mutourend

RedShift: Transparent SNARKs from List Polynomial Commitments学习笔记

1. 引言

纽约大学Kattis和Matter Labs团队2019年论文《RedShift: Transparent SNARKs from List Polynomial Commitments》，提出了：

名为“List Polynomial Commitment（LPC）”的新的IOP原语，可将现有的需要trusted setup的SNARK方案转换为Transparent SNARK方案。
100万（ $2^{20}$ ）gates，80-bit security level情况下，生成证明时间约为1分钟（还是半分钟），proof size约为515KB。

开源代码见：

https://github.com/matter-labs/bellman/tree/dev/src/plonk/better_better_cs/redshift（Rust）

matter-labs有尝试做Recursive Redshift，不过目前好像未完成：

https://github.com/matter-labs/bellman/pull/20

实际上，本文实现的RedShift证明系统为：（compile PLONK IOP with LPC) + FRI多项式承诺。

上图源自Vitalik 2019年博客Understanding PLONK。

本文，将SNARKs（Succinct Non-interactive ARguments of Knowledge）方案分为：

1）pre-processing SNARKs：
所谓pre-processing，是指需要trusted setup来生成proving/verification key-pair (pk,vk)（又名SRS（Structured Reference String））。
如Groth16，采用Kate commitment方案，优点是proof size很小，缺点是需要trusted setup。详细可参看博客 Groth16 学习笔记。
2）universal SNARKs：但是proof size会比pre-processing SNARKs大。
所谓universal，是指无需trusted setup。
其中， $T$ 为circuit size， $d$ 为circuit depth， $G$ 为circuit width。
- Goldwasser等人2008年论文 Delegating computation: interactive proofs for muggles：核心为采用sum-check protocol。proof size为 $O(d\log T)$ 。
- Wahby等人2018年论文Hyrax: Doubly-efficient zkSNARKs without trusted setup：核心为采用sum-check protocol。基于discrete log assumption，实现了dot-product协议。proof size为 $O(d\log G)$ 。
- Eli Ben-Sasson等人2019年论文STARK Scalable Zero Knowledge with no Trusted Setup：对于uniform（layered）circuits，proof size为 $O(\log ^2T)$ 。

不过，在本文中，针对某circuit $C$ 的satisfiability proof system，所实现RedShift证明系统为”fully succinct“ zk-SNARK方案，具有如下属性：【Bulletproofs不具备verifier succinctness，其验证时间与circuit size（即 $∣ C ∣$ ）呈线性关系。】

Succinctness：Verifier time为poly-logarithmic in $∣ C ∣$ 。
Prover Efficiency：Proving time为quasi-linear in $∣ C ∣$ 。
Proof Succinctness：Proof size为poly-logarithmic in $∣ C ∣$ 。
Transparent：无需可信设置。
Plausibly Quantum Resistant：所基于的安全假设是抗量子的。

1.1 多项式承诺方案

所谓多项式承诺方案（PCS，Polynomial Commitment Schemes），是指可高效验证 $f$ 在其域内任意点的evaluation值。
透明高效的PCS对应transparent SNARK。
现有的多项式承诺方案：【其中 $\mu$ 为多项式中的变量个数， $d$ 为多项式degree。】

Kate承诺：2010年，为首个PCS，需要trusted setup。
Hyrax: Doubly-efficient zkSNARKs without trusted setup：2018年，为首个针对多变量多项式的透明PCS。commitment size和verification complexity均为 $O(\sqrt{d})$ 。
Supersonic Transparent SNARKs from DARK Compilers：2020年，基于unknown order group，commitment size和verification complexity为 $O(\mu \log d)$ 。

Eli Ben-Sasson等人2019年论文《DEEP-FRI: Sampling outside the box improves soundness》采用了类似STARK证明系统。在DEEP-FRI协议中，Verifier已知：

所有的setup polynomials
所有的constraints
所有的checked relations

DEEP-FRI的Verifier会直接进行验证。
本文：

在DEEP-FRI的基础上进行改进，使得可表示更复杂的STARK电路。
扩展了 2019年论文Transparent Polynomial Commitment Scheme with Polylogarithmic Communication Complexity中的相关算法，只是proof size要更大一些。

1.2 本文贡献

本文的主要贡献为：

1）List Polynomial Commitments（LPC）：
Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon interactive oracle proofs of proximity》和 2019年论文《DEEP-FRI: Sampling outside the box improves soundness》中介绍了Fast Reed Solomon IOP of Proximity（FRI IOPP）——为高效proximity testing，可检查某指定函数是否close to any low degree polynomial。该proximity tester可转换为透明PCS，其commitment size为 $O(\log ^2 d)$ ，其中 $d$ 为多项式degree。但是，该PCS的soundness error相对较大，需迭代多次以达到指定的security level。从而导致大的proof size以及大的计算负担。其具有large soundness error的主要原因在于low sensitivity of FRI：when the Hamming distance between two different polynomials is smaller than some predefined constant, it is impossible for FRI to efficiently distinguish them。
而在本文中，扩大了DEEP-FRI中的PCS方案：可对a list of proximate polynomials进行承诺——引入了LPC（List Polynomial Commitment）。
2）使用LPC来编译IOP：借助LPC可将任意polynomial IOP编译为preprocessing zk-SNARK。
3）RedShift=（compile PLONK IOP with LPC) + FRI多项式承诺：借助LPC对Plonk进行实例化，去除了其中的trusted setup，所构建的新的证明系统称为RedShift。
本文为RedShift证明系统提供了正确性和安全性论证，并做了原型实现和benchmark对比。

100万（ $2^{20}$ ）gates，80-bit security level情况下，生成证明时间约为半分钟，proof size约为515KB。

1.3 Transparent zk-SNARKs

现有的Transparent zk-SNARKs方案主要有：

Auorora（2018年）和Fractal（2019年），均是为R1CS arithmetization设计的IOP，二者提供的编译框架与本文的等价。Auorora（2018年）和Fractal（2019年）分别需要"holographic lincheck argument"/"IOP of Proximity"来构建IOP for R1CS，而本文借助PLONK IOP可避免该情况。
Virgo（2020年）以及Libra（2019年，非transparent）采用类似的方案，但采用的为”基于interactive proofs（IPs）的Polynomial IOP“（详细见Goldwasser等人1998年论文《The knowledge complexity of interactive proof systems》）。【详细可参看博客SNARK Design。】
Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon interactive oracle proofs of proximity》和 2019年论文《DEEP-FRI: Sampling outside the box improves soundness》中，实现了FRI多项式承诺方案，并设计了ALI-IOP for compilation。本文为在此基础上改进。
Halo infinite（2020年）定义了具有加法（additive）同态属性的严格版本的PCS，并与Bulletproof（2018年）做了快速递归证明benchmark。然而，这种additive PCS并不适于FRI，若该要求可适当放松，batch效率将可能更高。在Halo infinite（2020年）第4章的batch evaluation problem，等价为，多变量（multivariate）commitment，而LCS可解决该问题。通过放松PCS的binding属性，LCS可替代Kate commitment 为 transparent multivariate commitment，从而可更generally witness polynomials。
Plonky2（2022年）借鉴了以上思想，关注 how two modular modifications to the proof system affect performance by using a smaller field for faster modular operations and implementing a leaner PLONK-derived IOP called turboPLONK。【turboPLONK为派生自PLONK-IOP的IOP。】
在Plonky2中，针对smaller filed会引起soundness loss的问题，对IOP应用tight parallel repetition theorem可提升soundness，同时，Plonky2中选择了合适的extension field来运行FRI。从而使得Plonky2具有高效的recursive proving time，为大规模的transparent recursive proof computation提供解决方案。

2. 总览

Kate多项式承诺方案中基于的安全假设为： $t$ -Strong Diffie Hellman假设，使得任何使用Kate PCS的证明系统均需要trusted setup。
PLONK需要trusted setup的原因仅在于其采用了Kate PCS。

STARK（2019）和 Aurora（2018）中的关键组件为FRI协议。
FRI专注于解决如下proximity problem：

Verifier 可oracle access to an evaluation of some function $f$ on a fixed domain $D\subset \mathbb{F}$ 。
Prover使Verifier信服，该函数 $f$ is close to a polynomial of (predefined) degree $d$ 。

若Verifier query $f$ 获得所有的 $D$ evaluations值，并插值计算出多项式，然后验证该多项式的degree不超过 $d$ ，则整个过程的complexity为 $O (d)$ 。FRI仅需要a poly-logarithmic number of queries in $d$ ，相应的FRI PCS直观流程为：【有2个FRI实例】

1）Prover对 $f$ commit，提供an oracle to all evaluations of $f$ on some predefined domain $D$ 。
2）Prover和Verifier参与FRI for $f$ with respect to some degree $d$ 。若Prover通过验证，则Verifier信服大概率 $f$ is close to a polynomial of degree less than $d$ 。
3）Verifier想要获得 $f$ 在 $i\notin D$ 点的值。
- Prover发送相应的opening $z = f (i)$ ，然后Prover和Verifier双方开启另一个FRI实例——对应的为某quotient function $q (X) = (f (X) - z) / (X - i)$ 的degree小于 $d - 1$ 。
- 注意，此时Verifier具有oracle access to $q$ ，因其具有oracle access to $f$ ，且其还知道 $i$ 和 $z$ 。
- 若Prover通过了本FRI实例，则 $q (X)$ 确实对应为某degree小于 $d - 1$ 的多项式函数。
4）根据Bezout理论： $h (t) = y$ 当且仅当 $h (X) - y$ 可整除 $X - t$ in the ring $\mathbb{F}[X]$ 。因此，这意味着 $f (i) = z$ 成立。

不过，事实上，以上简化流程仍然不够，因存在以下问题：

1）问题1：FRI具有sensitivity bound：若precise polynomials和functions 足够接近，在某预定义metric（此时为relative Hamming distance）中，则FRI无法区分。
2）问题2：从实现一致性角度，希望以上2个FRI实例基于相同的domain。但是，FRI与degree $d$ 以及 domain size $∣ D ∣$ 是相互关联的，有rate $\rho=d/|D|$ 。FRI结构要求rate $\rho$ 是“2-adic”的——即形如 $2^{-R}$ ，其中 $R\in \mathbb{N}$ 。但是，在不对协议做修改的情况下，相邻的degree $d$ 和 $d - 1$ 无法同时满足该要求。

问题1 意味着需可正确处理函数只是非常接近某多项式的情况。现有的承诺方案无法满足该要求。
取 $f$ 的 $\delta$ -ball around多项式集合 $\{f_1',f_2',\cdots,f_n'\}$ ，可称该集合为 $\delta$ -neighborhood of $f$ 或 $\delta$ -list of $f$ ，标记为 $L_{\delta}=L_{\delta}(f)$ 。其中 $\delta$ 的取值取决于FRI sensitivity。

若 $\delta$ 足够小，则 $L_{\delta}$ 内仅包含一个多项式，可称 $\delta$ lies in the unique-decoding radius。但是这种情况下，相同的soundness对应更大的proof size。
增大 $\delta$ 可降低proof size，对应 $L_{\delta}$ 的size要大于1。

为解决该问题，考虑relaxed版本的承诺方案——即，不open to 指定的多项式 $f$ ，改为，open to a polynomial in the $\delta$ -list $L_{\delta}$ 。

当向Prover请求在 $i$ 点的evaluation值时，Prover返回的为 $f^{'} (i)$ ，其中 $f'\in L_{\delta}$ 。在后续章节将展示，这种方案足以对holographic IOPs进行compilation。

在PLONK执行过程中，Prover和Verifier需evaluate a set of ‘constraint’（or setup）polynomials $c (X)$ encoding the constraint system itself。为实现succinctness，Verifier不会自己计算在 $i$ 点的值 $c (i)$ 。PLONK依赖Kate承诺：

以 $c$ 的commitment值和 $i$ 值为输入，Prover和Verifier运行Kate协议。借助Kate承诺的binding属性，Verifier可信服Prover所发送的evaluation值 $c (i)$ 确实是指定多项式 $c (X)$ 在 $i$ 点的值。

对其relaxation为：

对整个neighborhood $L_{\delta}(c)$ of $c (X)$ 进行commit，而不是仅对 $c (X)$ 自身进行commit，这会牺牲uniqueness。可对LPC稍作修改实现polynomial evaluation scheme。

本文借助list polynomial commitments和polynomial evaluation schemes，可修改PLONK来实现full transparency，修改后的证明系统称为RedShift，并在IOP model下证明其正确性。而这并未修改PLONK的完备性。

基于FRI的协议不具备Kate承诺的hiding属性，这意味着需要额外的策略来实现zero-knowledge。
PLONK的安全模型为Algebraic Group Model（AGM），RedShift基于FRI——安全模型为IOP model，从而会影响the soundness proof以及the proof of knowledge approaches。

3. 定义

3.1 标记规则

$\mathbb{F}_q$ 表示模为 $q$ 的素数域。
$D\subset \mathbb{F}$ 对应为Reed Solomon codes的evaluation domain。
$f|_D$ 表示restriction of function $f$ to domain $D$ 。
对于function pair $f, g$ ，其对某domain $D$ 的relative Hamming distance表示为：
$\Delta(f,g)=\frac{|\{x\in D: f(x)\neq g(x)\}|}{|D|}$

3.2 Reed-Solomon Codes序言

相关定义摘自 Huffman等人2003年论文《Fundamentals of error-correcting codes》：

JOHSON BOUND定理为：

与 Eli Ben-Sasson等人2019年论文《DEEP-FRI: Sampling outside the box improves soundness》类似，对JOHSON BOUND定理进行改进，获得（强）猜想：

从而可认为，distance parameter $\delta$ 提供了unique decodability。最后，提供the unique decodability of RS codes的standard results：

Reed-Solomon code $V=RS[\mathbb{F},D,\rho]$ 的解码问题，对应为，找到某codeword $u\in V$ ，其与某指定word $v\in \mathbb{F}^D$ 的distance为 $\delta$ （对应Hamming distance）。现有名为Guruswami-Sudan算法（为标准的polynomial-time解决方案）可解决该问题，其输出包含了 $v$ 的所有 $\delta$ -ball codewords。【详细见Guruswami和Sudan1999年论文《Improved decoding of Reed-Solomon and algebraic-geometry codes》】

3.3 Interactive Oracle Proofs 和 IOPs of Proximity

对某relation $\mathcal{R}\subseteq S\times T$ ，有 $(x,w)\in \mathcal{R}$ ，其中 $x$ 为instance， $w$ 为witness。

Eli Ben-Sasson等人2016年论文 Interactive oracle proof中，Interactive Oracle Proof（IOP）model为Interactive Proofs和Probabilistically Checkable Proofs的generalization。
以holographic IOP为例，其（preprocessed）序号会通过oracle提供给各参与方。该模式中包含了一个prover/verifier tuple $(P, V)$ of two probabilistic interactive algorithms。交互的round数，表示为 $k = r (x)$ ，可称为系统的round complexity。在single round内，Prover发送消息 $a_i$ （可能会依赖之前的interaction），Verifier回复 $m_i$ 。Verifier最终输出为accept或reject。可将整个交互表示为 $< P (x, w) \leftrightarrow V (x) >$ ，其中 $V$ 的输入为 $x\in S$ ， $P$ 的输入为 $(x,w)\in S\times T$ 。proof length为Prover发送的消息总长度，可表示为 $l(x)=\sum_{i=1}^{k}a_i$ 。该协议的query complexity，标记为 $q (x)$ ——为Verifier读取的entries总数。
【PPT：probabilistic polynomial time 】

Interactive Oracle Proof of Proximity (IOPP) 为 $r$ -round interactive IOP system，其针对的问题为：

已知某field $\mathbb{F}$ ，degree $d\in \mathbb{N}$ ，proximity $\delta>0$ 和domain $D\subset \mathbb{F}$ 。
Prover已知某函数 $f$
Verifier可oracle access $f$ 的evaluation on domain $D$ （即an oracle $\hat{f}(x)$ to $f(x)|_D$ ）
Prover使Verifier信服 $f|_D$ 为the evaluation of some degree $d$ polynomial on domain $D$ 。即， $f\in RS[\mathbb{F},D,\rho=d/|D|]$ 。

本文遵循Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon interactive oracle proofs of proximity》中的定义：

本文后续将以 $IOPP(f^0,C)\rightarrow \{0,1\}$ 来表示an IOPP protocol IOPP with purported code-word $f^0\in C$ and $C$ error-correcting code family。

3.4 Fast Reed-Solomon IOPP

RedShift中采用 Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon interactive oracle proofs of proximity》和 2018年论文《Worst-case to Average Case Reductions for the Distance to a Code》中的FRI：

已知某RS code family $RS[\mathbb{F},D,\rho]$ ，其中domain $D|=n=2^k$ ，rate $\rho=2^{-R}$ ， $k,R\in \mathbb{N}$ 。这意味着degree bound $d$ 为 $2^{k-R}$ 。
令 $r\in [1,\log d=k-R]$ 为协议的round number
对于每个 $\eta\in (0,1]$ ，令 $J_{\eta}:[0,1]\rightarrow [0,1]$ 为Johnson function $J_{\eta}(x)=1-\sqrt{1-x(1-\eta)}$

针对以上参数选择，对于某域 $\mathbb{F}$ ，FRI具有如下属性：

4. LPC（List Polynomial Commitment）

常规的承诺方案 $\sum=(Gen, Com, Open)$ 具有binding属性，其定义为：

LPC的主要不同之处在于：

LPC展示的是 $g (z) = y$ ，其中 $g$ 为 $f$ 的 $\delta$ -neighborhood。 $L_{\delta}(f)$ 为 $\delta$ -list of $f$ 。

4.1 LPC Specification

LPC定义为：

4.2 LPC Instantiation

本文设置public parameters为 $pp=(\mathbb{F},D)$ ，将 $C o m$ 函数看成是oracle $f|_D$ ，使得双方可simulate FRI over the coset domain $D$ by calculating the values of $q|_D$ 。因为双方可明确构建interpolation polynomials且可access to $f|_D$ 。因此，Verifier可使用oracle calls to $f|_D$ 来simulate $q|_D$ ，从而可检查 $c = C o m (q)$ 。因此，根据FRI的安全属性可知获得的LPC scheme满足如上定义。具体展示在以下定理中：

4.3 源自LPC的Polynomial Commitments

以上LPC定义足以处理证明系统中的“witness” polynomials $w (X)$ ，因为仅要求存在这样的多项式，而不要求该多项式的唯一性。但是，当处理编码了约束系统自身的“setup” polynomials $c (X)$ 时，需做额外的考量，此时：

需确保Prover所提供的openings确实是多项式 $c (X)$ 自身的evaluations值，而不是某多项式 $g\in L_{\delta}(c)$ 。
Verifier可自己evaluate setup polynomial values，但是这不满足succinctness要求，因Verifier自己evaluate需要 $O (d)$ computations。

不过，本文基于的事实为：

给定某setup polynomial $c (X)$ ，Prover和Verifier均可计算其list $L_{\delta}(c)$ 。
因此，Prover和Verifier均可找到某distinguishing point $i$ ，使得 $c(i)\neq g(i),\forall g\in L_{\delta}(c)$ 。寻找某distinguishing point $i$ 的过程为：
- fully transparent
- 每个circuit只需寻找一次，找到符合要求的distinguishing point $i$ 即可。
因此，寻找某distinguishing point $i$ 的过程仅在协议开始时执行一次，可作为offline phase。
offline phase的主要作用就是：找到符合要求的distinguishing point $i$ 。这样就可通过LPC来强化所有的evaluations源自特定的多项式 $c (X)$ 。这与PCS提供的通用proof of knowledge等价。这样的预处理与Marlin中的indexer作用类似。

以上定理依赖一个简单的观察：

若已知某distinguishing point-evaluation pair $(x, f (x))$ ，使得 $f(x)\neq g(x),\forall g\in L_{\delta}\setminus\{f\}$ ，则将 $(x, f (x))$ 添加到LPC的openings中农，即意味着仅 $f$ 为a valid witness。
寻找distinguishing point-evaluation pair $(x, f (x))$ 仅需在LPC scheme setup中执行一次，而需要binding security的每个LPC示例可从proving key中获得 $(x, f (x))$ 这样的点。

4.3.1 polynomial evaluation scheme $PES$ Instantiation

基于不同的list distinguisher choices，本文提供了2种polynomial evaluation scheme $PES$ 的实例化方案，并对比了不同list ›distinguisher的权衡取舍：

1）List Decodability distinguisher：无soundness error，但time complexity高。
2）Random Sampling distinguisher：选择 $\mu$ 个随机点，借助Schwartz-Zippel lemma，以相对快的速度，具有可接受的soundness error：

借助Random Sampling distinguisher + 之前章节构建的LPC scheme，可获得如下定理：

5. RedShift

RedShift为：（compile PLONK IOP with LPC) + FRI多项式承诺。
RedShift的约束系统沿用了PLONK中的定义，详细参看博客：PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge 学习笔记：

将fan-in two arithmetic circuits of unlimited fan-out with $n$ gates and $m$ wires 以constraint system的形式来表达。有 $n\leq m\leq 2n$ 。

constraint system $\mathscr{L}=(\mathcal{V},\mathcal{Q})$ 定义如下：

$\mathcal{V}$ 的形式为： $\mathcal{V}=(\vec{a},\vec{b},\vec{c})$ ，其中 $\vec{a},\vec{b},\vec{c}\in[m]^n$ ，可将 $\vec{a},\vec{b},\vec{c}$ 看成是 $\mathscr{L}$ 的左侧、右侧和输出序列。【 $\vec{a}_i, \vec{b}_i,\vec{c}_i$ 分别表示第 $i$ 个gate的左、右、输出wire序号， $i$ 的取值范围为 $0\sim n$ ，有 $\vec{a}_i\in [0,m-1], \vec{b}_i\in [0,m-1],,\vec{c}_i\in [0,m-1]$ 。】
$\mathcal{Q}$ 的形式为： $\mathcal{Q}=(\vec{q}_L,\vec{q}_R,\vec{q}_O,\vec{q}_M,\vec{q}_C)\in(\mathbb{F}^n)^5$ ，其中 $\vec{q}_L,\vec{q}_R,\vec{q}_O,\vec{q}_M,\vec{q}_C\in\mathbb{F}^n$ 可看成是”selector vectors“。【 $((\vec{q}_L)_i,(\vec{q}_R)_i,(\vec{q}_O)_i,(\vec{q}_M)_i,(\vec{q}_C)_i)$ 表示第 $i$ 个gate的selector赋值。】

称 $\vec{x}\in\mathbb{F}^m$ satisfies $\mathscr{L}$ 当且仅当对于每一个 $i\in[n]$ 均有：【 $\vec{x}$ 表示对所有wire的赋值， $\vec{x}_j$ 表示对第 $j$ 个wire的序号， $j$ 的取值范围为 $0\sim m$ （即 $\vec{a}_i,\vec{b}_i,\vec{c}_i$ ）。】
$(\vec{q}_L)_i\cdot \vec{x}_{\vec{a}_i} +(\vec{q}_R)_i\cdot \vec{x}_{\vec{b}_i}+(\vec{q}_O)_i\cdot \vec{x}_{\vec{c}_i}+(\vec{q}_M)_i\cdot (\vec{x}_{\vec{a}_i}\cdot \vec{x}_{\vec{b}_i})+(\vec{q}_C)_i=0$

定义正整数 $l\leq m$ ，子集 $\mathcal{I}\subset [m]$ of “public inputs”。
进一步不失一般性地假设 $\mathcal{I}=\{1,\cdots,l\}$ 。
定义relation $\mathcal{R}_{\mathscr{L}}$ 为：
the set of pairs $(\vec{x},\vec{w})$ with $\vec{x}\in\mathbb{F}^l,w\in\mathbb{F}^{m-l}$ ，使得 $\mathbf{x}:=(\vec{x},\vec{w})$ satisfies $\mathscr{L}$ 。【区分public input和witness。】

for $i\in[l]$ ，当满足如下条件时，可称 $\mathscr{L}$ is prepared for $l$ public inputs：【即 $l$ 个public inputs，均为前 $l$ 个gate的左侧输入。】
$a_i=i,(\vec{q}_L)_i=1,(\vec{q}_M)_i=(\vec{q}_R)_i=(\vec{q}_O)_i=0,(\vec{q}_C)_i=0$

从而可认为给定的约束系统为prepared form。

为将多项式方式表达约束系统，还需要额外的要素：

令 $g\in \mathbb{F}^*$ 为order为 $n + 1$ 的元素， $D=\subseteq\mathbb{F}^*$ 为由 $g$ 生成的cyclic subgroup。 $D^*=D/\{e\}$ ，其中 $e=g^0$ 为identity。
对于 $i\in[n+1]$ ， $L_i(X)$ 为 $\mathbb{F}_{\leq n}[X]$ 的element，有 $L_i(g^i)=1$ ， $L_i(a)=0,\forall a\in (D/\{g^i\})$ 。
可称 ${L_i(X)\}_{i=1}^{n+1}$ 为 $D$ 的Lagrange basis。
令 $Z(X)=\prod_{a\in D^*}(X-a)\in \mathbb{F}_{\leq n}[X]$ 为 $D^*$ 的domain polynomial，即zero only on $D^*$ 。

PLONK论文中的 checking “extended” permutations的目的是：
check a permutation “across” the values of several polynomials。

假设有多个多项式 $f_1,\cdots,f_k\in\mathbb{F}_{f1,⋯,fk∈F<n[X]$

对于 $(g_1,\cdots,g_k)\in(\mathbb{F}_{(g1,⋯,gk)∈(F<n[X])k$

PLONK论文中的 checking “extended copy constraints” using a permutation，对应实际的primitive为：
令 $\mathcal{T}=\{T_1,\cdots,T_s\}$ 为 a partition of $[kn]$ into disjoint blocks。

对于特定的 $f_1,\cdots, f_k\in\mathbb{F}_{f1,⋯,fk∈F<n[X]$

PLONK论文 5.2节的protocol for extended permutations可直接拿来check whether $f_1,\cdots,f_k$ satisfy $\mathcal{T}$ ，具体为：
定义a permutation $\sigma(\mathcal{T})$ on $[kn]$ ，使得对于 $\mathcal{T}$ 中的每一个block $T_i$ ， $\sigma(\mathcal{T})$ 包含了a cycle going over all elements of $T_i$ 。
则当且仅当 $(f_1,\cdots,f_k)=\sigma(f_1,\cdots,f_k)$ ，有 $(f_1,\cdots,f_k)$ copy-satisfy $\mathcal{T}$ 。

具体定义为：

其中：

$\mathbf{PI}(X)$ ：为public input多项式
$\mathbf{f_L}(X),\mathbf{f_R}(X),\mathbf{f_O}(X)$ ：分别为left、right、output Wire Polynomials，对应为Prover的private data。

注意：

以上PLONK约束系统的Definition 13和Definition 16是等价的。
$\mathbf{f_L}(X),\mathbf{f_R}(X),\mathbf{f_O}(X)$ 的degree为 $n - 1$ ，其中 $n$ 为 $\mathcal{L}$ size。不过为实现zero-knowledge，RedShift中将其degree放松到了某 $k > n$ 。

5.1 RedShift协议实例化

令 $\mathcal{L}'=(\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}, \sigma, n)$ 为待证明的约束系统。
令 $k_1,k_2,k_3\in \mathbb{F}^*$ 为 $\mathbb{F}^*\setminus D$ 中的不同cosets，其中 $k_1=e=g^0$ 为identity。
令 $\tau$ 为 $P_1=[3n]$ 与 $P_2=D^*\cup k_2D^* \cup k_3D^*$ 之间的双射，满足：
$\tau[n\cdot (j-1)+i]=k_jg^i,i\in [n], j\in [3]$
令 $\sigma$ 为permutation on $P_1$ ， $\sigma'=\tau\circ\sigma\circ\tau^{-1}$ 为permutation on $P_2$ 。
定义 $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$ 为degree不超过 $n$ 的Permutation Polynomials：
- $S_{id_j}(X)=k_jX, j\in[3]$ ：【本质为：分别对所有gate的左侧输入wire、右侧输入wire和output wire 进行编号。如每个gate的左侧输入wire依次编号为 $(k_1,2\cdot k_1,\cdots,n\cdot k_1)$ ，每个gate的右侧输入wire依次编号为 $(k_2,2\cdot k_2,\cdots,n\cdot k_2)$ ，每个gate的output wire依次编号为 $(k_3,2\cdot k_3,\cdots,n\cdot k_3)$ 。】
- $S_{\sigma_j}(g^i)=\sigma'(k_jg^i),i\in[n],j\in[3]$ ： $i$ 的取值为0~n-1，对应为gate， $j$ 的取值对应为左、右、output wire。【本质为：表示的是gate之间的输入、输出连接关系，如某gate的output wire为另一gate的left input wire等。】

通过以上Permutation Polynomials可定义待证明问题的Setup Polynomials，Setup Polynomials由以下多项式组成：【Setup Polynomials应具有unique属性，确保待证明问题不可延展。】

1）Selector Polynomials： $\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}$
2）Permutation Polynomials： $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$
3）Lagrange-basis Polynomials： $\{L_i\}_{i\in [n+1]}$

而Witness Polynomials组成为：【Witness Polynomials不要求unique属性。】

1）Wire Polynomials： $\mathbf{f_L},\mathbf{f_R},\mathbf{f_O}$

Public Input Polynomials表示为：

$\mathbf{PI}(X)$

RedShift协议，在交互层与DEEP-ALI协议类似，只是采用的为PLONK约束系统。
RedShift中：

将distinguisher oracle $\mathcal{O}^{\mathcal{D}}$ queries 实例化为：indexer algorithm $\mathcal{I}$ 的evaluations：其接收某low-degree polynomial input $f$ ，输出 $\mu$ 个不同的points及其evaluations $\{x_i,f(x_i)\}_{i=1}^{\mu}$ 。
为实现非交互式，其random sampling distinguisher采用 $n_c\cdot \mu\cdot n$ 次queries（其中 $n_c$ 为Constraint Polynomials数量），并将这些point作为PLONK证明系统IOP 的输入（详细见PLONK论文Section 7）。

为便于模块化，使用 $(\epsilon,k)$ -LPC来模拟 $(\epsilon,k,\eta)$ -polynomial evaluation scheme $PES=(\mathcal{D},LPC)$ ——可access to $\mu$ -dimensional $\eta$ -distinguisher $\mathcal{D}$ 。
其思想为，将对某low-degree polynomial的承诺实例，替换为，使用LPC和PES，以满足证明系统的knowledge soundness要求。实际实现采用的是FRI协议，为改进proof size，选择的FRI maximal levels为 $\delta$ 。RedShift中才分了2类多项式，分别具有不同的要求：

1）Setup Polynomials：需满足unique属性，Prover需知道其所commit的具体多项式。
2）Witness Polynomials：无unique要求，仅需要证明存在some low-degree polynomials。

RedShift中，Verifier可访问的为：

1）Public Input Polynomial $\mathbf{PI}(X)$ ；
2） $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3,\{L_i\}_{i\in [n+1]},\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}\in\text{pp}$ 的commitment oracle。

其中，以上：

第12步可知，由于：
- Constraint Polynomials：由Selector Polynomials $\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}$ 和 Permutation Polynomials $\{S_{id_i}(X)\}_{i=1}^3, \{S_{\sigma_j}(X)\}_{j=1}^3$ 组成，对Verifier已知，调用的是PES进行验证。
- Witeness Polynomials $\mathbf{f_L},\mathbf{f_R},\mathbf{f_O}$ 和中间多项式Grand Product Polynomials $\mathbf{P},\mathbf{Q}$ 以及 Quotient多项式 $\mathbf{T}$ 为隐私数据，对Verifier是未知的，调用的是LPC进行验证。
整个RedShift的完备性在于：对于honest Prover， ${F_i\}_{i=1}^6$ 为identically zero on domain $D^*$ ，即意味着所有的 $F_i(X)$ are divisible by $Z (X)$ in the ring $\mathbb{F}[X]$ ，因此其linear combination $F(X)=\sum_{i=1}^{6}a_iF_i(X)$ 也可整除 $Z (X)$ 。
第8步中： $F_1,F_2,F_3,F_4,F_5$ 用于检查Witness Polynomials的copy-satisfiability。
从而RedShift的完备性与 PLONK的完备性等价。
$S_{id_j}$ ：仅需要将 $D$ 映射为不相交集合 $P_1,P_2,P_3$ 。
$S_{\sigma_j}$ ：以“permuted”方式映射为相同的集合 $P=P_1\cup P_2\cup P_3$ 。为permutation $\sigma$ 构建了map $\tau$ 来将domain $[n]$ 映射为 $P$ 。
最简单的方式是，定义 $S_{id_{k}}$ 将 $[n]$ 分别映射为 $[1,\cdots,n],[n+1,\cdots,2n],[2n+1,\cdots,3n]$ 。此时，不需要借助 $\tau$ 来做domain translation（ $P = [n]$ ）。这样做的问题在于，所有的 $S_{id_j}$ 多项式的degree将为 $n$ 。
RedShift中构建的 $S_{id_j}$ 最小degree可为1，使得Verifier在验证时可节约evaluation开销。该优化源自PLONK论文。
第10步中的random evaluation point $y$ 取自domain $D$ 之外，这样可实现Perfect-zero knowledge，而不是statistical-zero knowledge。
$N$ 表示随机取的challenge point数量，RedShift中设置 $N = 1$ 。
受degree上限限制，可能需要将第9步中的 $T$ 切分为不同的多项式 ${T_0,T_1,T_2\}$ ，然后分别进行commit。
RedShift的knowledge soundness为：

使用“CS-proof”技术来将oracles编译为constraint functions，从而将以上IOP实例化为Non-Interactive Random Oracle Proof（NIROP）。
即假设存在某哈希函数 $\mathcal{H}:\mathbb{F}\times \mathbb{F}\rightarrow \mathbb{F}$ ，构建的 $C o m (f)$ 为root $c$ of a Merkle tree where the leaves form the evaluations of $f$ on $D$ 。注意，这样会为每个query引入 $log {|D|}$ 开销。

6. RedShift系统实例化

7. RedShift Results

以Proth prime为例， $q=r\cdot 2^{192}+1$ ， $r = 576460752303423505$ ，取 $\rho=1/16$ ，构建Merkle tree时采用Blake2s哈希函数：

在Apple MacBook Pro 18.2 with an M1 Max 10-core processor and 64 GB RAM上运行，记录的 proof generation times, verification times and proof sizes 与不同的 predicate sizes 之间的关系为：

8. 优化及变种

8.1 batch FRI

8.2 Binary Fields

PLONK仅适于prime fields，因其内嵌的为pairing-friendly椭圆曲线。而Eli Ben-Sasson等人2018年论文《Fast Reed-Solomon interactive oracle proofs of proximity》中提出了基于binary field的FRI协议。
RedShift适于prime fields，也适于binary fields。

8.3 递归

可将RedShift的verification subroutine表示为电路，该电路内主要包含的与少奶奶为Merkle path验证或inclusion proof验证。剩下的算术运算基于的field与原始circuit中定义的域相同，因此，无需cycles over pairing-friendly elliptic curves。

以BL12-381曲线为例，其subgroup order $∣ G ∣$ 满足 $2^{32} | (|G|-1)$ ，借助递归，使其inner circuit验证开销更cheaper：

8.4 不同的证明系统

Sonic和Marlin中采用的为单变量多项式承诺，可将本文的LPC和PES用于Sonic和Marlin等不同的证明系统中。

附录 C FRI batch open

与Efficient polynomial commitment schemes for multiple points and polynomials学习笔记思路类似：

附录 D FRI Overview

FRI基础知识可参看博客：

STARKs and STARK VM: Proofs of Computational Integrity
STARK入门知识
STARK Low Degree Testing——FRI

附录 F RedShift proof size优化

为降低proof size，可做如下优化：

1）Merge Oracles：将不同类别的多项式合并，可由原来的17个独立的Merkle authentication path，降低为4个，从而可降低proof size，减少验证时间。
- 1.1）Constraint Polynomials：Selector Polynomials $\mathbf{q_L},\mathbf{q_R},\mathbf{q_O},\mathbf{q_M},\mathbf{q_C}$ 和 Permutation Polynomials $S_{id_1},S_{\sigma_1},S_{\sigma_2},S_{\sigma_3}$ ，这些多项式相互独立，且在setup时prepared。
- 1.2）Witness Polynomials： $\mathbf{f_L},\mathbf{f_R},\mathbf{f_O}$
- 1.3）Grand Product Polynomials： $\mathbf{P},\mathbf{Q}$
- 1.4）Quotient多项式 $\mathbf{T}$ 中的 $T_0,T_1,T_2$ 多项式：
  $T(X)=X^{2n}T_2(X)+X^nT_1(X)+T_0$
2）Bitreversed Domain Element Enumeration as Merkle Tree Leaves：FRI的另一个重要优化是：当将claimed LDE values放入Merkle tree时，使用“bitreverse” enumeration
。此时，FRI “folding” step中构成coset所需的values总是adjacent的，从而可放入同一leaf内（结合下面的优化策略），共享a single Merkle path per FRI intermediate oracle query step。在本文PoC实现中未采用该优化措施。
3）Concatenating Merkle Tree Leaves：对oracle实例化时，在每棵Merkle tree的leaf中放入更多的values。该优化可为FRI采用更大的“localization parameter”，从而降低intermediate oracles数量。需对“localization parameter”（通常取值为8）进行动态调整，降低该值会使Merkle tree变浅，增大该值会使Merkle path变长。
4）其它优化策略：
- 对从transcript中获得的challenge values进行处理，以降低所需的FRI query次数。

参考资料

[1] SNARK Design
[2] HyperPlonk——实现zkEVM的一种zk-proof system
[3] REDSHIFT：不需要可信设置的PLONK
[4] Research Summary: REDSHIFT: Transparent SNARKs from List Polynominal Commitment IOPs

你可能感兴趣的:(零知识证明,零知识证明)

区块链与去中心化技术 boring_student 区块链去中心化
区块链与去中心化技术核心进展区块链从加密货币（如比特币）扩展至智能合约和供应链管理。以太坊2.0引入分片技术提升交易吞吐量，而零知识证明（ZKP）增强了隐私保护15。企业级应用如IBM的FoodTrust平台通过区块链追踪农产品全生命周期，减少供应链欺诈1。应用场景数字身份：去中心化身份（DID）系统允许用户自主管理个人数据5。版权保护：NFT技术为数字艺术品提供唯一所有权证明9。跨境支付：Rip
Proof Beyond Boundaries: Hong Kong zkNight——零知识证明技术的未来之夜 TechubNews web3 科技大数据
请于2025年2月19日加入我们，参加一场仅限邀请的专属晚宴，地点选在香港核心地段最时尚的奢华餐厅。在这里，创新与享乐交织融合，科技与艺术共同奏响颠覆想象的跨界盛宴。当科技邂逅优雅：跨界盛宴的独特魅力本次活动以“创新与享乐交融”为核心理念，巧妙融合硬核技术讨论与高端社交体验。ZEROBASE创始人将在开场致辞中分享对零知识证明如何重塑隐私与效率的见解，并激发跨领域的合作灵感。届时，嘉宾将共聚一堂，
**zkEVM Node：为未来区块链搭建的高性能节点** 黎杉娜Torrent
zkEVMNode：为未来区块链搭建的高性能节点去发现同类优质开源项目:https://gitcode.com/在不断演进的区块链世界中，zkEVMNode作为一款由Go语言构建的核心组件，正引领着零知识证明技术与以太坊虚拟机（EVM）的融合革命，旨在优化PolygonzkEVM网络的运行效率和安全性。技术亮点：构建下一代区块链基础设施零知识证明（ZKP）与EVM的完美结合zkEVMNode的设计
麦萌《至尊红颜归来》技术架构拆解：从复仇算法到分布式攻防的终极博弈短剧萌架构重构
系统设计核心逻辑剧情主线可抽象为高鲁棒性安全系统的构建与攻防对抗：加密协议与身份隐匿：叶念君隐藏身份映射为零知识证明（ZKP）协议，通过环签名（RingSignature）技术实现“青木令主”权限的匿名验证。分布式任务调度：勇闯修罗九塔对应多层防御链（Defense-in-Depth）架构，每层塔可视为独立微服务，通过Kafka实现异步攻击流量编排。对抗性训练框架：修罗门诱捕圈套可建模为GAN（生
【分享】一个查看无线网络密钥的小方法（查看 WiFi密码，热点密码）| 区块链面试题：区块链技术中，如何保证交易的匿名性和隐私性？| 公钥加密，数字签名，零知识证明追光者♂ 工具技巧解决办法百题千解计划(项目实战案例）网络 wlan 热点密码 WiFi密码区块链面试 WiFi
“你不是我，你不会懂。”作者主页：追光者♂个人简介：[1]计算机专业硕士研究生[2]2023年城市之星领跑者TOP1(哈尔滨)[3]2022年度博客之星人工智能领域TOP4[4]阿里云社区特邀专家博主[5]CSDN-人工智能领域优质创作者无限进步，一起追光！！！感谢大家点赞收藏⭐留言！！！目录一、基础回顾步骤1、win+R:cmd，进入Dos命令窗口
区块链的数学基础：核心原理与应用解析一休哥助手区块链
引言区块链技术作为分布式账本系统，成功地解决了传统中心化系统中的信任问题。其背后隐藏着复杂而精妙的数学原理，包括密码学、哈希函数、数字签名、椭圆曲线、零知识证明等。这些数学工具不仅为区块链提供了安全保障，也为智能合约和去中心化应用（DApps）的开发奠定了基础。本文将深入剖析区块链中的核心数学基础，帮助读者理解其工作原理与实际应用。一、区块链数学基础概述区块链的数学基础可以分为以下几个核心领域：密
零知识证明-公钥分发方案DH(（六） yunteng521 区块链零知识证明算法区块链密钥分发 DH
前言椭圆曲线配对，是各种加密构造方法(包括确定性阀值签名、zk-SNARKs以及相似的零知识证明)的关键元素之一。椭圆曲线配对(也叫“双线性映射”)有了30年的应用历史，然而最近这些年才把它应用在密码学领域。配对带来了一种“加密乘法”的形式，这很大的拓展了椭圆曲线协议的应用范围。本文的目的是详细介绍椭圆曲线配对，并大致解释它的内部原理先了解DH协议Diffie-Hellman协议简称DH，是一种公
零知识证明：哈希函数-Poseidon2代码解析与benchmark HIT夜枭零知识证明零知识证明哈希算法区块链
1、哈希函数(HashFunction)与Poseidon在密码学中，哈希函数是一种将任意大小的数据映射到固定大小的输出的函数。哈希函数的输出称为哈希值或哈希码。哈希函数具有单向性和抗碰撞性。一些常见的哈希函数包括MD5、SHA-1、SHA-256和SHA-3。例如，假设您要验证一个文件的完整性。您可以使用哈希函数来计算该文件的哈希值。然后，您可以将该哈希值与文件的预期哈希值进行比较。如果两个哈希
零知识证明框架：gnark 孙绿如叶～零知识证明(ZKP)密码学
一.zkSNARKs的一般构造流程首先将一个NP问题拍平（Flatten）构成电路（若干个乘法门/加法门构成），在电路的基础上构造约束，也就是R1CS，有了约束就可以把NP问题抽象成QAP问题。有了QAP问题的描述，就可以在QAP上构建zkSNARKs。二.gnarkgnark是consenSys开发的一个zkSARNK实现，采用Go语言，目前支持groth16，github地址：https://
实践指南：构建一个零知识证明 DApp [译] 扣3039046426 区块链
实践指南：构建一个零知识证明DApp[译]零知识证明DAppcircomsnarkjs本文将构建一个zk-dApp（零知识证明DApp），以证明用户是否属于某个特定组，而无需透露用户具体是谁。阅读本文前，最好先对以下内容有所了解：public-keycryptographycircom及snarkjs使用truffle使用ethers连接合约前言在过去的几个月中，我在以太坊eth上利用了零知识证明
Zcash-草稿歌白梨
Zcash，也叫大零币，从zerocoin发展而来，是使用零知识证明机制的区块链系统，通过完全匿名交易特性在区块链的生态中独树一帜。现在，Zcash市值是41.10亿。2016年10月28日，ZEC从比特币代码库0.11上分叉，所以他可以算比特币的一个克隆体，与比特币一样，Zcash（ZEC）的总量是2100万，采用PoW共识机制。与比特币不同的是，为了防止矿霸的产生，ZEC的加密不是通过SHA2
金融科技力 nightluo 基础学习金融科技
金融科技区块链二级目录三级目录区块链区块链安全：保密性、完整性、可用性最重要的点：保密性零知识证明：1、完整性（真的假不了）2、可靠性（假的真不了）3、零知识性（知道真的，但是不需要知道内容）共识算法安全：抗崩溃性与容错性确定性终结与概率终结FLP不可能性：在完全异步消息系统中如果单个节点发生故障，则不可能达成共识安全性与活性CAP定理：只能得到三个中的两个去中心化、可扩展性和安全三角“参数永远是
如何在JavaScript项目中使用 zk-SNARK chinadefi javascript rust 开发语言
如何在JavaScript项目中使用zk-SNARK[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4fQgcXkV-1675312908395)(https://tva1.sinaimg.cn/large/e6c9d24ely1gzmazs79m1g20tr04ojug.gif)]MariaCappelli在Unsplash上上传的照片零知识证明技术，尤其是zk-S
链化未来技术系列分享(1) - 零知识证明区块奇点
11月29日，链化未来在杭州举办主题为“区块链硬核技术揭密——零知识证明及跨链深度解读”线下活动内容分享。本文为零知识证明篇相关PPT内容。目录>什么是零知识证明>链化未来零知识证明组件>实践,跨链,资产交易摘要内容本次活动，密码学家王虎森介绍了链化未来零知识证明组件在技术上相对以太坊的优势，以及在具体业务如跨链、资产转移、个人数据隐私保护方面的应用。相比以太坊，链化未来的零知识证明组件在成本、可
OSDI 2023: LVMT: An Efficient Authenticated Storage for Blockchain 结构化文摘区块链分层架构共识存储结构
我们使用以下6个分类标准对本文的研究选题进行分析：1.研究方向:区块链可扩展性:提高交易吞吐量和减少确认时间的研究，例如零知识证明、分片和状态通道。密码学技术:开发或改进用于区块链应用的新密码原语，例如椭圆曲线、承诺方案和累加器。区块链存储和效率:优化区块链上的数据存储和检索，例如认证存储、Patricia树和数据压缩。共识机制:设计新的共识协议，例如拜占庭容错算法，用于更快速、更安全的区块验证。
什么是零知识证明？慎思知行 BlockChain 零知识证明区块链
Web3的核心原则之一——透明度，也可能是其最大的缺点之一。没有人希望他们的所有在线活动（从金融交易到个人身份数据）都可供任何人公开查看。为了使区块链能够扩展并变得更容易访问，隐私必须成为首要任务。零知识证明能够改变我们保护、管理和共享个人数据的方式。它们允许人们在不泄露信息本身的情况下证明陈述的真实性，从而为涉及敏感、机密信息的交易带来了新的隐私级别。什么是零知识证明？零知识证明（通常缩写为“Z
探析零知识证明高能发展路径：走向更安全、私密且可扩展的 Web3 新时代 TinTin Land Web3 前沿零知识证明安全 web3
原文：https://www.coinbase.com/blog/understanding-the-zero-knowledge-landscape作者：JonathanKing｜CoinbaseVentures编译：TinTinLand本文核心观点2023年，零知识技术吸引了逾4亿美元的投资，主要关注以太坊L1/L2协议层的可扩展性，以及新兴的基础设施和开发者工具。零知识证明（Zero-Kno
解读ALEO-继FIL后又一个由A16Z和软银领投过亿美元的隐私公链项目米斯特鞏软银 FIL 隐私保护 rust 哈希算法 p2p 网络协议
自从今年2月份ALEO融资了由软银领投，三星、老虎环球基金等众多机构跟投的2亿美元后，市场逐渐开始关注ALEO，目前从官方的公开资料看没有太多华丽的介绍，基本都是较专业的内容，今天我从几个方面综合概述一下ALEO的特性，从中也能发现ALEO的真正价值：1、模块化区块链：可组合性，可扩展性2、隐私：zkp零知识证明技术主要解决隐私和可扩展性问题3、兼容以太坊：生态兼容性好4、posw共识机制：基于比
Aleo项目详细介绍-一个兼顾隐私和可编程性的隐私公链慎思知行区块链
Aleo上线在即，整理一篇项目的详细介绍，喜欢的收藏。有计划做aleo节点的可交流。一、项目简介Aleo最初是在2016年构思的，旨在研究可编程零知识。公司由HowardWu、MichaelBeller、CollinChin和RaymondChu于2019年正式成立。Aleo是第一个采用零知识证明（ZKP）技术，提供私有、开源的Layer1区块链。Aleo开发了一个默认交易隐私的应用程序构建平台，
区块链精进手册 | 021 | 大师的投资思想（2）马烈视界
1.一种通证：ZECZEC是Zcash区块链网络中的通证，中文常备成为“零币”。ZEC发行总量恒定，为2100万枚，现已发行433余万枚，总市值达6.66亿，排行第21位。由于比特币的非匿名性，但实际货币有着匿名性需求，Zerocoin团队在比特币0.11.2的版本上修改了代码，添加了“零知识证明”技术，想让比特币更具匿名性。比特币团队拒绝在原链上升级，原开发者团队成立了ZerocoinElect
NuLink介绍二晨酱
4.NuLink主要使用技术4.1确保密文形式的数据的可用性。这里使用的加密技术主要是零知识证明。4.2隐私保护的数据共享。使用到的基本方法是对数据进行加密，让数据所有者控制对它的访问。这些技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。4.3隐私保护数据的计算，这部分会将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算(multi-partysecurecom
零知识证明学习 Ameame- 学习
文档，测试claimPK.zokimport"hashes/sha256/512bitPadded.zok"assha256;import"utils/pack/u32/nonStrictUnpack256.zok"asunpack256;import"utils/pack/u32/unpack128.zok"asunpack128;import"utils/pack/u32/pack128.zo
零知识证明的最新发展和应用 PrimiHub 零知识证明区块链密码学可信计算技术同态加密 github
PrimiHub一款由密码学专家团队打造的开源隐私计算平台，专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。当企业收集大量客户数据去审查、改进产品和服务以及将数据资产货币化时，他们容易受到网络攻击威胁，造成数据泄露。数据泄露的损失每年都在上升，每次泄露平均造成损失420万美元，如下图所示，它们严重损害了企业的声誉和可信度。数据泄露的成本零知识证明(ZKPs)等隐私增强技术
2022-02-05 Aaron阿酷
NuLink介绍（四）7.解决方案详细说明 7.1数据可用性作为一个专注于数据隐私的平台，我们首先需要解决的就是数据可用性问题。这个问题往往分为两部分:第一是消费者在购买前如何确定卖家是否有自己需要的数据，第二是如何验证在密文状态下的数据是否真实。在NuLink网络中，这两个问题可以通过零知识证明技术来解决:数据所有者需要在数据授权前提供零知识证明。事实上，密文状态下的证明方法与明文状态下的证
Web3.0会带来哪些机遇？ Aix17
NuLink的零知识证明介绍作者简介：作为NuLinkTechnology的研究员，Rookie是一位激情的创新者，他专注于密码学和区块链技术。翻译：Reversing作为NuLink项目的高级研究员，我一直致力于密码学和隐私保护的研究。多年来，这个领域一直有一个有趣的话题，那就是ZKP（ZeroKnowledgeProof，零知识证明）。最近它在社区中引起了很多关注，因为有很多有趣的场景可以讨论
零知识证明（zk-SNARK）- groth16（一） Amire0x 密码学-隐私计算零知识证明区块链
全称为Zero-KnowledgeSuccinctNon-InteractiveArgumentofKnowledge，简洁非交互式零知识证明，简洁性使得运行该协议时，即便statement非常大，它的proof大小也仅有几百个bytes，并且验证一个proof的时间可以达到毫秒级别。这是一个通用的零知识证明协议，可以用作各种证明，如范围证明。核心方法是通过R1CS，QAP等方法将计算难题变为多项
2023海内外零知识证明学习资料汇总（一）（故事中的零知识证明篇）滕王阁配黑马打火机零知识证明区块链 web3 学习
工欲善其事,必先利其器Web3开发中，各种工具、教程、社区、语言框架.。。。种类繁多，是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役？参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料（包括科普文章，论文，开源仓库及相关学习网站等），并对这些资源进行了整理分析，希望能对大家有所帮助。本文收集了关于零知识证明
2023海内外零知识证明学习资料汇总（二）（深入理解零知识证明篇）滕王阁配黑马打火机零知识证明区块链 web3 学习
工欲善其事,必先利其器Web3开发中，各种工具、教程、社区、语言框架.。。。种类繁多，是否有一个包罗万象的工具专注与Web3开发和相关资讯能毕其功于一役？参见另一篇博文2024最全面且有知识深度的web3开发工具、web3学习项目资源平台本文收集了关于零知识证明的一些学习资料（包括科普文章，论文，开源仓库及相关学习网站等），并对这些资源进行了整理分析，希望能对大家有所帮助。书接上篇，器欲尽其能,必
2022-02-24 Aaron阿酷
通过集成一流的技术，我们正在建立强大的技术基础。1.保证密文形式数据的可用性。这里使用的加密技术主要包括零知识证明。2.隐私保护数据共享。一般的方法是对数据进行加密，让数据所有者控制对它的访问。技术包括去中心化加密存储、代理重加密、基于身份的加密和基于属性的加密等。3.隐私数据计算，涉及将某些隐私计算能力集成到智能合约中。使用的技术包括多方安全计算、同态加密等。这三种技术方案可以在很多应用领域提供
区块链在未来企业中将会是什么样的角色？徽纯正
如今区块链的技术引发太多的讨论。区块链在企业中的角色是什么?越来越多的公司正在测试区块链的力量，通过分布式记账技术来做交易和追踪资产。以下是区块链今后的趋势预测:图片发自App1区块链将从试点转移到生产。区块链在世界各地都出现了试点项目。随着这些试点和概念验证的成熟，它们将被抛弃，然后将会向生产系统前进。这一过程将成为一个必要的调整。2零知识证明的使用将会提高。区块链将成为企业间交易的平台。这个平
java线程Thread和Runnable区别和联系 zx_code java jvm thread 多线程 Runnable
我们都晓得java实现线程2种方式，一个是继承Thread，另一个是实现Runnable。模拟窗口买票，第一例子继承thread，代码如下 package thread; public class ThreadTest { public static void main(String[] args) { Thread1 t1 = new Thread1(
【转】JSON与XML的区别比较丁_新 json xml
1.定义介绍 (1).XML定义扩展标记语言 (Extensible Markup Language, XML) ，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML使用DTD(document type definition)文档类型定义来组织数据;格式统一，跨平台和语言，早已成为业界公认的标准。 XML是标
c++ 实现五种基础的排序算法 CrazyMizzz C++c 算法
#include<iostream> using namespace std; //辅助函数，交换两数之值 template<class T> void mySwap(T &x, T &y){ T temp = x; x = y; y = temp; } const int size = 10; //一、用直接插入排
我的软件麦田的设计者我的软件音乐类娱乐放松
这是我写的一款app软件，耗时三个月，是一个根据央视节目开门大吉改变的，提供音调，猜歌曲名。1、手机拥有者在android手机市场下载本APP，同意权限，安装到手机上。2、游客初次进入时会有引导页面提醒用户注册。（同时软件自动播放背景音乐）。3、用户登录到主页后，会有五个模块。a、点击不胫而走，用户得到开门大吉首页部分新闻，点击进入有新闻详情。b、
linux awk命令详解被触发 linux awk
awk是行处理器: 相比较屏幕处理的优点，在处理庞大文件时不会出现内存溢出或是处理缓慢的问题，通常用来格式化文本信息 awk处理过程: 依次对每一行进行处理，然后输出 awk命令形式: awk [-F|-f|-v] ‘BEGIN{} //{command1; command2} END{}’ file [-F|-f|-v]大参数，-F指定分隔符，-f调用脚本，-v定义变量 var=val
各种语言比较 _wy_ 编程语言
Java Ruby PHP 擅长领域
oracle 中数据类型为clob的编辑知了ing oracle clob
public void updateKpiStatus(String kpiStatus,String taskId){ Connection dbc=null; Statement stmt=null; PreparedStatement ps=null; try { dbc = new DBConn().getNewConnection(); //stmt = db
分布式服务框架 Zookeeper -- 管理分布式环境中的数据矮蛋蛋 zookeeper
原文地址： http://www.ibm.com/developerworks/cn/opensource/os-cn-zookeeper/ 安装和配置详解本文介绍的 Zookeeper 是以 3.2.2 这个稳定版本为基础，最新的版本可以通过官网 http://hadoop.apache.org/zookeeper/来获取，Zookeeper 的安装非常简单，下面将从单机模式和集群模式两
tomcat数据源 alafqq tomcat
数据库 JNDI(Java Naming and Directory Interface，Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。没有使用JNDI时我用要这样连接数据库： 03. Class.forName("com.mysql.jdbc.Driver"); 04. conn
遍历的方法百合不是茶遍历
遍历在java的泛
linux查看硬件信息的命令 bijian1013 linux
linux查看硬件信息的命令一.查看CPU： cat /proc/cpuinfo 二.查看内存： free 三.查看硬盘： df linux下查看硬件信息 1、lspci 列出所有PCI 设备； lspci - list all PCI devices:列出机器中的PCI设备（声卡、显卡、Modem、网卡、USB、主板集成设备也能
java常见的ClassNotFoundException bijian1013 java
1.java.lang.ClassNotFoundException: org.apache.commons.logging.LogFactory 添加包common-logging.jar2.java.lang.ClassNotFoundException: javax.transaction.Synchronization
【Gson五】日期对象的序列化和反序列化 bit1129 反序列化
对日期类型的数据进行序列化和反序列化时，需要考虑如下问题： 1. 序列化时，Date对象序列化的字符串日期格式如何 2. 反序列化时，把日期字符串序列化为Date对象，也需要考虑日期格式问题 3. Date A -> str -> Date B,A和B对象是否equals 默认序列化和反序列化 import com
【Spark八十六】Spark Streaming之DStream vs. InputDStream bit1129 Stream
1. DStream的类说明文档： /** * A Discretized Stream (DStream), the basic abstraction in Spark Streaming, is a continuous * sequence of RDDs (of the same type) representing a continuous st
通过nginx获取header信息 ronin47 nginx header
1. 提取整个的Cookies内容到一个变量，然后可以在需要时引用，比如记录到日志里面， if ( $http_cookie ~* "(.*)$") { set $all_cookie $1; } 变量$all_cookie就获得了cookie的值，可以用于运算了
java-65.输入数字n，按顺序输出从1最大的n位10进制数。比如输入3，则输出1、2、3一直到最大的3位数即999 bylijinnan java
参考了网上的http://blog.csdn.net/peasking_dd/article/details/6342984 写了个java版的： public class Print_1_To_NDigit { /** * Q65.输入数字n，按顺序输出从1最大的n位10进制数。比如输入3，则输出1、2、3一直到最大的3位数即999 * 1.使用字符串
Netty源码学习-ReplayingDecoder bylijinnan java netty
ReplayingDecoder是FrameDecoder的子类，不熟悉FrameDecoder的，可以先看看 http://bylijinnan.iteye.com/blog/1982618 API说，ReplayingDecoder简化了操作，比如： FrameDecoder在decode时，需要判断数据是否接收完全： public class IntegerH
js特殊字符过滤 cngolon js特殊字符 js特殊字符过滤
1.js中用正则表达式过滤特殊字符, 校验所有输入域是否含有特殊符号function stripscript(s) { var pattern = new RegExp("[`~!@#$^&*()=|{}':;',\\[\\].<>/?~！@#￥……&*（）——|{}【】‘；：”“'。，、？]"
hibernate使用sql查询 ctrain Hibernate
import java.util.Iterator; import java.util.List; import java.util.Map; import org.hibernate.Hibernate; import org.hibernate.SQLQuery; import org.hibernate.Session; import org.hibernate.Transa
linux shell脚本中切换用户执行命令方法 daizj linux shell 命令切换用户
经常在写shell脚本时，会碰到要以另外一个用户来执行相关命令，其方法简单记下： 1、执行单个命令：su - user -c "command" 如：下面命令是以test用户在/data目录下创建test123目录 [root@slave19 /data]# su - test -c "mkdir /data/test123"
好的代码里只要一个 return 语句 dcj3sjt126com return
别再这样写了：public boolean foo() { if (true) { return true; } else { return false;
Android动画效果学习 dcj3sjt126com android
1、透明动画效果方法一：代码实现 public View onCreateView(LayoutInflater inflater, ViewGroup container, Bundle savedInstanceState) { View rootView = inflater.inflate(R.layout.fragment_main, container, fals
linux复习笔记之bash shell (4)管道命令 eksliang linux管道命令汇总 linux管道命令 linux常用管道命令
转载请出自出处： http://eksliang.iteye.com/blog/2105461 bash命令执行的完毕以后，通常这个命令都会有返回结果，怎么对这个返回的结果做一些操作呢？那就得用管道命令‘|’。上面那段话，简单说了下管道命令的作用，那什么事管道命令呢？答：非常的经典的一句话，记住了，何为管
Android系统中自定义按键的短按、双击、长按事件 gqdy365 android
在项目中碰到这样的问题：由于系统中的按键在底层做了重新定义或者新增了按键，此时需要在APP层对按键事件（keyevent）做分解处理，模拟Android系统做法，把keyevent分解成： 1、单击事件：就是普通key的单击； 2、双击事件：500ms内同一按键单击两次； 3、长按事件：同一按键长按超过1000ms（系统中长按事件为500ms）； 4、组合按键：两个以上按键同时按住；
asp.net获取站点根目录下子目录的名称 hvt .net C#asp.net hovertree Web Forms
使用Visual Studio建立一个.aspx文件(Web Forms)，例如hovertree.aspx,在页面上加入一个ListBox代码如下： <asp:ListBox runat="server" ID="lbKeleyiFolder" /> 那么在页面上显示根目录子文件夹的代码如下： string[] m_sub
Eclipse程序员要掌握的常用快捷键 justjavac java eclipse 快捷键 ide
判断一个人的编程水平，就看他用键盘多，还是鼠标多。用键盘一是为了输入代码（当然了，也包括注释），再有就是熟练使用快捷键。曾有人在豆瓣评《卓有成效的程序员》：“人有多大懒，才有多大闲”。之前我整理了一个程序员图书列表，目的也就是通过读书，让程序员变懒。写道程序员作为特殊的群体，有的人可以这么懒，懒到事情都交给机器去做，而有的人又可
c++编程随记 lx.asymmetric C++笔记
为了字体更好看，改变了格式…… &&运算符： #include<iostream> using namespace std; int main(){ int a=-1,b=4,k; k=(++a<0)&&!(b--
linux标准IO缓冲机制研究音频数据 linux
一、什么是缓存I/O(Buffered I/O)缓存I/O又被称作标准I/O,大多数文件系统默认I/O操作都是缓存I/O。在Linux的缓存I/O机制中，操作系统会将I/O的数据缓存在文件系统的页缓存(page cache)中，也就是说，数据会先被拷贝到操作系统内核的缓冲区中，然后才会从操作系统内核的缓冲区拷贝到应用程序的地址空间。1.缓存I/O有以下优点:A.缓存I/O使用了操作系统内核缓冲区，
随想生活暗黑小菠萝生活
其实账户之前就申请了，但是决定要自己更新一些东西看也是最近。从毕业到现在已经一年了。没有进步是假的，但是有多大的进步可能只有我自己知道。毕业的时候班里12个女生，真正最后做到软件开发的只要两个包括我，PS：我不是说测试不好。当时因为考研完全放弃找工作，考研失败，我想这只是我的借口。那个时候才想到为什么大学的时候不能好好的学习技术，增强自己的实战能力，以至于后来找工作比较费劲。我
我认为POJO是一个错误的概念 windshome java POJO 编程 J2EE 设计
这篇内容其实没有经过太多的深思熟虑，只是个人一时的感觉。从个人风格上来讲，我倾向简单质朴的设计开发理念；从方法论上，我更加倾向自顶向下的设计；从做事情的目标上来看，我追求质量优先，更愿意使用较为保守和稳妥的理念和方法。 &