FOA:如何将交互式证明改造为非交互式？_DogZVerse

作者：康水跃，FoxTechCEO；孟铉济，FoxTech首席科学家

前言

密码学当中的零知识证明技术在web3世界有着广泛的应用，包括进行隐私计算、zkRollup等等。其中Layer2项目FOX所使用的FOAKS就是一个零知识证明算法。在上述的一系列应用当中，对于零知识证明算法而言，有两方面属性极为重要，那就是算法的效率以及交互性。

算法效率的重要性不言而喻，高效的算法可以明显的降低系统运行时间，从而降低客户端延迟，显著的提高用户体验和效率，这也是FOAKS致力于实现线性证明时间的一个重要原因。

另一方面，从密码学的角度来讲，零知识证明系统的设计往往依赖证明者和验证者的多轮交互。例如在许多介绍零知识证明的科普文章当中都会使用的「零知识洞穴」的故事当中，证明的实现就依赖于阿里巴巴和记者多轮的信息传递交互才能实现。但是事实上，在许多应用场景当中，依赖交互会使得系统不再可用，或者极高的增加延迟。就像在zkRollup系统当中，我们期望证明者能够在本地，不依赖于和验证者交互的情况下就计算出正确的证明值。

耐克Web3平台.SWOOSH“OurForce1”FirstAccess销售时间将延长:5月17日消息，耐克旗下 Web3 可穿戴设备平台 .Swoosh 宣布由于技术问题，其数字运动鞋系列Our Force 1的 First Access 销售延长至北京时间 5 月 18 日 14:59，原定于 5 月 18 日 00:00 的 General Access 销售将被推迟。.Swoosh 称，此前英国和其他欧洲国家 / 地区的许多 .SWOOSH 会员都遇到了 2FA 和电话验证问题，当前该问题已解决。此外，.Swoosh 在其博客文章中强调 Our Force 1不支持任何加密货币支付。[2023/5/17 15:08:00]

从这个角度说，如何将交互式的零知识证明协议改造为非交互式，就是一个很有意义的问题。在这篇文章当中，我们将介绍FOX使用经典的Fiat-Shamir启发式来生成Brakedown中的挑战从而实现非交互式协议的过程。

零知识证明中的Challenge

零知识证明算法随着应用的铺开而变得异常火爆，近些年也诞生了包括FOAKS、Orion、zk-stark等在内的各种算法。这些算法，以及密码学界早期的sigma协议等的核心证明逻辑都是证明者先将某个值发送给验证者，验证者通过本地随机数产生一个挑战，将这个随机产生的挑战值发给证明者，证明者需要真的有知识才能以大概率做出通过验证者的响应。例如在零知识洞穴当中，记者抛一个硬币，告诉阿里巴巴从左侧出来还是从右侧出来，这里的「左和右」就是对阿里巴巴的挑战，他如果真的知道咒语，就一定可以从要求的方向走出来，否则就有一半的概率失败。

Nike将在.Swoosh上发布其首个数字运动鞋系列:金色财经报道，运动品牌Nike将在其最近推出的.Swoosh平台上发布其第一NFT运动鞋系列。这款名为Our Force 1（OF1）的虚拟运动鞋，从4月18日开始，耐克将开始向选定的.Swoosh用户空投 \"海报\"，可以参与5月8日的预售。5月10日，整个.Swoosh社区将能够通过其市场购买这些数字商品。

用户可以选择两种数字盒子--\"Classic Remix \"和 \"New Wave\"盒子，每种盒子类型对应不同的设计，包括由四名耐克粉丝在1月共同创造的设计。每个盒子的价格为19.82美元，是对Air Force 1运动鞋首次发布年份的致敬。[2023/4/18 14:09:55]

这里我们注意到，Challenge的生成是一个很关键的步骤，它有两个要求，随机和不可被证明者预测。第一点，随机性保证了它的概率属性。第二点，如果证明者可以预测挑战值那就意味着协议的安全性被破坏了，证明者没有知识也可以通过验证，可以继续类比，阿里巴巴如果能预测记者要求他从哪边出来，他即使没有咒语也可以提前进入那一边，结果表现出来一样可以通过协议。

耐克Web3平台.SWOOSH：Our Force 1系列即将上架:金色财经报道，据耐克Web3平台.SWOOSH在其官方博客宣布，Our Force 1系列即将上架，其中将包括Nike Air Force 1 Low的独特数字版本，旨在向耐克五十周年致敬。此外，.SWOOSH还将推出两个OF1 Box，分别是：Classic Remix和New Wave，为了确保公平和公正，OF1 Boxes将在官方平台SWOOSH.NIKE上发售，而且所有.SWOOSH会员都有资格购买。

此前报道，耐克于2022年11月宣布推出新Web3生态系统平台“Dot Swoosh”。[2023/4/6 13:48:52]

所以我们需要一种办法，能够让证明者自己本地生成这样一个不可预测的随机数，同时还能够被验证者验证，这样就可以实现非交互式的协议。

哈希函数

哈希函数的名字对我们来说或许并不陌生，无论是在比特币的共识协议POW当中担任挖矿的数学难题，还是压缩数据量，构造消息验证码等等，都有哈希函数的身影。而在上述不同的协议当中，其实是运用了哈希函数的各种不同性质。

Ember Sword从Polygon迁移至ImmutableX:11月6日消息，Ember Sword表示已与以NFT为中心的以太坊扩展解决方案Immutable X建立合作伙伴关系，从Polygon迁移至ImmutableX的程序将在未来几个月内完成。[2021/11/7 6:36:12]

具体来讲，安全的哈希函数的性质包括以下几点：

压缩性：确定的哈希函数可以将任意长度的消息压缩成为固定长度。

有效性：给定输入x，计算输出h是容易的。

抗碰撞性：给定一个输入x1，希望找到另一个输入x2，x1x2，h=h，是困难的。

注意，如果哈希函数满足抗碰撞性，那么必然满足单向性，也就是说给定一个输出y，要找出x满足h=y是困难的。在密码学当中，还不能构造出理论上绝对满足单向性的函数，但是哈希函数在实际应用当中可以基本视作单向函数。

这样一来，可以发现上述的几种应用分别对应于哈希函数的几点不同的性质，同时我们说，哈希函数还有一个很重要的作用是提供随机性，虽然密码学理论当中要求的完美的随机数生成器目前也无法构造，但是哈希函数在实际当中同样可以充当这个角色，这就为我们后文介绍的Fiat-Shamir启发式的技巧提供了基础。

Celo生态系统验证机构Censusworks提议将cGLD改名为Celo:Celo生态系统的验证机构Censusworks今日发布博客，提议将Celo Gold（cGLD）改名为Celo（CELO），这将明确区分Celo原生资产和Celo的一系列稳定币。Censusworks表示，Celo Gold是黄金标准的一个很好比喻，但在实践中并没有真正起作用，Celo Gold与实际黄金的价格无关。[2020/6/3]

Fiat-Shamir启发式

事实上，Fiat-Shamir启发式就是利用哈希函数来对前面生成的脚本进行哈希运算，从而得到一个值，用这个值来充当挑战值。

因为将哈希函数H视作一个随机函数，挑战是均匀随机的被选择，独立于证明者的公开信息和承诺的。安全分析认为Alice不能预测H的输出，只能将其当作一个oracle。在这种情况下，Alice在不遵循协议的情况下做出正确响应的概率(特别是当她不知道必要的秘密时)与H的值域的大小成反比。

图1:利用Fiat-ShamirHeuristic实现非交互式证明非交互式FOAKS

在本节，我们具体展示Fiat-Shamir启发式在FOAKS协议当中的应用，主要是用来产生Brakedown部分的挑战，从而实现非交互式的FOAKS。

首先我们看到，在Brakedown生成证明的步骤当中，需要挑战的步骤是「近似性检验」以及MerkleTree的证明部分。对于第一点原本的过程是证明者在这里需要验证者产生的一个随机向量，计算过程如下图所示：

图2:非交互证明FOAKS中的BrakedownChecks

现在我们使用哈希函数，让证明者自己产生这个随机向量。

令0=H(C1,R,r0,r1)，对应的，在验证者的验证计算当中，也需要增加这个计算出0的步骤。根据这样的构造，可以发现，在生成承诺之前，证明者并不能提前预测挑战值，于是不能提前根据挑战值来对应的「作弊」，也就是对应的生成假的承诺值，同时，根据哈希函数输出的随机性，这个挑战值也满足随机性。

对于第二点，令I=H(C1,R,r0,r1,c1,y1,c0,y0)。

我们使用伪代码给出改造后非交互式的Brakedown多项式承诺当中的证明和验证函数，这也是FOAKS系统当中使用的函数。

functionPC.Commit()：

Parsewasakkmatrix.TheproverlocallycomputesthetensorcodeencodingC1，C2，C1isaknmatrix，C2isannmatrix.

forido

ComputetheMerkletreerootRoott=Merkle.Commit(C2)

ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.

functionPC.Prover(,X,R)

Theprovergeneratesarandomvector0Fkbycomputing:0=H(C1,R,r0,r1)

Proximity:c0=i=0k-10C1,y0=i=0k-10w

Consistency:c1=i=0k-1r0C1,y1=i=0k-1r0w

Proversendsc1,y1,c0,y0totheverifier.

ProvercomputesavectorIaschallenge,inwhichI=H(C1,R,r0,r1,c1,y1,c0,y0)

foridxIdo

ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier

functionPC.VERIFY_EVAL(X,X,y=(X),R)

Proximity:idxI,C0==<0,C1>andEC(y0)==C0

Consistency:idxI,C1==<r0,C1>andEC(y1)==C1

y==<r1,y1>

idxI,EC(C1)isconsistentwithROOTidx,andROOTidx』sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语

许多的零知识证明算法在设计之初都依赖证明者和验证者双方的交互，但是这种交互式证明协议不适合用在追求高效，网络通讯开销大的应用场景下，比如链上数据隐私保护和zkRollup等等。通过Fiat-Shamir启发式，可以在不破坏协议安全性的条件下让证明者本地生成随机数「挑战」，并且可以被证明者验证。根据这种方法，FOAKS同样实现了非交互式的证明，并应用在系统当中。

标签：FOAOAKVERROOFOAM Tokencloak币地址DogZVerseROOT价格

火必APP热门资讯