′ ← U p d a t e C o m m i t ( C , S , m ⃗ [ S ] , m ⃗ ′ [ S ] ) C'\leftarrow UpdateCommit(C,S,\vec{m}[S],\vec{m}'[S]) CUpdateCommit(C,S,m [S],m [S])是确定性的,若使用相同的randomness,通过 C C C C ′ C' C之间的关系会reveal m ⃗ \vec{m} m m ⃗ ′ \vec{m}' m 之间的关系。可以在UpdateCommit之后再增加rerandomization处理来hide this relationship。本文方案支持rerandomization操作。【commitment can be rerandomized via multiplication by ( g 1 α N ) r ′ (g_1^{\alpha^N})^{r'} (g1αN)r.】

实际hiding属性的实现采用与Benoît Libert和Moti Yung 2010年论文《Concise Mercurial Vector Commitments and Independent Zero-Knowledge Sets with Short Proofs》中类似的方式——在Commit时引入随机值 g γ g^{\gamma} gγ
加入hiding元素后,具体的算法调整如下:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第10张图片

3. Pointproofs在区块链中的应用

Blockchain:is an append-only public ledger that consists of blocks, with every block containing some number of transactions.
区块链中最根本的问题是对新区块达成共识,共识的过程包括:

  • proposer:propose a block。
  • validators:verify the transactions included in the proposed block are valid。【validators的产生可由POS选举或POW中的self-selected方式产生。】

传统的方式validator需要维护整个state账本,存在存储压力问题。
在[ST99, Mil12, Whi15, Tod16,But17, Dra17, RMCI17, CPZ18, BBF19]等很多论文中,都提议validator store commitments to vectors of relevant values instead of the values themselves。基于此提议实现的可称为stateless client或者stateless blockchain。相应的,transactions中需要包含:

  • the values on which they depend;
  • the proofs of correctness of these values with respect to the commitments stored by the validators (which the validators would update for successful transactions)。

该模式需要在storage,bandwidth和computation之间做取舍平衡。理想的情况应该是具有small commitments and proof sizes and add little computation and bandwidth overheads to the validators。

简单的transaction,类似于比特币账号之间的转账;
复杂的transaction,是基于智能合约的。

现有各方案在解决storage方面的表现对比:【若validator直接存储明文,当需存储 1 0 8 10^8 108个account的状态信息时,需要的存储空间将近3TB;Pointproofs中若引入central entity,对整个系统维护一个commitment,而不是为每个account维护一个commitment,但是没有意义,当 1 0 8 10^8 108个account时,仅需4.5GB已经足够小了,没必要再引入中心化的机制。】
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第11张图片

当由1000个256-bit message时,各vector commitment方案的参数:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第12张图片
将Pointproofs用于smart-contract-based的transaction:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第13张图片

详细的实现流程为:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第14张图片

现有各方案性能对比:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第15张图片

Pointproofs ProveAggregateVerifyAggregateAcross等基础算法的性能表现为:
Pointproofs: Aggregating Proofs for Multiple Vector Commitments 学习笔记1_第16张图片

你可能感兴趣的:(零知识证明)

  • 零知识证明-公钥分发方案DH((六) yunteng521 区块链零知识证明算法区块链密钥分发DH
    前言椭圆曲线配对,是各种加密构造方法(包括确定性阀值签名、zk-SNARKs以及相似的零知识证明)的关键元素之一。椭圆曲线配对(也叫“双线性映射”)有了30年的应用历史,然而最近这些年才把它应用在密码学领域。配对带来了一种“加密乘法”的形式,这很大的拓展了椭圆曲线协议的应用范围。本文的目的是详细介绍椭圆曲线配对,并大致解释它的内部原理先了解DH协议Diffie-Hellman协议简称DH,是一种公
  • 零知识证明:哈希函数-Poseidon2代码解析与benchmark HIT夜枭 零知识证明零知识证明哈希算法区块链
    1、哈希函数(HashFunction)与Poseidon在密码学中,哈希函数是一种将任意大小的数据映射到固定大小的输出的函数。哈希函数的输出称为哈希值或哈希码。哈希函数具有单向性和抗碰撞性。一些常见的哈希函数包括MD5、SHA-1、SHA-256和SHA-3。例如,假设您要验证一个文件的完整性。您可以使用哈希函数来计算该文件的哈希值。然后,您可以将该哈希值与文件的预期哈希值进行比较。如果两个哈希
  • 零知识证明框架:gnark 孙绿如叶~ 零知识证明(ZKP)密码学
    一.zkSNARKs的一般构造流程首先将一个NP问题拍平(Flatten)构成电路(若干个乘法门/加法门构成),在电路的基础上构造约束,也就是R1CS,有了约束就可以把NP问题抽象成QAP问题。有了QAP问题的描述,就可以在QAP上构建zkSNARKs。二.gnarkgnark是consenSys开发的一个zkSARNK实现,采用Go语言,目前支持groth16,github地址:https://
  • 实践指南:构建一个零知识证明 DApp [译] 扣3039046426 区块链
    实践指南:构建一个零知识证明DApp[译]零知识证明DAppcircomsnarkjs本文将构建一个zk-dApp(零知识证明DApp),以证明用户是否属于某个特定组,而无需透露用户具体是谁。阅读本文前,最好先对以下内容有所了解:public-keycryptographycircom及snarkjs使用truffle使用ethers连接合约前言在过去的几个月中,我在以太坊eth上利用了零知识证明
  • Zcash-草稿 歌白梨
    Zcash,也叫大零币,从zerocoin发展而来,是使用零知识证明机制的区块链系统,通过完全匿名交易特性在区块链的生态中独树一帜。现在,Zcash市值是41.10亿。2016年10月28日,ZEC从比特币代码库0.11上分叉,所以他可以算比特币的一个克隆体,与比特币一样,Zcash(ZEC)的总量是2100万,采用PoW共识机制。与比特币不同的是,为了防止矿霸的产生,ZEC的加密不是通过SHA2
  • 金融科技力 nightluo 基础学习金融科技
    金融科技区块链二级目录三级目录区块链区块链安全:保密性、完整性、可用性最重要的点:保密性零知识证明:1、完整性(真的假不了)2、可靠性(假的真不了)3、零知识性(知道真的,但是不需要知道内容)共识算法安全:抗崩溃性与容错性确定性终结与概率终结FLP不可能性:在完全异步消息系统中如果单个节点发生故障,则不可能达成共识安全性与活性CAP定理:只能得到三个中的两个去中心化、可扩展性和安全三角“参数永远是
  • 如何在JavaScript项目中使用 zk-SNARK chinadefi javascriptrust开发语言
    如何在JavaScript项目中使用zk-SNARK[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4fQgcXkV-1675312908395)(https://tva1.sinaimg.cn/large/e6c9d24ely1gzmazs79m1g20tr04ojug.gif)]MariaCappelli在Unsplash上上传的照片零知识证明技术,尤其是zk-S
  • 链化未来技术系列分享(1) - 零知识证明 区块奇点
    11月29日,链化未来在杭州举办主题为“区块链硬核技术揭密——零知识证明及跨链深度解读”线下活动内容分享。本文为零知识证明篇相关PPT内容。目录>什么是零知识证明>链化未来零知识证明组件>实践,跨链,资产交易摘要内容本次活动,密码学家王虎森介绍了链化未来零知识证明组件在技术上相对以太坊的优势,以及在具体业务如跨链、资产转移、个人数据隐私保护方面的应用。相比以太坊,链化未来的零知识证明组件在成本、可
  • OSDI 2023: LVMT: An Efficient Authenticated Storage for Blockchain 结构化文摘 区块链分层架构共识存储结构
    我们使用以下6个分类标准对本文的研究选题进行分析:1.研究方向:区块链可扩展性:提高交易吞吐量和减少确认时间的研究,例如零知识证明、分片和状态通道。密码学技术:开发或改进用于区块链应用的新密码原语,例如椭圆曲线、承诺方案和累加器。区块链存储和效率:优化区块链上的数据存储和检索,例如认证存储、Patricia树和数据压缩。共识机制:设计新的共识协议,例如拜占庭容错算法,用于更快速、更安全的区块验证。
  • 什么是零知识证明? 慎思知行 BlockChain零知识证明区块链
    Web3的核心原则之一——透明度,也可能是其最大的缺点之一。没有人希望他们的所有在线活动(从金融交易到个人身份数据)都可供任何人公开查看。为了使区块链能够扩展并变得更容易访问,隐私必须成为首要任务。零知识证明能够改变我们保护、管理和共享个人数据的方式。它们允许人们在不泄露信息本身的情况下证明陈述的真实性,从而为涉及敏感、机密信息的交易带来了新的隐私级别。什么是零知识证明?零知识证明(通常缩写为“Z
  • 探析零知识证明高能发展路径:走向更安全、私密且可扩展的 Web3 新时代 TinTin Land Web3前沿零知识证明安全web3
    原文:https://www.coinbase.com/blog/understanding-the-zero-knowledge-landscape作者:JonathanKing|CoinbaseVentures编译:TinTinLand本文核心观点2023年,零知识技术吸引了逾4亿美元的投资,主要关注以太坊L1/L2协议层的可扩展性,以及新兴的基础设施和开发者工具。零知识证明(Zero-Kno
  • 解读ALEO-继FIL后又一个由A16Z和软银领投过亿美元的隐私公链项目 米斯特鞏 软银FIL隐私保护rust哈希算法p2p网络协议
    自从今年2月份ALEO融资了由软银领投,三星、老虎环球基金等众多机构跟投的2亿美元后,市场逐渐开始关注ALEO,目前从官方的公开资料看没有太多华丽的介绍,基本都是较专业的内容,今天我从几个方面综合概述一下ALEO的特性,从中也能发现ALEO的真正价值:1、模块化区块链:可组合性,可扩展性2、隐私:zkp零知识证明技术主要解决隐私和可扩展性问题3、兼容以太坊:生态兼容性好4、posw共识机制:基于比
  • Aleo项目详细介绍-一个兼顾隐私和可编程性的隐私公链 慎思知行 区块链
    Aleo上线在即,整理一篇项目的详细介绍,喜欢的收藏。有计划做aleo节点的可交流。一、项目简介Aleo最初是在2016年构思的,旨在研究可编程零知识。公司由HowardWu、MichaelBeller、CollinChin和RaymondChu于2019年正式成立。Aleo是第一个采用零知识证明(ZKP)技术,提供私有、开源的Layer1区块链。Aleo开发了一个默认交易隐私的应用程序构建平台,
  • 区块链精进手册 | 021 | 大师的投资思想(2) 马烈视界
    1.一种通证:ZECZEC是Zcash区块链网络中的通证,中文常备成为“零币”。ZEC发行总量恒定,为2100万枚,现已发行433余万枚,总市值达6.66亿,排行第21位。由于比特币的非匿名性,但实际货币有着匿名性需求,Zerocoin团队在比特币0.11.2的版本上修改了代码,添加了“零知识证明”技术,想让比特币更具匿名性。比特币团队拒绝在原链上升级,原开发者团队成立了ZerocoinElect
  • NuLink介绍二 晨酱
    4.NuLink主要使用技术4.1确保密文形式的数据的可用性。这里使用的加密技术主要是零知识证明。4.2隐私保护的数据共享。使用到的基本方法是对数据进行加密,让数据所有者控制对它的访问。这些技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。4.3隐私保护数据的计算,这部分会将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算(multi-partysecurecom
  • 零知识证明学习 Ameame- 学习
    文档,测试claimPK.zokimport"hashes/sha256/512bitPadded.zok"assha256;import"utils/pack/u32/nonStrictUnpack256.zok"asunpack256;import"utils/pack/u32/unpack128.zok"asunpack128;import"utils/pack/u32/pack128.zo
  • 零知识证明的最新发展和应用 PrimiHub 零知识证明区块链密码学可信计算技术同态加密github
    PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。当企业收集大量客户数据去审查、改进产品和服务以及将数据资产货币化时,他们容易受到网络攻击威胁,造成数据泄露。数据泄露的损失每年都在上升,每次泄露平均造成损失420万美元,如下图所示,它们严重损害了企业的声誉和可信度。数据泄露的成本零知识证明(ZKPs)等隐私增强技术
  • 2022-02-05 Aaron阿酷
    NuLink介绍(四)7.解决方案详细说明 7.1数据可用性 作为一个专注于数据隐私的平台,我们首先需要解决的就是数据可用性问题。这个问题往往分为两部分:第一是消费者在购买前如何确定卖家是否有自己需要的数据,第二是如何验证在密文状态下的数据是否真实。 在NuLink网络中,这两个问题可以通过零知识证明技术来解决:数据所有者需要在数据授权前提供零知识证明。事实上,密文状态下的证明方法与明文状态下的证
  • Web3.0会带来哪些机遇? Aix17
    NuLink的零知识证明介绍作者简介:作为NuLinkTechnology的研究员,Rookie是一位激情的创新者,他专注于密码学和区块链技术。翻译:Reversing作为NuLink项目的高级研究员,我一直致力于密码学和隐私保护的研究。多年来,这个领域一直有一个有趣的话题,那就是ZKP(ZeroKnowledgeProof,零知识证明)。最近它在社区中引起了很多关注,因为有很多有趣的场景可以讨论
  • 零知识证明(zk-SNARK)- groth16(一) Amire0x 密码学-隐私计算零知识证明区块链
    全称为Zero-KnowledgeSuccinctNon-InteractiveArgumentofKnowledge,简洁非交互式零知识证明,简洁性使得运行该协议时,即便statement非常大,它的proof大小也仅有几百个bytes,并且验证一个proof的时间可以达到毫秒级别。这是一个通用的零知识证明协议,可以用作各种证明,如范围证明。核心方法是通过R1CS,QAP等方法将计算难题变为多项
  • 2023海内外零知识证明学习资料汇总(一)(故事中的零知识证明篇) 滕王阁配黑马打火机 零知识证明区块链web3学习
    工欲善其事,必先利其器Web3开发中,各种工具、教程、社区、语言框架.。。。种类繁多,是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役?参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料(包括科普文章,论文,开源仓库及相关学习网站等),并对这些资源进行了整理分析,希望能对大家有所帮助。本文收集了关于零知识证明
  • 2023海内外零知识证明学习资料汇总(二)(深入理解零知识证明篇) 滕王阁配黑马打火机 零知识证明区块链web3学习
    工欲善其事,必先利其器Web3开发中,各种工具、教程、社区、语言框架.。。。种类繁多,是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役?参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料(包括科普文章,论文,开源仓库及相关学习网站等),并对这些资源进行了整理分析,希望能对大家有所帮助。书接上篇,器欲尽其能,必
  • 2022-02-24 Aaron阿酷
    通过集成一流的技术,我们正在建立强大的技术基础。1.保证密文形式数据的可用性。这里使用的加密技术主要包括零知识证明。2.隐私保护数据共享。一般的方法是对数据进行加密,让数据所有者控制对它的访问。技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。3.隐私数据计算,涉及将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算、同态加密等。这三种技术方案可以在很多应用领域提供
  • 区块链在未来企业中将会是什么样的角色? 徽纯正
    如今区块链的技术引发太多的讨论。区块链在企业中的角色是什么?越来越多的公司正在测试区块链的力量,通过分布式记账技术来做交易和追踪资产。以下是区块链今后的趋势预测:图片发自App1区块链将从试点转移到生产。区块链在世界各地都出现了试点项目。随着这些试点和概念验证的成熟,它们将被抛弃,然后将会向生产系统前进。这一过程将成为一个必要的调整。2零知识证明的使用将会提高。区块链将成为企业间交易的平台。这个平
  • dalek-cryptography/zkp——基于merlin的Schnorr零知识证明 mutourend
    zkp为使用merlin的Schnorr零知识证明工具包,基于ristrettogroup做的实例化。【ristretto为对cofactor>1曲线的抽象,ristretto对外表现为将non-prime-order的曲线抽象为aprime-ordergroup。具体的细节可参见博客1ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519co
  • NuLink介绍一 晨酱
    1.NuLink介绍NuLink网络是一种为开发隐私保护APP的技术人员们提供最佳操作方案的去中心化解决方案,且是同类型中最优质的安全和隐私保护方案。NuLink平台提供端点加密和密码访问控制,任何敏感数据都可以从其他用户平台非常安全地共享到云端或者去中心化的储存设备,并根据代理重加密和属性加密协议,自动授权对云端或设备中敏感数据的访问。另一方面,零知识证明可以帮助验证数据的来源。在更多的高级隐私
  • 密码极客分享:4个被知名机构投资的项目 CryptoGeek 区块链区块链比特币CODAMakerDAOCoinbase
    1CodaCoda是第一个具有简洁区块链的加密货币协议,是一种将区块链数据通过零知识证明压缩到固定字节大小的新型数字货币。当前的加密货币(如比特币和以太坊)存储数百GB的数据,随着时间的流逝,其区块链的大小只会增加。但是,对于Coda,无论使用量增长多少,区块链始终保持相同的大小-约20KB(几条推文的大小)。这意味着无论执行多少交易,验证区块链仍然很便捷,并且每个人都可以访问,更可以将加密货币无
  • 我的隐私计算学习——国密SM2和国密SM4算法 Ataraxia8088 服务器人工智能安全密码学学习
    此篇是我笔记目录里的安全保护技术(七),前篇可见:隐私计算安全保护技术(一):我的隐私计算学习——混淆电路-CSDN博客隐私计算安全保护技术(二):我的隐私计算学习——秘密共享-CSDN博客隐私计算安全保护技术(三):我的隐私计算学习——门限签名-CSDN博客隐私计算安全保护技术(四):我的隐私计算学习——同态加密-CSDN博客隐私计算安全保护技术(五):我的隐私计算学习——零知识证明-CSDN博
  • 零知识证明友好的波塞冬哈希(ZK-friendly Hashing: Poseidon) 西京刀客 Starknet零知识证明哈希算法区块链
    文章目录背景什么是Poseidon哈希技术原理各STARKfriendlyhash函数性能对比SHA256VSPedersen参考背景2018年7月2日,以太坊基金会给StarkWare团队2年的赞助,用于寻找新的STARKfriendlyhash(SFH)函数,可用于在区块链中构建transparent且抗量子安全的proof系统。其要求很高,具体为:Prover应能为同一hash函数的多次调用
  • 基于 PSI 的纵向联邦学习数据隐私安全技术 罗思付之技术屋 综合技术探讨及方案专栏安全
    摘 要:联邦学习系统较好地解决了“数据孤岛”问题,也在一定程度上保护了私密训练数据,然而目前联邦学习仍然存在一些隐私安全风险。首先根据联邦学习系统的不同运行阶段归纳总结了其中的隐私安全威胁,并给出了一些解决办法;其次重点讨论了纵向联邦学习系统中的样本对齐问题,讨论和分析了现有的私密求交的基本方法,提出了一种基于零知识证明的私密求交方法并给出了一些改进方向;最后,基于该私密求交方法,讨论了该方法如何
  • Js函数返回值 _wy_ jsreturn
    一、返回控制与函数结果,语法为:return 表达式;作用: 结束函数执行,返回调用函数,而且把表达式的值作为函数的结果 二、返回控制语法为:return;作用: 结束函数执行,返回调用函数,而且把undefined作为函数的结果 在大多数情况下,为事件处理函数返回false,可以防止默认的事件行为.例如,默认情况下点击一个<a>元素,页面会跳转到该元素href属性
  • MySQL 的 char 与 varchar bylijinnan mysql
    今天发现,create table 时,MySQL 4.1有时会把 char 自动转换成 varchar 测试举例: CREATE TABLE `varcharLessThan4` ( `lastName` varchar(3) ) ; mysql> desc varcharLessThan4; +----------+---------+------+-
  • Quartz——TriggerListener和JobListener eksliang TriggerListenerJobListenerquartz
    转载请出自出处:http://eksliang.iteye.com/blog/2208624 一.概述 listener是一个监听器对象,用于监听scheduler中发生的事件,然后执行相应的操作;你可能已经猜到了,TriggerListeners接受与trigger相关的事件,JobListeners接受与jobs相关的事件。   二.JobListener监听器  j
  • oracle层次查询 18289753290 oracle;层次查询;树查询
    .oracle层次查询(connect  by) oracle的emp表中包含了一列mgr指出谁是雇员的经理,由于经理也是雇员,所以经理的信息也存储在emp表中。这样emp表就是一个自引用表,表中的mgr列是一个自引用列,它指向emp表中的empno列,mgr表示一个员工的管理者, select   empno,mgr,ename,sal  from e
  • 通过反射把map中的属性赋值到实体类bean对象中 酷的飞上天空 javaee泛型类型转换
    使用过struts2后感觉最方便的就是这个框架能自动把表单的参数赋值到action里面的对象中 但现在主要使用Spring框架的MVC,虽然也有@ModelAttribute可以使用但是明显感觉不方便。 好吧,那就自己再造一个轮子吧。 原理都知道,就是利用反射进行字段的赋值,下面贴代码 主要类如下:   import java.lang.reflect.Field; imp
  • SAP HANA数据存储:传统硬盘的瓶颈问题 蓝儿唯美 HANA
    SAPHANA平台有各种各样的应用场景,这也意味着客户的实施方法有许多种选择,关键是如何挑选最适合他们需求的实施方案。 在 《Implementing SAP HANA》这本书中,介绍了SAP平台在现实场景中的运作原理,并给出了实施建议和成功案例供参考。本系列文章节选自《Implementing SAP HANA》,介绍了行存储和列存储的各自特点,以及SAP HANA的数据存储方式如何提升空间压
  • Java Socket 多线程实现文件传输 随便小屋 javasocket
            高级操作系统作业,让用Socket实现文件传输,有些代码也是在网上找的,写的不好,如果大家能用就用上。 客户端类:   package edu.logic.client; import java.io.BufferedInputStream; import java.io.Buffered
  • java初学者路径 aijuans java
    学习Java有没有什么捷径?要想学好Java,首先要知道Java的大致分类。自从Sun推出Java以来,就力图使之无所不包,所以Java发展到现在,按应用来分主要分为三大块:J2SE,J2ME和J2EE,这也就是Sun ONE(Open Net Environment)体系。J2SE就是Java2的标准版,主要用于桌面应用软件的编程;J2ME主要应用于嵌入是系统开发,如手机和PDA的编程;J2EE
  • APP推广 aoyouzi APP推广
    一,免费篇 1,APP推荐类网站自主推荐 最美应用、酷安网、DEMO8、木蚂蚁发现频道等,如果产品独特新颖,还能获取最美应用的评测推荐。PS:推荐简单。只要产品有趣好玩,用户会自主分享传播。例如足迹APP在最美应用推荐一次,几天用户暴增将服务器击垮。 2,各大应用商店首发合作 老实盯着排期,多给应用市场官方负责人献殷勤。 3,论坛贴吧推广 百度知道,百度贴吧,猫扑论坛,天涯社区,豆瓣(
  • JSP转发与重定向 百合不是茶 jspservletJava Webjsp转发
      在servlet和jsp中我们经常需要请求,这时就需要用到转发和重定向;   转发包括;forward和include     例子;forwrad转发;  将请求装法给reg.html页面   关键代码;    req.getRequestDispatcher("reg.html
  • web.xml之jsp-config bijian1013 javaweb.xmlservletjsp-config
    1.作用:主要用于设定JSP页面的相关配置。 2.常见定义: <jsp-config> <taglib> <taglib-uri>URI(定义TLD文件的URI,JSP页面的tablib命令可以经由此URI获取到TLD文件)</tablib-uri> <taglib-location> TLD文件所在的位置
  • JSF2.2 ViewScoped Using CDI sunjing CDIJSF 2.2ViewScoped
    JSF 2.0 introduced annotation @ViewScoped; A bean annotated with this scope maintained its state as long as the user stays on the same view(reloads or navigation - no intervening views). One problem w
  • 【分布式数据一致性二】Zookeeper数据读写一致性 bit1129 zookeeper
    很多文档说Zookeeper是强一致性保证,事实不然。关于一致性模型请参考http://bit1129.iteye.com/blog/2155336    Zookeeper的数据同步协议 Zookeeper采用称为Quorum Based Protocol的数据同步协议。假如Zookeeper集群有N台Zookeeper服务器(N通常取奇数,3台能够满足数据可靠性同时
  • Java开发笔记 白糖_ java开发
    1、Map<key,value>的remove方法只能识别相同类型的key值   Map<Integer,String> map = new HashMap<Integer,String>(); map.put(1,"a"); map.put(2,"b"); map.put(3,"c"
  • 图片黑色阴影 bozch 图片
     .event{ padding:0;    width:460px;    min-width: 460px;    border:0px solid #e4e4e4;    height: 350px;    min-heig
  • 编程之美-饮料供货-动态规划 bylijinnan 动态规划
    import java.util.Arrays; import java.util.Random; public class BeverageSupply { /** * 编程之美 饮料供货 * 设Opt(V’,i)表示从i到n-1种饮料中,总容量为V’的方案中,满意度之和的最大值。 * 那么递归式就应该是:Opt(V’,i)=max{ k * Hi+Op
  • ajax大参数(大数据)提交性能分析 chenbowen00 WebAjax框架浏览器prototype
    近期在项目中发现如下一个问题 项目中有个提交现场事件的功能,该功能主要是在web客户端保存现场数据(主要有截屏,终端日志等信息)然后提交到服务器上方便我们分析定位问题。客户在使用该功能的过程中反应点击提交后反应很慢,大概要等10到20秒的时间浏览器才能操作,期间页面不响应事件。 根据客户描述分析了下的代码流程,很简单,主要通过OCX控件截屏,在将前端的日志等文件使用OCX控件打包,在将之转换为
  • [宇宙与天文]在太空采矿,在太空建造 comsci
         我们在太空进行工业活动...但是不太可能把太空工业产品又运回到地面上进行加工,而一般是在哪里开采,就在哪里加工,太空的微重力环境,可能会使我们的工业产品的制造尺度非常巨大....      地球上制造的最大工业机器是超级油轮和航空母舰,再大些就会遇到困难了,但是在空间船坞中,制造的最大工业机器,可能就没
  • ORACLE中CONSTRAINT的四对属性 daizj oracleCONSTRAINT
    ORACLE中CONSTRAINT的四对属性 summary:在data migrate时,某些表的约束总是困扰着我们,让我们的migratet举步维艰,如何利用约束本身的属性来处理这些问题呢?本文详细介绍了约束的四对属性: Deferrable/not deferrable, Deferred/immediate, enalbe/disable, validate/novalidate,以及如
  • Gradle入门教程 dengkane gradle
    一、寻找gradle的历程 一开始的时候,我们只有一个工程,所有要用到的jar包都放到工程目录下面,时间长了,工程越来越大,使用到的jar包也越来越多,难以理解jar之间的依赖关系。再后来我们把旧的工程拆分到不同的工程里,靠ide来管理工程之间的依赖关系,各工程下的jar包依赖是杂乱的。一段时间后,我们发现用ide来管理项程很不方便,比如不方便脱离ide自动构建,于是我们写自己的ant脚本。再后
  • C语言简单循环示例 dcj3sjt126com c
    # include <stdio.h> int main(void) { int i; int count = 0; int sum = 0; float avg; for (i=1; i<=100; i++) { if (i%2==0) { count++; sum += i; } } avg
  • presentModalViewController 的动画效果 dcj3sjt126com controller
    系统自带(四种效果): presentModalViewController模态的动画效果设置:     [cpp]  view plain copy   UIViewController *detailViewController = [[UIViewController al
  • java 二分查找 shuizhaosi888 二分查找java二分查找
    需求:在排好顺序的一串数字中,找到数字T   一般解法:从左到右扫描数据,其运行花费线性时间O(N)。然而这个算法并没有用到该表已经排序的事实。 /** * * @param array * 顺序数组 * @param t * 要查找对象 * @return */ public stati
  • Spring Security(07)——缓存UserDetails 234390216 ehcache缓存Spring Security
           Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没
  • Dozer 深层次复制 jayluns VOmavenpo
    最近在做项目上遇到了一些小问题,因为架构在做设计的时候web前段展示用到了vo层,而在后台进行与数据库层操作的时候用到的是Po层。这样在业务层返回vo到控制层,每一次都需要从po-->转化到vo层,用到BeanUtils.copyProperties(source, target)只能复制简单的属性,因为实体类都配置了hibernate那些关联关系,所以它满足不了现在的需求,但后发现还有个很
  • CSS规范整理(摘自懒人图库) a409435341 htmlUIcss浏览器
       刚没事闲着在网上瞎逛,找了一篇CSS规范整理,粗略看了一下后还蛮有一定的道理,并自问是否有这样的规范,这也是初入前端开发的人一个很好的规范吧。 一、文件规范 1、文件均归档至约定的目录中。 具体要求通过豆瓣的CSS规范进行讲解: 所有的CSS分为两大类:通用类和业务类。通用的CSS文件,放在如下目录中: 基本样式库 /css/core
  • C++动态链接库创建与使用 你不认识的休道人 C++dll
    一、创建动态链接库 1.新建工程test中选择”MFC [dll]”dll类型选择第二项"Regular DLL With MFC shared linked",完成 2.在test.h中添加 extern “C” 返回类型 _declspec(dllexport)函数名(参数列表); 3.在test.cpp中最后写 extern “C” 返回类型 _decls
  • Android代码混淆之ProGuard rensanning ProGuard
    Android应用的Java代码,通过反编译apk文件(dex2jar、apktool)很容易得到源代码,所以在release版本的apk中一定要混淆一下一些关键的Java源码。 ProGuard是一个开源的Java代码混淆器(obfuscation)。ADT r8开始它被默认集成到了Android SDK中。 官网: http://proguard.sourceforge.net/
  • 程序员在编程中遇到的奇葩弱智问题 tomcat_oracle jquery编程ide
      现在收集一下:         排名不分先后,按照发言顺序来的。   1、Jquery插件一个通用函数一直报错,尤其是很明显是存在的函数,很有可能就是你没有引入jquery。。。或者版本不对 2、调试半天没变化:不在同一个文件中调试。这个很可怕,我们很多时候会备份好几个项目,改完发现改错了。有个群友说的好:   在汤匙
  • 解决maven-dependency-plugin (goals "copy-dependencies","unpack") is not supported xp9802 dependency
    解决办法:在plugins之前添加如下pluginManagement,二者前后顺序如下:   [html]  view plain copy   <build>           <pluginManagement
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他