区块链隐私技术:Bulletproofs

由斯坦福大学、伦敦大学学院、区块链协议公司Blockstream共同提出和维护的Bulletproofs技术方案，得到了美国国家科学基金会（NSF）、美国国防高级研究计划局（DARPA）、美国海军研究局(ONR)以及西蒙斯基金会的支持，而在近期，隐私货币门罗币还正式应用了这一方案，根据门罗团队表示，应用这项技术之后，门罗币单笔交易的大小减少了80%，而其交易费用更是降低了96%，可以说它是一项真正的区块链黑科技！

该技术方案的作者在论文中提到，Bulletproofs为通用算术回路提供了简短的零知识证明，其使用Fiat-Shamir heuristic协议实现了非交互，并且它只依赖于离散对数假设而不需要可信设置。相比之下，另一大隐私货币Zcash所采用的简洁非交互式零知识证明方案zk-SNARKs，仍需要复杂的可信设置，对于复杂的应用来说，证明大小以及昂贵的验证成本显然是限制因素，正如此前《昂贵的区块链隐私方案是无用的》一文中提到的，如果一个隐私方案的代价过高，使得普通用户无法承受得起这类交易，那么这一方案就很难获得成功。而Bulletproofs的出现，不仅会影响到隐私密码货币市场，它甚至还可以应用于比特币、侧链、私链、允许比特币交易所证明其是否具有清还债务能力的Provisions方案等之上。

Fiat-Shamir heuristic协议：

零知识证明是区块链密码学的重要内容。近期在学习环签名，因此了解了一下证明机制。 
零知识证明：向对方证明自己知道某个秘密，但不泄露秘密。 
一个传统的证明步骤如下： 
1 以离散对数加密为例，一证明者公开一系列信息(g,y1)，其中g是本原元，如果用椭圆曲线离散对数就是基点坐标，y1就是公钥。 
2 选择一个伪随机数v∈Zq，计算t=gv并发送给验证者。 
3 验证者发送一个随机数挑战c∈Zq 
4 证明者计算r=v−cx并发回r，如果t≡grgc就证明成功。这个等式可以通过代入前面的式子简单证明。 
这里面有一个互动的过程，这是我们不希望的，互动的关键在于随机数c，规定随机数c这个权利是不能交给证明者的（可以计算出符合要求的c）。这需要用一个随机的过程代替c。 
Fiat-Shamir transform规定用一个Hash函数H(g,y,t)来代替c，这个Hash值是证明者计算并且公布的，但是前提是证明者不能访问Hash函数的代码（意思是修改），只能访问Hash函数的随机预言机。如果攻击者访问q次随机预言机，他获得正确哈希值的概率也仅仅是q2n，n是哈希函数映射的目标空间大小，这是一个很小的概率。 
为什么用Hash函数？因为Hash函数的结果可以视作值域上的均匀分布（如SHA-256），证明者不能预测输出的值，如果证明者希望得到某个特定的值，那它只能不断访问随机预言机然后寻找碰撞。 
尽管“随机预言机”模型备受争议，但目前尚无有效的Fiat-Shamir transform破解算法。

 

当然，这项技术目前仍需要进一步完善。译者认为，该技术方案在区块链世界将会扮演十分重要的角色，因此有必要对其进行更进一步的了解，以下为该方案的论文译文