mutourend
mutourend

PLOOKUP

1. 引言

Aztec团队Gabizon和Williamson 2020年论文 plookup: A simplified polynomial protocol for lookup tables。

代码实现参见:

  • https://github.com/kevaundray/plookup
  • https://github.com/neidis/plonk-plookup

视频介绍参见:

  • Youtube视频 zkSummit: plookup: Speeding up the PLONK prover

针对的场景为:

  • Prover 对 a polynomial f ∈ F < n [ X ] f\in\mathbb{F}_{fF<n[X] over a multiplicative subgroup H ⊂ F H\subset\mathbb{F} HF of size n n n 进行commit;
  • Prover 对该多项式 f f f进行evaluation: f 1 = f ( x 1 ) , ⋯   , f n = f ( x n ) f_1=f(x_1),\cdots, f_n=f(x_n) f1=f(x1),,fn=f(xn)
  • Prover 提供相应的proof,证明 f 1 , ⋯   , f n f_1,\cdots,f_n f1,,fn值均在 t ∈ F d t\in\mathbb{F}^d tFd表内。

本文可看成是Bootle等人2018年论文《Arya: Nearly linear-time zero-knowledge proofs for correct program execution》的简化版,且当 d ≤ n d\leq n dn时,性能可能有所提升。

  • 在Bottle的Arya论文中,要求对多个degree为 d ⋅ log ⁡ n d\cdot \log n dlogn的辅助多项式进行commit;
  • 而本文仅需要对3个degree为 n n n的多项式进行commit,当 d d d n n n相当时,相应的commitment可小很多。

一个常用的应用场景可为:

  • “batch range proof”,即验证所有的 f f f’s values on H H H 均在 [ 0 , ⋯   , M ] [0,\cdots,M] [0,,M]范围内。

本文为"batch range proof"这种特殊应用场景设计了一个稍微优化了的协议。

2. Why lookup table?

当想用zk-SNARK来证明如AES-128或SHA-256这样的标准primitive时,若采用native SNARK language来表达时,对应为大量low degree equations over a large prime field。这些primitives被认为是“SNARK unfriendly”的。因为存在大量的开销用于如bitwise XOR或AND等位分解(bit decomposition)操作。
因此,有相关研究致力于寻找仅需基于native field operations的STARK friendly和SNARK friendly的 hash 函数和对称primitives:

  • Grassi等人2019年论文《Starkad and poseidon: New hash functions for zero knowledge proof systems》
  • Aly等人2019年论文《Efficient symmetric primitives for advanced cryptographic protocols (A marvellous contribution)》
  • Albrecht等人2016年论文《Mimc: Efficient encryption and cryptographic hashing with minimal multiplicative complexity》
  • Albrecht等人2019年论文《 Algebraic cryptanalysis of stark-friendly designs: Application to marvellous and mimc》

本文主要关注的是:

  • 将常用的合法(输入、输出)组合,precompute一个相应的lookup table。然后Prover仅需要证明相应的witness values存在该table中即可。

借助randomness,可将其reduce为looking up single field elements instead of tupples。

假设looup table中的值为 { t i } i ∈ [ d ] \{t_i\}_{i\in [d]} {ti}i[d],witness值为 { f i } i ∈ [ n ] \{f_i\}_{i\in[n]} {fi}i[n]时,对于:
F ( X ) : = ∏ i ∈ [ n ] ( X − f i ) , G ( X ) : = ∏ i ∈ [ d ] ( X − t i ) F(X):=\prod_{i\in[n]}(X-f_i), G(X):=\prod_{i\in[d]}(X-t_i) F(X):=i[n](Xfi),G(X):=i[d](Xti)
转为证明多项式 F ( X ) , G ( X ) F(X),G(X) F(X),G(X)忽略多重性的话,两者具有相同的根。所谓多重性是指,存在某些非负整数,可将 F ( X ) F(X) F(X)表示为 F ( X ) = ∏ i ∈ [ d ] ( X − t i ) e i F(X)=\prod_{i\in[d]}(X-t_i)^{e_i} F(X)=i[d](Xti)ei

在Bootle等人的Arya论文中,提供了上述问题的解决方案——通过repeatedly checking that field elements correspond to certain convenient sparse representations of boolean strings。
在Arya论文中,为证明 F ( X ) = ∏ i ∈ [ d ] ( X − t i ) e i F(X)=\prod_{i\in[d]}(X-t_i)^{e_i} F(X)=i[d](Xti)ei,需要以下两种commitment:

  • commit to a vector of length d log ⁡ n d\log n dlogn。在该vector 中的值为 ( x − t i ) 2 j (x-t_i)^{2^j} (xti)2j,其中 i ∈ [ d ] , j ∈ [ log ⁡ n ] i\in[d],j\in[\log n] i[d],j[logn] x ∈ F x\in\mathbb{F} xF为random verifier challenge。
  • commit to the binary decomposition of the { e i } \{e_i\} {ei}

而本文提供了相对更简单的方法,不再需要明确证明相应的多重性(即无需证明相应的 { e i } \{e_i\} {ei})。

本文以 f ⊂ t f\subset t ft来表示 { f i } i ∈ [ n ] ⊂ { t i } i ∈ [ d ] \{f_i\}_{i\in[n]}\subset \{t_i\}_{i\in[d]} {fi}i[n]{ti}i[d]

t = { 1 , 4 , 8 } , f = { 4 , 1 , 8 , 1 , 8 , 8 } t=\{1,4,8\},f=\{4,1,8,1,8,8\} t={1,4,8},f={4,1,8,1,8,8},详细的解决思路为:

  • { f i } \{f_i\} {fi}排序(根据 t t t的顺序排序)为: s = { 1 , 1 , 4 , 8 , 8 , 8 } s=\{1,1,4,8,8,8\} s={1,1,4,8,8,8}
  • 计算 s s s t t t的非零difference set,均为 { 3 , 4 } \{3,4\} {3,4}。【sequence ( f 1 , f 2 , ⋯ f n ) (f_1,f_2,\cdots f_n) (f1,f2,fn)的difference set的计算方式为: ( f 2 − f 1 , f 3 − f 2 , ⋯   , f n − f n − 1 ) (f_2-f_1,f_3-f_2,\cdots,f_n-f_{n-1}) (f2f1,f3f2,,fnfn1),非零difference set是将其中的零差值移除。】【若 f ⊂ t f\subset t ft,且 t t t中的每个元素都至少在 f f f中出现了1次,则 s s s t t t有完全相同的非零difference set。但是反之不成立,如 s ′ = { 1 , 5 , 5 , 5 , 8 , 8 } s'=\{1,5,5,5,8,8\} s={1,5,5,5,8,8}的非零difference set也为 { 3 , 4 } \{3,4\} {3,4},但是 s ′ ⊂ t s'\subset t st并不成立。】
  • 引入随机值 β ∈ F \beta\in\mathbb{F} βF,对difference set进行randomized: { t i + β t i + 1 } i ∈ [ d − 1 ] \{t_i+\beta t_{i+1}\}_{i\in[d-1]} {ti+βti+1}i[d1] { s i + β s i + 1 } i ∈ [ n − 1 ] \{s_i+\beta s_{i+1}\}_{i\in[n-1]} {si+βsi+1}i[n1]。【若 s i + 1 = s i s_{i+1}=s_i si+1=si,则 s i + β ⋅ s i + 1 = ( 1 + β ) ⋅ s i s_i+\beta\cdot s_{i+1}=(1+\beta)\cdot s_i si+βsi+1=(1+β)si,于是可以借助 ( 1 + β ) (1+\beta) (1+β)来判断出这些重复值,在实际compare时剔除出去,从而实现多重性 { e i } \{e_i\} {ei}的功能。】【可借助“grand product argument”——类似 Gabizon等人2019年论文《PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge》中的 permutation argument来证明。】

3. polynomial for lookup table

以上假设了 t t t中的每个元素都至少在 f f f中出现了1次,实际上,若设定:

  • s s s f f f拼接 t t t 之后排序

则不再需要约束 t t t中的值必须在 f f f至少出现1次了。此时对于 t ∈ F d , f ∈ F n t\in\mathbb{F}^d,f\in\mathbb{F}^n tFd,fFn,有 s ∈ F n + d s\in\mathbb{F}^{n+d} sFn+d。【以 t = { 1 , 4 , 8 } , f = { 1 , 8 , 1 , 8 , 8 } t=\{1,4,8\},f=\{1,8,1,8,8\} t={1,4,8},f={1,8,1,8,8}为例,有 s = { 1 , 1 , 1 , 4 , 8 , 8 , 8 , 8 } s=\{1,1,1,4,8,8,8,8\} s={1,1,1,4,8,8,8,8}】。

{ t i + β t i + 1 } i ∈ [ d − 1 ] \{t_i+\beta t_{i+1}\}_{i\in[d-1]} {ti+βti+1}i[d1] { s i + β s i + 1 } i ∈ [ n − 1 ] \{s_i+\beta s_{i+1}\}_{i\in[n-1]} {si+βsi+1}i[n1]证明 f ⊂ t f\subset t ft,构建如下双变量多项式 F , G F,G F,G
PLOOKUP_第1张图片

有:
PLOOKUP_第2张图片
证明以上结论成立的基本思路为:

  • 提取 ( 1 + β ) (1+\beta) (1+β)因子:
    PLOOKUP_第3张图片
  • 拆分为 P ′ P' P P P P两个域来考虑:
    PLOOKUP_第4张图片

4. 单个多项式 f ∈ F < n [ X ] f\in\mathbb{F}_{fF<n[X]的lookup table 关系证明

根据第三节内容,相应的多项式关系为:
F ( β , γ ) / G ( β , γ ) = ( 1 + β ) n ⋅ ∏ i ∈ [ n ] ( γ + f i ) ∏ i ∈ [ d − 1 ] ( γ ( 1 + β ) + t i + β t i + 1 ) ∏ i ∈ [ n + d − 1 ] ( γ ( 1 + β ) + s i + β s i + 1 ) F(\beta,\gamma)/G(\beta,\gamma)=\frac{(1+\beta)^n\cdot \prod_{i\in[n]}(\gamma+f_i)\prod_{i\in[d-1]}(\gamma(1+\beta)+t_i+\beta t_{i+1})}{\prod_{i\in[n+d-1]}(\gamma(1+\beta)+s_i+\beta s_{i+1})} F(β,γ)/G(β,γ)=i[n+d1](γ(1+β)+si+βsi+1)(1+β)ni[n](γ+fi)i[d1](γ(1+β)+ti+βti+1)

根据以上Claim 3.1,可扩展为直接设置 d = n + 1 d=n+1 d=n+1(若 d ≤ n d\leq n dn,则可在 t t t后面pad n − d + 1 n-d+1 nd+1个重复值 of the last element,pad后以上多项式关系仍然成立)。
针对的场景为:

  • Preprocessed polynomials为:用于描述lookup values的多项式 t ∈ F < n + 1 [ X ] t\in\mathbb{F}_{tF<n+1[X]
  • Inputs输入为: f ∈ F < n [ X ] f\in\mathbb{F}_{fF<n[X]

相应协议为:

  • 1)令 s ∈ F 2 n + 1 s\in\mathbb{F}^{2n+1} sF2n+1 ( f , t ) (f,t) (f,t) sorted by t t t。通过两个多项式 h 1 , h 2 ∈ F < n + 1 [ X ] h_1,h_2\in\mathbb{F}_{h1,h2F<n+1[X]来表示 s s s。对于 i ∈ [ n + 1 ] i\in[n+1] i[n+1],有 h 1 ( g i ) = s i h_1(\mathbf{g}^i)=s_i h1(gi)=si h 2 ( g i ) = s n + i h_2(\mathbf{g}^i)=s_{n+i} h2(gi)=sn+i。【其中 g \mathbf{g} g n + 1 n+1 n+1-th root of unity, g n + 1 = 1 \mathbf{g}^{n+1}=1 gn+1=1。有 h 1 ( 1 ) = s n + 1 = h 2 ( g ) h_1(1)=s_{n+1}=h_2(\mathbf{g}) h1(1)=sn+1=h2(g)。】

  • 2)Prover P \mathbf{P} P 按如上规则计算出以上多项式 h 1 , h 2 h_1,h_2 h1,h2,将多项式 h 1 , h 2 h_1,h_2 h1,h2发送给理想第三方 I \mathcal{I} I

  • 3)Veriifer V \mathbf{V} V 发送给 P \mathbf{P} P 随机challenge值 β , γ ∈ F \beta,\gamma\in\mathbb{F} β,γF

  • 4)Prover P \mathbf{P} P 计算多项式 Z ∈ F n + 1 [ X ] Z\in\mathbb{F}_{n+1}[X] ZFn+1[X] that aggregates the value F ( β , γ ) / G ( β , γ ) F(\beta,\gamma)/G(\beta,\gamma) F(β,γ)/G(β,γ)
    4.a)令 Z ( g ) = 1 Z(\mathbf{g})=1 Z(g)=1
    4.b)当 2 ≤ i ≤ n 2\leq i \leq n 2in时,令:【拆分的思想为与 h 1 , h 2 h_1,h_2 h1,h2呼应。】
    Z ( g i ) = ( 1 + β ) i − 1 ⋅ ∏ j < i ( γ + f j ) ∏ 1 ≤ j < i ( γ ( 1 + β ) + t j + β t j + 1 ) ∏ 1 ≤ j < i ( γ ( 1 + β ) + s j + β s j + 1 ) ( γ ( 1 + β ) + s n + j + β s n + j + 1 ) Z(\mathbf{g}^i)=\frac{(1+\beta)^{i-1}\cdot \prod_{jZ(gi)=1j<i(γ(1+β)+sj+βsj+1)(γ(1+β)+sn+j+βsn+j+1)(1+β)i1j<i(γ+fj)1j<i(γ(1+β)+tj+βtj+1)
    4.c)令 Z ( g n + 1 ) = 1 Z(\mathbf{g}^{n+1})=1 Z(gn+1)=1

  • 5) P \mathbf{P} P 将多项式 Z Z Z 发送给 I \mathcal{I} I

  • 6) V \mathbf{V} V 验证多项式 Z Z Z确实是如上格式且 Z ( g n + 1 ) = 1 Z(\mathbf{g}^{n+1})=1 Z(gn+1)=1 V \mathbf{V} V 将验证所有的identities x ∈ H = { g , ⋯   , g n + 1 = 1 } \mathbf{x}\in H=\{\mathbf{g},\cdots,\mathbf{g}^{n+1}=1\} xH={g,,gn+1=1},以下等式均成立:【同时已约定 H H H的lagrange base表示为:对 i ∈ [ n + 1 ] i\in[n+1] i[n+1],有 L i ( g i ) = 1 L_i(\mathbf{g}^i)=1 Li(gi)=1;对任意的 j ≠ i j\neq i j=i,有 L i ( g j ) = 0 L_i(\mathbf{g}^j)=0 Li(gj)=0。】
    6.a) L 1 ( x ) ( Z ( x ) − 1 ) = 0 L_1(\mathbf{x})(Z(\mathbf{x})-1)=0 L1(x)(Z(x)1)=0
    6.b) ( x − g n + 1 ) Z ( x ) ( 1 + β ) ⋅ ( γ + f ( x ) ) ( γ ( 1 + β ) + t ( x ) + β t ( g ⋅ x ) ) = ( x − g n + 1 ) Z ( g ⋅ x ) ( γ ( 1 + β ) + h 2 ( x ) + β h 2 ( g ⋅ x ) ) ( γ ( 1 + β ) + h 1 ( x ) + β h 1 ( g ⋅ x ) ) (\mathbf{x}-\mathbf{g}^{n+1})Z(\mathbf{x})(1+\beta)\cdot(\gamma+f(\mathbf{x}))(\gamma(1+\beta)+t(\mathbf{x})+\beta t(\mathbf{g}\cdot \mathbf{x}))=(\mathbf{x}-\mathbf{g}^{n+1})Z(\mathbf{g}\cdot\mathbf{x})(\gamma(1+\beta)+h_2(\mathbf{x})+\beta h_2(\mathbf{g}\cdot\mathbf{x}))(\gamma(1+\beta)+h_1(\mathbf{x})+\beta h_1(\mathbf{g}\cdot\mathbf{x})) (xgn+1)Z(x)(1+β)(γ+f(x))(γ(1+β)+t(x)+βt(gx))=(xgn+1)Z(gx)(γ(1+β)+h2(x)+βh2(gx))(γ(1+β)+h1(x)+βh1(gx))【核心思想是计算 Z ( g i ) / Z ( g i + 1 ) Z(\mathbf{g}^{i})/Z(\mathbf{g}^{i+1}) Z(gi)/Z(gi+1)】【此处Verifier的计算具有the highest degree。】
    6.c) L n + 1 ( x ) ( h 1 ( x ) − h 2 ( g ⋅ x ) ) = 0 L_{n+1}(\mathbf{x})(h_1(\mathbf{x})-h_2(\mathbf{g}\cdot\mathbf{x}))=0 Ln+1(x)(h1(x)h2(gx))=0【因为之前有约定 h 1 ( 1 ) = h 2 ( g ) = s n + 1 h_1(1)=h_2(\mathbf{g})=s_{n+1} h1(1)=h2(g)=sn+1
    6.d) L n + 1 ( x ) ( Z ( x ) − 1 ) = 0 L_{n+1}(\mathbf{x})(Z(\mathbf{x})-1)=0 Ln+1(x)(Z(x)1)=0

有:【 6.b)中,可再引入polynomial commitment来证明,其中 f f f n n n个元素, t t t n + 1 n+1 n+1个元素, Z Z Z n + 1 n+1 n+1个元素,vanishing polynomial H H H n + 1 n+1 n+1元素,因此最终的quotient polynomial中元素数为: n + ( n + 1 ) + ( n + 1 ) − ( n + 1 ) = 2 n + 1 n+(n+1)+(n+1)-(n+1)=2n+1 n+(n+1)+(n+1)(n+1)=2n+1。整个proof size为 ( 3 n + 3 ) + ( 2 n + 1 ) = 5 n + 4 (3n+3)+(2n+1)=5n+4 (3n+3)+(2n+1)=5n+4。】
PLOOKUP_第5张图片

5. 扩展为多个多项式 f 1 , ⋯   , f w ∈ F < n [ X ] f_1,\cdots,f_w\in\mathbb{F}_{f1,,fwF<n[X] 一一对应 多个 lookup tables 关系证明

在第四节的基础上,扩展为多个多项式 f 1 , ⋯   , f w ∈ F < n [ X ] f_1,\cdots,f_w\in\mathbb{F}_{f1,,fwF<n[X] 一一对应 多个 lookup table,具体的场景为:【又称为 vector lookups。】

  • 有多个witness多项式: f 1 , ⋯   , f w ∈ F < n [ X ] f_1,\cdots,f_w\in\mathbb{F}_{f1,,fwF<n[X]
  • 多个lookup table,以矩阵形式表示: t ∗ ∈ ( F w ) d t^*\in(\mathbb{F^w})^d t(Fw)d
  • 证明:对任意的 j ∈ [ n ] j\in[n] j[n],有 ( f 1 ( g j ) , ⋯   , f w ( g j ) ) ∈ t ∗ (f_1(\mathbf{g}^j), \cdots, f_w(\mathbf{g^j}))\in t^* (f1(gj),,fw(gj))t

可借助 randomization 来将上述场景 reduce为第四节的场景:

  • 对于每一个 i ∈ [ w ] i\in[w] i[w],都有相应的preprocessed polynomials t i ∈ F < d [ X ] t_i\in\mathbb{F}_{tiF<d[X],其中对于每一个 j ∈ [ d ] j\in[d] j[d],有 t i ( g j ) = t i , j ∗ t_i(\mathbf{g}^j)=t_{i,j}^* ti(gj)=ti,j

  • Verifier 选择random challenge α ∈ F \alpha\in\mathbb{F} αF

  • 定义: t : = ∑ i ∈ [ w ] α i t i , f : = ∑ i ∈ [ w ] α i f i t:=\sum_{i\in[w]}\alpha^it_i, f:=\sum_{i\in[w]}\alpha^if_i t:=i[w]αiti,f:=i[w]αifi
    从而有,若有某 j ∈ [ n ] j\in[n] j[n] ( f 1 ( g j ) , ⋯   , f w ( g j ) ) ∉ t ∗ (f_1(\mathbf{g}^j),\cdots,f_w(\mathbf{g}^j))\notin t^* (f1(gj),,fw(gj))/t,则 f ( g j ) ∉ t f(\mathbf{g}^j)\notin t f(gj)/t的概率高于 1 − d ⋅ w / ∣ F ∣ 1-d\cdot w/|\mathbb{F}| 1dw/F

  • 然后继续按照第四节的协议运行即可。

以上这种vector lookup primitive,可用于key-value setting场景,如具有a function f f f,该函数有 w − 1 w-1 w1个输入,然后想要证明a vecotr is of the form ( x 1 , ⋯   , x w − 1 , f ( x 1 , ⋯   , x w − 1 ) ) (x_1,\cdots,x_{w-1},f(x_1,\cdots,x_{w-1})) (x1,,xw1,f(x1,,xw1)) for some input ( x 1 , ⋯   , x w − 1 ) (x_1,\cdots,x_{w-1}) (x1,,xw1)

6. 扩展为多个多项式 f 1 , ⋯   , f w ∈ F < n [ X ] f_1,\cdots,f_w\in\mathbb{F}_{f1,,fwF<n[X]同一位置元素 对应 特定 lookup tables 关系证明

在第5节的基础上,将相应的场景调整为:【此时加强了不同函数,同一位置的约束。】【又称为multiple tables。】

  • 将lookup table矩阵以列为单位拆成 l l l份,即由 t ∗ ∈ ( F w ) d t^*\in(\mathbb{F^w})^d t(Fw)d,对每一个 j ∈ [ l ] j\in[l] j[l],有sub-tables: t j ∗ ∈ ( F w ) d / l t_j^*\in(\mathbb{F}^w)^{d/l} tj(Fw)d/l
  • f 1 , ⋯   , f w ∈ F < n [ X ] f_1,\cdots,f_w\in\mathbb{F}_{f1,,fwF<n[X] 的第 i i i个元素的值,在predefined 第 j = j ( i ) j=j(i) j=j(i) 个sub-table中。

可对 t ∗ ∈ ( F w ) d t^*\in(\mathbb{F^w})^d t(Fw)d扩充为 t ∗ ∈ ( F w + 1 ) d t^*\in(\mathbb{F^{w+1}})^d t(Fw+1)d,具体的扩充方法为:

  • t ∗ t^* t的内容进行按照predefined j = j ( i ) j=j(i) j=j(i)规则进行重组,并在最后一行添加新的一行——对于每一个 j ∈ [ l ] , i ∈ [ d / l ] j\in[l],i\in[d/l] j[l],i[d/l],添加元素 j j j。同时使得对于每一个 j ∈ [ l ] , i ∈ [ d / l ] j\in[l],i\in[d/l] j[l],i[d/l],都包含元素 ( j , ( t j ∗ ) i ) (j,(t_j^*)_i) (j,(tj)i)!!!巧妙!!!这样就不再是特定位置的对应关系,而转换成了第5节的一一对应关系了。【借助selectors j j j,实际实现的就是按不同的门类型(不同的逻辑操作)统一归类。】
  • 同时,位置 i i i与sub-table j j j之间的对应关系,以preprocessed 多项式 q ∈ F < n [ X ] q\in\mathbb{F}_{qF<n[X]表示,使得 q i = j ( i ) q_i=j(i) qi=j(i)
  • 至此,整个过程就转换为:证明对于每一个 i ∈ [ n ] i\in[n] i[n],都有 ( q ( g i ) , f 1 ( g i ) , ⋯   , f w ( g i ) ) ∈ t ∗ ∈ ( F w + 1 d ) (q(\mathbf{g}^i), f_1(\mathbf{g}^i), \cdots, f_w(\mathbf{g}^i))\in t^*\in(\mathbb{F^{w+1}}^d) (q(gi),f1(gi),,fw(gi))t(Fw+1d)
    此时,可直接运行第5节的协议进行处理。

7. continuous range proof的优化解决方案

假设想验证 f ⊂ { 0 , ⋯   , d − 1 } f\subset \{0,\cdots,d-1\} f{0,,d1} for some integer d < n dd<n,可使用如上协议来证明,仅需设置 t i = i − 1 t_i=i-1 ti=i1 for i ∈ [ d ] i\in [d] i[d]

根据第4节,设置 d = n + 1 d=n+1 d=n+1,根据Lemma 3.2可知,证明 f ⊂ { 0 , ⋯   , n } f\subset \{0, \cdots,n\} f{0,,n}的proof complexity为 O ( P ) = 5 n + 4 \mathcal{O}(\mathscr{P})=5n+4 O(P)=5n+4

本文在第4节的基础上,可优化为:

  • 对于 f ⊂ { 0 , ⋯   , 2 n − 2 } f\subset\{0,\cdots,2n-2\} f{0,,2n2} 具有相同proof complexity( O ( P ) = 5 n + 4 \mathcal{O}(\mathscr{P})=5n+4 O(P)=5n+4)。
  • 可在仅增加Verifier constraints的degree的情况下,进一步扩展为证明 f ⊂ { 0 , ⋯   , c ( n − 1 ) } f\subset \{0,\cdots,c(n-1)\} f{0,,c(n1)}
    因此,实际执行时,在可承受的最大constraint degree基础上,选择尽可能大的 c c c值,然后以子程序的方式进行range proof f ⊂ { 0 , ⋯   , n − 1 } f\subset\{0,\cdots,n-1\} f{0,,n1}

详细的思路为:【此处假设所有的range值均在 F \mathbb{F} F域内,即 c n < ∣ F ∣ cn<|\mathbb{F}| cn<F。】

  • 强化sorted s s s的值从0开始,到 c ⋅ ( n − 1 ) c\cdot(n-1) c(n1)结束,即 s 1 = 0 , s 2 n + 1 = c ⋅ ( n − 1 ) s_1=0,s_{2n+1}=c\cdot (n-1) s1=0,s2n+1=c(n1)。同时要求对于每一个 i ∈ [ 2 n ] i\in[2n] i[2n],有 s i + 1 − s i ≤ c s_{i+1}-s_i\leq c si+1sic。这足以推断出 s i ∈ { 0 , ⋯   , c ( n − 1 ) } s_i\in\{0,\cdots,c(n-1)\} si{0,,c(n1)} for each i ∈ [ 2 n + 1 ] i\in[2n+1] i[2n+1]
  • 关于 s i + 1 − s i ≤ c s_{i+1}-s_i\leq c si+1sic这个条件,可通过一个constraint来强化——即将该差值插入到the degree c + 1 c+1 c+1 polynomial that vanishes on { 0 , ⋯   , c } \{0,\cdots,c\} {0,,c}。【对于正整数 c c c,将多项式 P P P表示为: P ( X ) = ∏ i = 0 c ( X − i ) P(X)=\prod_{i=0}^{c}(X-i) P(X)=i=0c(Xi)。】
    这种强化增量的的方式就不再需要关注差值的permutation。事实上,也可以替换为:check a permutation between the values of ( f , t ) (f,t) (f,t) and s s s,其中 t t t为the table of c c c'th multiples,即 t i = c ⋅ ( i − 1 ) t_i=c \cdot (i-1) ti=c(i1) for i ∈ [ n ] i\in[n] i[n]

针对的场景为:【此处 H H H仍为 H = { g , ⋯   , g n + 1 = 1 } H=\{\mathbf{g},\cdots,\mathbf{g}^{n+1}=1\} H={g,,gn+1=1}

  • Preprocessed polynomials为:多项式 t ∈ F < n [ X ] t\in\mathbb{F}_{tF<n[X],其中 t i = c ⋅ ( i − 1 ) t_i=c\cdot(i-1) ti=c(i1) for i ∈ [ n ] i\in [n] i[n]
  • Inputs输入为: f ∈ F < n [ X ] f\in\mathbb{F}_{fF<n[X]

详细的协议实现如下:【与第4节的协议非常相似,只是构建的 F , G F,G F,G多项式不同,此处构建的单变量多项式: F ( γ ) = ∏ i ∈ [ n ] ( γ + f i ) ∏ i ∈ [ d − 1 ] ( γ + t i ) , G ( γ ) = ∏ i ∈ [ n + d − 1 ] ( γ + s i ) F(\gamma)=\prod_{i\in[n]}(\gamma+f_i)\prod_{i\in[d-1]}(\gamma+t_i), G(\gamma)=\prod_{i\in[n+d-1]}(\gamma+s_i) F(γ)=i[n](γ+fi)i[d1](γ+ti),G(γ)=i[n+d1](γ+si)。同时仍然设置 d = n + 1 d=n+1 d=n+1。】

  • 1)令 s ∈ F 2 n + 1 s\in\mathbb{F}^{2n+1} sF2n+1 ( f , t ) (f,t) (f,t) sorted by t t t。通过两个多项式 h 1 , h 2 ∈ F < n + 1 [ X ] h_1,h_2\in\mathbb{F}_{h1,h2F<n+1[X]来表示 s s s。对于 i ∈ [ n + 1 ] i\in[n+1] i[n+1],有 h 1 ( g i ) = s i h_1(\mathbf{g}^i)=s_i h1(gi)=si h 2 ( g i ) = s n + i h_2(\mathbf{g}^i)=s_{n+i} h2(gi)=sn+i。【其中 g \mathbf{g} g n + 1 n+1 n+1-th root of unity, g n + 1 = 1 \mathbf{g}^{n+1}=1 gn+1=1。有 h 1 ( 1 ) = s n + 1 = h 2 ( g ) h_1(1)=s_{n+1}=h_2(\mathbf{g}) h1(1)=sn+1=h2(g)。】【其中在 n + 1 n+1 n+1位置插入 c ( n − 1 ) c(n-1) c(n1)值,即 h 2 ( g n + 1 ) = c ( n − 1 ) = s n + 1 h_2(\mathbf{g}^{n+1})=c(n-1)=s_{n+1} h2(gn+1)=c(n1)=sn+1

  • 2)Prover P \mathbf{P} P 按如上规则计算出以上多项式 h 1 , h 2 h_1,h_2 h1,h2,将多项式 h 1 , h 2 h_1,h_2 h1,h2发送给理想第三方 I \mathcal{I} I

  • 3)Veriifer V \mathbf{V} V 发送给 P \mathbf{P} P 随机challenge值 β , γ ∈ F \beta,\gamma\in\mathbb{F} β,γF

  • 4)Prover P \mathbf{P} P 计算多项式 Z ∈ F n + 1 [ X ] Z\in\mathbb{F}_{n+1}[X] ZFn+1[X] that aggregates the value F ( γ ) / G ( γ ) F(\gamma)/G(\gamma) F(γ)/G(γ)
    4.a)令 Z ( g ) = 1 Z(\mathbf{g})=1 Z(g)=1
    4.b)当 2 ≤ i ≤ n 2\leq i \leq n 2in时,令:【拆分的思想为与 h 1 , h 2 h_1,h_2 h1,h2呼应。】
    Z ( g i ) = ∏ j < i ( γ + f j ) ∏ 1 ≤ j < i ( γ + t j ) ∏ 1 ≤ j < i ( γ + s j ) ( γ + s n + j ) Z(\mathbf{g}^i)=\frac{\prod_{jZ(gi)=1j<i(γ+sj)(γ+sn+j)j<i(γ+fj)1j<i(γ+tj)
    4.c)令 Z ( g n + 1 ) = 1 Z(\mathbf{g}^{n+1})=1 Z(gn+1)=1

  • 5) P \mathbf{P} P 将多项式 Z Z Z 发送给 I \mathcal{I} I

  • 6) V \mathbf{V} V 验证多项式 Z Z Z确实是如上格式且 Z ( g n + 1 ) = 1 Z(\mathbf{g}^{n+1})=1 Z(gn+1)=1 V \mathbf{V} V 将验证所有的identities x ∈ H = { g , ⋯   , g n + 1 = 1 } \mathbf{x}\in H=\{\mathbf{g},\cdots,\mathbf{g}^{n+1}=1\} xH={g,,gn+1=1},以下等式均成立:【同时已约定 H H H的lagrange base表示为:对 i ∈ [ n + 1 ] i\in[n+1] i[n+1],有 L i ( g i ) = 1 L_i(\mathbf{g}^i)=1 Li(gi)=1;对任意的 j ≠ i j\neq i j=i,有 L i ( g j ) = 0 L_i(\mathbf{g}^j)=0 Li(gj)=0。】
    6.a) L 1 ( x ) ( h 1 ( x ) ) = 0 L_1(\mathbf{x})(h_1(\mathbf{x}))=0 L1(x)(h1(x))=0【约束 s 1 = 0 s_1=0 s1=0,因为判断证明的是 f ⊂ [ 0 , ⋯   ] f\subset [0,\cdots] f[0,]
    6.b) P ( h 1 ( g ⋅ x ) − h 1 ( x ) ) = 0 P(h_1(\mathbf{g}\cdot\mathbf{x})-h_1(\mathbf{x}))=0 P(h1(gx)h1(x))=0【约束 s i + 1 − s i ≤ c s_{i+1}-s_i\leq c si+1sic
    6.c) P ( h 2 ( g ⋅ x ) − h 2 ( x ) ) = 0 P(h_2(\mathbf{g}\cdot\mathbf{x})-h_2(\mathbf{x}))=0 P(h2(gx)h2(x))=0【约束 s i + 1 − s i ≤ c s_{i+1}-s_i\leq c si+1sic
    6.d) L n + 1 ( x ) ( h 1 ( x ) − h 2 ( g ⋅ x ) ) = 0 L_{n+1}(\mathbf{x})(h_1(\mathbf{x})-h_2(\mathbf{g}\cdot\mathbf{x}))=0 Ln+1(x)(h1(x)h2(gx))=0【因为之前有约定 h 1 ( 1 ) = h 2 ( g ) = s n + 1 h_1(1)=h_2(\mathbf{g})=s_{n+1} h1(1)=h2(g)=sn+1
    6.e) L n + 1 ( x ) ( h 2 ( x ) ) = c ⋅ ( n − 1 ) L_{n+1}(\mathbf{x})(h_2(\mathbf{x}))=c\cdot(n-1) Ln+1(x)(h2(x))=c(n1)【约束 s n + 1 = c ⋅ ( n − 1 ) s_{n+1}=c\cdot (n-1) sn+1=c(n1)
    6.f) L n + 1 ( x ) ( Z ( x ) − 1 ) = 0 L_{n+1}(\mathbf{x})(Z(\mathbf{x})-1)=0 Ln+1(x)(Z(x)1)=0
    6.g) ( x − g n + 1 ) Z ( x ) ( γ + f ( x ) ) ( γ + t ( x ) ) = ( x − g n + 1 ) Z ( g ⋅ x ) ( γ + h 2 ( x ) ) ( γ + h 1 ( x ) ) (\mathbf{x}-\mathbf{g}^{n+1})Z(\mathbf{x})(\gamma+f(\mathbf{x}))(\gamma+t(\mathbf{x}))=(\mathbf{x}-\mathbf{g}^{n+1})Z(\mathbf{g}\cdot\mathbf{x})(\gamma+h_2(\mathbf{x}))(\gamma+h_1(\mathbf{x})) (xgn+1)Z(x)(γ+f(x))(γ+t(x))=(xgn+1)Z(gx)(γ+h2(x))(γ+h1(x))【核心思想是计算 Z ( g i ) / Z ( g i + 1 ) Z(\mathbf{g}^{i})/Z(\mathbf{g}^{i+1}) Z(gi)/Z(gi+1)】【此处Verifier的计算具有the highest degree。】
    6.h) L 1 ( x ) ( Z ( x ) − 1 ) = 0 L_1(\mathbf{x})(Z(\mathbf{x})-1)=0 L1(x)(Z(x)1)=0

对应地:
PLOOKUP_第6张图片

参考资料

[1] Plonk cafe的 Strategies for integrating plookup with PLONK
[2] hackmd的 Plonk and PLookup
[3] metastate的 On PLONK and plookup
[4] dusk network的 Audit Plookup Branch #358
[5] tezosagora的 On PLONK and plookup SNARKs
[6] aztec的研究论文系列
[7] Dusk的开发月报

你可能感兴趣的:(零知识证明)

  • 零知识证明-公钥分发方案DH((六) yunteng521 区块链零知识证明算法区块链密钥分发DH
    前言椭圆曲线配对,是各种加密构造方法(包括确定性阀值签名、zk-SNARKs以及相似的零知识证明)的关键元素之一。椭圆曲线配对(也叫“双线性映射”)有了30年的应用历史,然而最近这些年才把它应用在密码学领域。配对带来了一种“加密乘法”的形式,这很大的拓展了椭圆曲线协议的应用范围。本文的目的是详细介绍椭圆曲线配对,并大致解释它的内部原理先了解DH协议Diffie-Hellman协议简称DH,是一种公
  • 零知识证明:哈希函数-Poseidon2代码解析与benchmark HIT夜枭 零知识证明零知识证明哈希算法区块链
    1、哈希函数(HashFunction)与Poseidon在密码学中,哈希函数是一种将任意大小的数据映射到固定大小的输出的函数。哈希函数的输出称为哈希值或哈希码。哈希函数具有单向性和抗碰撞性。一些常见的哈希函数包括MD5、SHA-1、SHA-256和SHA-3。例如,假设您要验证一个文件的完整性。您可以使用哈希函数来计算该文件的哈希值。然后,您可以将该哈希值与文件的预期哈希值进行比较。如果两个哈希
  • 零知识证明框架:gnark 孙绿如叶~ 零知识证明(ZKP)密码学
    一.zkSNARKs的一般构造流程首先将一个NP问题拍平(Flatten)构成电路(若干个乘法门/加法门构成),在电路的基础上构造约束,也就是R1CS,有了约束就可以把NP问题抽象成QAP问题。有了QAP问题的描述,就可以在QAP上构建zkSNARKs。二.gnarkgnark是consenSys开发的一个zkSARNK实现,采用Go语言,目前支持groth16,github地址:https://
  • 实践指南:构建一个零知识证明 DApp [译] 扣3039046426 区块链
    实践指南:构建一个零知识证明DApp[译]零知识证明DAppcircomsnarkjs本文将构建一个zk-dApp(零知识证明DApp),以证明用户是否属于某个特定组,而无需透露用户具体是谁。阅读本文前,最好先对以下内容有所了解:public-keycryptographycircom及snarkjs使用truffle使用ethers连接合约前言在过去的几个月中,我在以太坊eth上利用了零知识证明
  • Zcash-草稿 歌白梨
    Zcash,也叫大零币,从zerocoin发展而来,是使用零知识证明机制的区块链系统,通过完全匿名交易特性在区块链的生态中独树一帜。现在,Zcash市值是41.10亿。2016年10月28日,ZEC从比特币代码库0.11上分叉,所以他可以算比特币的一个克隆体,与比特币一样,Zcash(ZEC)的总量是2100万,采用PoW共识机制。与比特币不同的是,为了防止矿霸的产生,ZEC的加密不是通过SHA2
  • 金融科技力 nightluo 基础学习金融科技
    金融科技区块链二级目录三级目录区块链区块链安全:保密性、完整性、可用性最重要的点:保密性零知识证明:1、完整性(真的假不了)2、可靠性(假的真不了)3、零知识性(知道真的,但是不需要知道内容)共识算法安全:抗崩溃性与容错性确定性终结与概率终结FLP不可能性:在完全异步消息系统中如果单个节点发生故障,则不可能达成共识安全性与活性CAP定理:只能得到三个中的两个去中心化、可扩展性和安全三角“参数永远是
  • 如何在JavaScript项目中使用 zk-SNARK chinadefi javascriptrust开发语言
    如何在JavaScript项目中使用zk-SNARK[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4fQgcXkV-1675312908395)(https://tva1.sinaimg.cn/large/e6c9d24ely1gzmazs79m1g20tr04ojug.gif)]MariaCappelli在Unsplash上上传的照片零知识证明技术,尤其是zk-S
  • 链化未来技术系列分享(1) - 零知识证明 区块奇点
    11月29日,链化未来在杭州举办主题为“区块链硬核技术揭密——零知识证明及跨链深度解读”线下活动内容分享。本文为零知识证明篇相关PPT内容。目录>什么是零知识证明>链化未来零知识证明组件>实践,跨链,资产交易摘要内容本次活动,密码学家王虎森介绍了链化未来零知识证明组件在技术上相对以太坊的优势,以及在具体业务如跨链、资产转移、个人数据隐私保护方面的应用。相比以太坊,链化未来的零知识证明组件在成本、可
  • OSDI 2023: LVMT: An Efficient Authenticated Storage for Blockchain 结构化文摘 区块链分层架构共识存储结构
    我们使用以下6个分类标准对本文的研究选题进行分析:1.研究方向:区块链可扩展性:提高交易吞吐量和减少确认时间的研究,例如零知识证明、分片和状态通道。密码学技术:开发或改进用于区块链应用的新密码原语,例如椭圆曲线、承诺方案和累加器。区块链存储和效率:优化区块链上的数据存储和检索,例如认证存储、Patricia树和数据压缩。共识机制:设计新的共识协议,例如拜占庭容错算法,用于更快速、更安全的区块验证。
  • 什么是零知识证明? 慎思知行 BlockChain零知识证明区块链
    Web3的核心原则之一——透明度,也可能是其最大的缺点之一。没有人希望他们的所有在线活动(从金融交易到个人身份数据)都可供任何人公开查看。为了使区块链能够扩展并变得更容易访问,隐私必须成为首要任务。零知识证明能够改变我们保护、管理和共享个人数据的方式。它们允许人们在不泄露信息本身的情况下证明陈述的真实性,从而为涉及敏感、机密信息的交易带来了新的隐私级别。什么是零知识证明?零知识证明(通常缩写为“Z
  • 探析零知识证明高能发展路径:走向更安全、私密且可扩展的 Web3 新时代 TinTin Land Web3前沿零知识证明安全web3
    原文:https://www.coinbase.com/blog/understanding-the-zero-knowledge-landscape作者:JonathanKing|CoinbaseVentures编译:TinTinLand本文核心观点2023年,零知识技术吸引了逾4亿美元的投资,主要关注以太坊L1/L2协议层的可扩展性,以及新兴的基础设施和开发者工具。零知识证明(Zero-Kno
  • 解读ALEO-继FIL后又一个由A16Z和软银领投过亿美元的隐私公链项目 米斯特鞏 软银FIL隐私保护rust哈希算法p2p网络协议
    自从今年2月份ALEO融资了由软银领投,三星、老虎环球基金等众多机构跟投的2亿美元后,市场逐渐开始关注ALEO,目前从官方的公开资料看没有太多华丽的介绍,基本都是较专业的内容,今天我从几个方面综合概述一下ALEO的特性,从中也能发现ALEO的真正价值:1、模块化区块链:可组合性,可扩展性2、隐私:zkp零知识证明技术主要解决隐私和可扩展性问题3、兼容以太坊:生态兼容性好4、posw共识机制:基于比
  • Aleo项目详细介绍-一个兼顾隐私和可编程性的隐私公链 慎思知行 区块链
    Aleo上线在即,整理一篇项目的详细介绍,喜欢的收藏。有计划做aleo节点的可交流。一、项目简介Aleo最初是在2016年构思的,旨在研究可编程零知识。公司由HowardWu、MichaelBeller、CollinChin和RaymondChu于2019年正式成立。Aleo是第一个采用零知识证明(ZKP)技术,提供私有、开源的Layer1区块链。Aleo开发了一个默认交易隐私的应用程序构建平台,
  • 区块链精进手册 | 021 | 大师的投资思想(2) 马烈视界
    1.一种通证:ZECZEC是Zcash区块链网络中的通证,中文常备成为“零币”。ZEC发行总量恒定,为2100万枚,现已发行433余万枚,总市值达6.66亿,排行第21位。由于比特币的非匿名性,但实际货币有着匿名性需求,Zerocoin团队在比特币0.11.2的版本上修改了代码,添加了“零知识证明”技术,想让比特币更具匿名性。比特币团队拒绝在原链上升级,原开发者团队成立了ZerocoinElect
  • NuLink介绍二 晨酱
    4.NuLink主要使用技术4.1确保密文形式的数据的可用性。这里使用的加密技术主要是零知识证明。4.2隐私保护的数据共享。使用到的基本方法是对数据进行加密,让数据所有者控制对它的访问。这些技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。4.3隐私保护数据的计算,这部分会将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算(multi-partysecurecom
  • 零知识证明学习 Ameame- 学习
    文档,测试claimPK.zokimport"hashes/sha256/512bitPadded.zok"assha256;import"utils/pack/u32/nonStrictUnpack256.zok"asunpack256;import"utils/pack/u32/unpack128.zok"asunpack128;import"utils/pack/u32/pack128.zo
  • 零知识证明的最新发展和应用 PrimiHub 零知识证明区块链密码学可信计算技术同态加密github
    PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。当企业收集大量客户数据去审查、改进产品和服务以及将数据资产货币化时,他们容易受到网络攻击威胁,造成数据泄露。数据泄露的损失每年都在上升,每次泄露平均造成损失420万美元,如下图所示,它们严重损害了企业的声誉和可信度。数据泄露的成本零知识证明(ZKPs)等隐私增强技术
  • 2022-02-05 Aaron阿酷
    NuLink介绍(四)7.解决方案详细说明 7.1数据可用性 作为一个专注于数据隐私的平台,我们首先需要解决的就是数据可用性问题。这个问题往往分为两部分:第一是消费者在购买前如何确定卖家是否有自己需要的数据,第二是如何验证在密文状态下的数据是否真实。 在NuLink网络中,这两个问题可以通过零知识证明技术来解决:数据所有者需要在数据授权前提供零知识证明。事实上,密文状态下的证明方法与明文状态下的证
  • Web3.0会带来哪些机遇? Aix17
    NuLink的零知识证明介绍作者简介:作为NuLinkTechnology的研究员,Rookie是一位激情的创新者,他专注于密码学和区块链技术。翻译:Reversing作为NuLink项目的高级研究员,我一直致力于密码学和隐私保护的研究。多年来,这个领域一直有一个有趣的话题,那就是ZKP(ZeroKnowledgeProof,零知识证明)。最近它在社区中引起了很多关注,因为有很多有趣的场景可以讨论
  • 零知识证明(zk-SNARK)- groth16(一) Amire0x 密码学-隐私计算零知识证明区块链
    全称为Zero-KnowledgeSuccinctNon-InteractiveArgumentofKnowledge,简洁非交互式零知识证明,简洁性使得运行该协议时,即便statement非常大,它的proof大小也仅有几百个bytes,并且验证一个proof的时间可以达到毫秒级别。这是一个通用的零知识证明协议,可以用作各种证明,如范围证明。核心方法是通过R1CS,QAP等方法将计算难题变为多项
  • 2023海内外零知识证明学习资料汇总(一)(故事中的零知识证明篇) 滕王阁配黑马打火机 零知识证明区块链web3学习
    工欲善其事,必先利其器Web3开发中,各种工具、教程、社区、语言框架.。。。种类繁多,是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役?参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料(包括科普文章,论文,开源仓库及相关学习网站等),并对这些资源进行了整理分析,希望能对大家有所帮助。本文收集了关于零知识证明
  • 2023海内外零知识证明学习资料汇总(二)(深入理解零知识证明篇) 滕王阁配黑马打火机 零知识证明区块链web3学习
    工欲善其事,必先利其器Web3开发中,各种工具、教程、社区、语言框架.。。。种类繁多,是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役?参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料(包括科普文章,论文,开源仓库及相关学习网站等),并对这些资源进行了整理分析,希望能对大家有所帮助。书接上篇,器欲尽其能,必
  • 2022-02-24 Aaron阿酷
    通过集成一流的技术,我们正在建立强大的技术基础。1.保证密文形式数据的可用性。这里使用的加密技术主要包括零知识证明。2.隐私保护数据共享。一般的方法是对数据进行加密,让数据所有者控制对它的访问。技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。3.隐私数据计算,涉及将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算、同态加密等。这三种技术方案可以在很多应用领域提供
  • 区块链在未来企业中将会是什么样的角色? 徽纯正
    如今区块链的技术引发太多的讨论。区块链在企业中的角色是什么?越来越多的公司正在测试区块链的力量,通过分布式记账技术来做交易和追踪资产。以下是区块链今后的趋势预测:图片发自App1区块链将从试点转移到生产。区块链在世界各地都出现了试点项目。随着这些试点和概念验证的成熟,它们将被抛弃,然后将会向生产系统前进。这一过程将成为一个必要的调整。2零知识证明的使用将会提高。区块链将成为企业间交易的平台。这个平
  • dalek-cryptography/zkp——基于merlin的Schnorr零知识证明 mutourend
    zkp为使用merlin的Schnorr零知识证明工具包,基于ristrettogroup做的实例化。【ristretto为对cofactor>1曲线的抽象,ristretto对外表现为将non-prime-order的曲线抽象为aprime-ordergroup。具体的细节可参见博客1ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519co
  • NuLink介绍一 晨酱
    1.NuLink介绍NuLink网络是一种为开发隐私保护APP的技术人员们提供最佳操作方案的去中心化解决方案,且是同类型中最优质的安全和隐私保护方案。NuLink平台提供端点加密和密码访问控制,任何敏感数据都可以从其他用户平台非常安全地共享到云端或者去中心化的储存设备,并根据代理重加密和属性加密协议,自动授权对云端或设备中敏感数据的访问。另一方面,零知识证明可以帮助验证数据的来源。在更多的高级隐私
  • 密码极客分享:4个被知名机构投资的项目 CryptoGeek 区块链区块链比特币CODAMakerDAOCoinbase
    1CodaCoda是第一个具有简洁区块链的加密货币协议,是一种将区块链数据通过零知识证明压缩到固定字节大小的新型数字货币。当前的加密货币(如比特币和以太坊)存储数百GB的数据,随着时间的流逝,其区块链的大小只会增加。但是,对于Coda,无论使用量增长多少,区块链始终保持相同的大小-约20KB(几条推文的大小)。这意味着无论执行多少交易,验证区块链仍然很便捷,并且每个人都可以访问,更可以将加密货币无
  • 我的隐私计算学习——国密SM2和国密SM4算法 Ataraxia8088 服务器人工智能安全密码学学习
    此篇是我笔记目录里的安全保护技术(七),前篇可见:隐私计算安全保护技术(一):我的隐私计算学习——混淆电路-CSDN博客隐私计算安全保护技术(二):我的隐私计算学习——秘密共享-CSDN博客隐私计算安全保护技术(三):我的隐私计算学习——门限签名-CSDN博客隐私计算安全保护技术(四):我的隐私计算学习——同态加密-CSDN博客隐私计算安全保护技术(五):我的隐私计算学习——零知识证明-CSDN博
  • 零知识证明友好的波塞冬哈希(ZK-friendly Hashing: Poseidon) 西京刀客 Starknet零知识证明哈希算法区块链
    文章目录背景什么是Poseidon哈希技术原理各STARKfriendlyhash函数性能对比SHA256VSPedersen参考背景2018年7月2日,以太坊基金会给StarkWare团队2年的赞助,用于寻找新的STARKfriendlyhash(SFH)函数,可用于在区块链中构建transparent且抗量子安全的proof系统。其要求很高,具体为:Prover应能为同一hash函数的多次调用
  • 基于 PSI 的纵向联邦学习数据隐私安全技术 罗思付之技术屋 综合技术探讨及方案专栏安全
    摘 要:联邦学习系统较好地解决了“数据孤岛”问题,也在一定程度上保护了私密训练数据,然而目前联邦学习仍然存在一些隐私安全风险。首先根据联邦学习系统的不同运行阶段归纳总结了其中的隐私安全威胁,并给出了一些解决办法;其次重点讨论了纵向联邦学习系统中的样本对齐问题,讨论和分析了现有的私密求交的基本方法,提出了一种基于零知识证明的私密求交方法并给出了一些改进方向;最后,基于该私密求交方法,讨论了该方法如何
  • 算法 单链的创建与删除 换个号韩国红果果 c算法
    先创建结构体 struct student { int data; //int tag;//标记这是第几个 struct student *next; }; // addone 用于将一个数插入已从小到大排好序的链中 struct student *addone(struct student *h,int x){ if(h==NULL) //??????
  • 《大型网站系统与Java中间件实践》第2章读后感 白糖_ java中间件
           断断续续花了两天时间试读了《大型网站系统与Java中间件实践》的第2章,这章总述了从一个小型单机构建的网站发展到大型网站的演化过程---整个过程会遇到很多困难,但每一个屏障都会有解决方案,最终就是依靠这些个解决方案汇聚到一起组成了一个健壮稳定高效的大型系统。          看完整章内容,
  • zeus持久层spring事务单元测试 deng520159 javaDAOspringjdbc
    今天把zeus事务单元测试放出来,让大家指出他的毛病, 1.ZeusTransactionTest.java 单元测试   package com.dengliang.zeus.webdemo.test; import java.util.ArrayList; import java.util.List; import org.junit.Test; import
  • Rss 订阅 开发 周凡杨 htmlxml订阅rss规范
                    RSS是 Really Simple Syndication的缩写(对rss2.0而言,是这三个词的缩写,对rss1.0而言则是RDF Site Summary的缩写,1.0与2.0走的是两个体系)。   RSS
  • 分页查询实现 g21121 分页查询
    在查询列表时我们常常会用到分页,分页的好处就是减少数据交换,每次查询一定数量减少数据库压力等等。 按实现形式分前台分页和服务器分页: 前台分页就是一次查询出所有记录,在页面中用js进行虚拟分页,这种形式在数据量较小时优势比较明显,一次加载就不必再访问服务器了,但当数据量较大时会对页面造成压力,传输速度也会大幅下降。 服务器分页就是每次请求相同数量记录,按一定规则排序,每次取一定序号直接的数据
  • spring jms异步消息处理 510888780 jms
    spring JMS对于异步消息处理基本上只需配置下就能进行高效的处理。其核心就是消息侦听器容器,常用的类就是DefaultMessageListenerContainer。该容器可配置侦听器的并发数量,以及配合MessageListenerAdapter使用消息驱动POJO进行消息处理。且消息驱动POJO是放入TaskExecutor中进行处理,进一步提高性能,减少侦听器的阻塞。具体配置如下:
  • highCharts柱状图 布衣凌宇 hightCharts柱图
    第一步:导入 exporting.js,grid.js,highcharts.js;第二步:写controller   @Controller@RequestMapping(value="${adminPath}/statistick")public class StatistickController {  private UserServi
  • 我的spring学习笔记2-IoC(反向控制 依赖注入) aijuans springmvcSpring 教程spring3 教程Spring 入门
    IoC(反向控制 依赖注入)这是Spring提出来了,这也是Spring一大特色。这里我不用多说,我们看Spring教程就可以了解。当然我们不用Spring也可以用IoC,下面我将介绍不用Spring的IoC。 IoC不是框架,她是java的技术,如今大多数轻量级的容器都会用到IoC技术。这里我就用一个例子来说明: 如:程序中有 Mysql.calss 、Oracle.class 、SqlSe
  • TLS java简单实现 antlove javasslkeystoretlssecure
      1. SSLServer.java package ssl; import java.io.FileInputStream; import java.io.InputStream; import java.net.ServerSocket; import java.net.Socket; import java.security.KeyStore; import
  • Zip解压压缩文件 百合不是茶 Zip格式解压Zip流的使用文件解压
       ZIP文件的解压缩实质上就是从输入流中读取数据。Java.util.zip包提供了类ZipInputStream来读取ZIP文件,下面的代码段创建了一个输入流来读取ZIP格式的文件; ZipInputStream in = new ZipInputStream(new FileInputStream(zipFileName));     &n
  • underscore.js 学习(一) bijian1013 JavaScriptunderscore
            工作中需要用到underscore.js,发现这是一个包括了很多基本功能函数的js库,里面有很多实用的函数。而且它没有扩展 javascript的原生对象。主要涉及对Collection、Object、Array、Function的操作。       学
  • java jvm常用命令工具——jstatd命令(Java Statistics Monitoring Daemon) bijian1013 javajvmjstatd
    1.介绍         jstatd是一个基于RMI(Remove Method Invocation)的服务程序,它用于监控基于HotSpot的JVM中资源的创建及销毁,并且提供了一个远程接口允许远程的监控工具连接到本地的JVM执行命令。         jstatd是基于RMI的,所以在运行jstatd的服务
  • 【Spring框架三】Spring常用注解之Transactional bit1129 transactional
    Spring可以通过注解@Transactional来为业务逻辑层的方法(调用DAO完成持久化动作)添加事务能力,如下是@Transactional注解的定义:   /* * Copyright 2002-2010 the original author or authors. * * Licensed under the Apache License, Version
  • 我(程序员)的前进方向 bitray 程序员
    作为一个普通的程序员,我一直游走在java语言中,java也确实让我有了很多的体会.不过随着学习的深入,java语言的新技术产生的越来越多,从最初期的javase,我逐渐开始转变到ssh,ssi,这种主流的码农,.过了几天为了解决新问题,webservice的大旗也被我祭出来了,又过了些日子jms架构的activemq也开始必须学习了.再后来开始了一系列技术学习,osgi,restful.....
  • nginx lua开发经验总结 ronin47
    使用nginx lua已经两三个月了,项目接开发完毕了,这几天准备上线并且跟高德地图对接。回顾下来lua在项目中占得必中还是比较大的,跟PHP的占比差不多持平了,因此在开发中遇到一些问题备忘一下 1:content_by_lua中代码容量有限制,一般不要写太多代码,正常编写代码一般在100行左右(具体容量没有细心测哈哈,在4kb左右),如果超出了则重启nginx的时候会报 too long pa
  • java-66-用递归颠倒一个栈。例如输入栈{1,2,3,4,5},1在栈顶。颠倒之后的栈为{5,4,3,2,1},5处在栈顶 bylijinnan java
    import java.util.Stack; public class ReverseStackRecursive { /** * Q 66.颠倒栈。 * 题目:用递归颠倒一个栈。例如输入栈{1,2,3,4,5},1在栈顶。 * 颠倒之后的栈为{5,4,3,2,1},5处在栈顶。 *1. Pop the top element *2. Revers
  • 正确理解Linux内存占用过高的问题 cfyme linux
    Linux开机后,使用top命令查看,4G物理内存发现已使用的多大3.2G,占用率高达80%以上: Mem:   3889836k total,  3341868k used,   547968k free,   286044k buffers Swap:  6127608k total,&nb
  • [JWFD开源工作流]当前流程引擎设计的一个急需解决的问题 comsci 工作流
         当我们的流程引擎进入IRC阶段的时候,当循环反馈模型出现之后,每次循环都会导致一大堆节点内存数据残留在系统内存中,循环的次数越多,这些残留数据将导致系统内存溢出,并使得引擎崩溃。。。。。。       而解决办法就是利用汇编语言或者其它系统编程语言,在引擎运行时,把这些残留数据清除掉。
  • 自定义类的equals函数 dai_lm equals
    仅作笔记使用 public class VectorQueue { private final Vector<VectorItem> queue; private class VectorItem { private final Object item; private final int quantity; public VectorI
  • Linux下安装R语言 datageek R语言 linux
    命令如下:sudo gedit  /etc/apt/sources.list1、deb http://mirrors.ustc.edu.cn/CRAN/bin/linux/ubuntu/ precise/ 2、deb http://dk.archive.ubuntu.com/ubuntu hardy universesudo apt-key adv --keyserver ke
  • 如何修改mysql 并发数(连接数)最大值 dcj3sjt126com mysql
    MySQL的连接数最大值跟MySQL没关系,主要看系统和业务逻辑了   方法一:进入MYSQL安装目录 打开MYSQL配置文件 my.ini 或 my.cnf查找 max_connections=100 修改为 max_connections=1000 服务里重起MYSQL即可   方法二:MySQL的最大连接数默认是100客户端登录:mysql -uusername -ppass
  • 单一功能原则 dcj3sjt126com 面向对象的程序设计软件设计编程原则
    单一功能原则[ 编辑]     SOLID 原则 单一功能原则 开闭原则 Liskov代换原则 接口隔离原则 依赖反转原则 查   论   编 在面向对象编程领域中,单一功能原则(Single responsibility principle)规定每个类都应该有
  • POJO、VO和JavaBean区别和联系 fanmingxing VOPOJOjavabean
    POJO和JavaBean是我们常见的两个关键字,一般容易混淆,POJO全称是Plain Ordinary Java Object / Plain Old Java Object,中文可以翻译成:普通Java类,具有一部分getter/setter方法的那种类就可以称作POJO,但是JavaBean则比POJO复杂很多,JavaBean是一种组件技术,就好像你做了一个扳子,而这个扳子会在很多地方被
  • SpringSecurity3.X--LDAP:AD配置 hanqunfeng SpringSecurity
    前面介绍过基于本地数据库验证的方式,参考http://hanqunfeng.iteye.com/blog/1155226,这里说一下如何修改为使用AD进行身份验证【只对用户名和密码进行验证,权限依旧存储在本地数据库中】。   将配置文件中的如下部分删除: <!-- 认证管理器,使用自定义的UserDetailsService,并对密码采用md5加密-->
  • mac mysql 修改密码 IXHONG mysql
    $ sudo /usr/local/mysql/bin/mysqld_safe –user=root & //启动MySQL(也可以通过偏好设置面板来启动)$ sudo /usr/local/mysql/bin/mysqladmin -uroot password yourpassword //设置MySQL密码(注意,这是第一次MySQL密码为空的时候的设置命令,如果是修改密码,还需在-
  • 设计模式--抽象工厂模式 kerryg 设计模式
    抽象工厂模式:     工厂模式有一个问题就是,类的创建依赖于工厂类,也就是说,如果想要拓展程序,必须对工厂类进行修改,这违背了闭包原则。我们采用抽象工厂模式,创建多个工厂类,这样一旦需要增加新的功能,直接增加新的工厂类就可以了,不需要修改之前的代码。     总结:这个模式的好处就是,如果想增加一个功能,就需要做一个实现类,
  • 评"高中女生军训期跳楼” nannan408
       首先,先抛出我的观点,各位看官少点砖头。那就是,中国的差异化教育必须做起来。    孔圣人有云:有教无类。不同类型的人,都应该有对应的教育方法。目前中国的一体化教育,不知道已经扼杀了多少创造性人才。我们出不了爱迪生,出不了爱因斯坦,很大原因,是我们的培养思路错了,我们是第一要“顺从”。如果不顺从,我们的学校,就会用各种方法,罚站,罚写作业,各种罚。军
  • scala如何读取和写入文件内容? qindongliang1922 javajvmscala
    直接看如下代码: package file import java.io.RandomAccessFile import java.nio.charset.Charset import scala.io.Source import scala.reflect.io.{File, Path} /** * Created by qindongliang on 2015/
  • C语言算法之百元买百鸡 qiufeihu c算法
    中国古代数学家张丘建在他的《算经》中提出了一个著名的“百钱买百鸡问题”,鸡翁一,值钱五,鸡母一,值钱三,鸡雏三,值钱一,百钱买百鸡,问翁,母,雏各几何? 代码如下: #include <stdio.h> int main() { int cock,hen,chick; /*定义变量为基本整型*/ for(coc
  • Hadoop集群安全性:Hadoop中Namenode单点故障的解决方案及详细介绍AvatarNode wyz2009107220 NameNode
    正如大家所知,NameNode在Hadoop系统中存在单点故障问题,这个对于标榜高可用性的Hadoop来说一直是个软肋。本文讨论一下为了解决这个问题而存在的几个solution。 1. Secondary NameNode 原理:Secondary NN会定期的从NN中读取editlog,与自己存储的Image进行合并形成新的metadata image 优点:Hadoop较早的版本都自带,
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他