WIT:技术干货 | 理解零知识证明算法之Bulletproofs：Range Proof I_Witee

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：1.用于rangeproof；2.用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。

Rangeproof

1.?预备知识

aL：表示向量{a1,a2……an}

2n：表示向量{20,21…2n-1}

<a,b>：表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……an*bn}，结果是一个向量

2.?证明

Alice想要证明

v?

=>则，需要证明一个relation得成立，如下所示：

{：V=grhv^v?}

public-x??????????witness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1,a2……an}?{0,1}n，且满足<aL,2n>=v。因此，证明者需要证明以下几个等式相等：

币赢Defi专区Miniswap成为首个基于可编程 ZK-Rollups 技术的 layer-2 去中心化平台:据官方消息，币赢Defi专区Miniswap首家开发针对DeFi的“Derivative”智能合约语言并将其将引入支持ZK-rollup的 Layer2网络。据悉，此项Layer2技术可除了实现0 Gas费，解决DEX交易拥堵，降低DEX交易成本，提高DEX交易效率之外，其“Derivative”智能合约语言还能够方便开发者进行二次开发，增强其生态可拓展性。

币赢MINI当前报价0.0789U，24小时涨幅15.56%[2021/1/6 16:33:24]

V=grhv????(1)

<aL,2n>=v???(2)

aLoaR=0n??(3)

aR=aL-1n???(4)

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)(4)确保了a

L元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

3.?2n+1个约束转换成1个约束

=>预备：从Zp中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n。

dYdX与StarkWare合作以集成Layer-2扩容技术:金色财经报道，由Andreessen Horowitz等公司支持的非托管交易所dYdX正在与StarkWare合作，将该公司的Layer-2扩容技术集成到其永续合约产品中。[2020/8/19]

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

1.验证者随机选取一个数y发送给证明者；

2.证明者要证明：

<aL,2n>=v(5)

<aL,aRoyn>=0???????(6)

<aL-1n-aR,yn>=0???(7)

同理，等式(5)确保了v的范围，等式(6)(7)确保了a

L元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

1.验证者随机选取一个数z发送给证明者：

2.证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：

z2*<aL,2n>+z*<aL-1n-aR,yn>+<aL,aRoyn>=z2*v???(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积

声音 | TON Labs首席技术官回应监管机构对Telegram区块链项目缺乏兴趣的原因:针对Telegram的区块链项目Telegram Open Network（TON），decrypt在与十几个监管机构和中央银行联系后获悉，监管机构对此的回应范围从“无可奉告”到“无话可说”。德国中央银行的一位发言人表示：“我们没有关于TON的任何具体信息。因此，我们无法对此应用发表评论。加拿大隐私事务专员办公室发言人补充说：“鉴于我们没有机会深入研究该技术，我们无法发表评论。” 欧洲中央银行发言人说：“这似乎是另一个加密实验，对于现阶段的监管者/监督者来说，并不是一个真正的问题。”欧洲数据保护主管的一位发言人说：“确实没有太多信息。Telegram将必须应用欧盟通用数据保护条例（GDPR）；这里不需要针对TON制定特定的规定。Telegram将必须履行所有合规义务。”对此，TON Labs的首席技术官Mitja Goroshevsky表示，监管机构对此缺乏兴趣是因为Facebook领导的Libra协会与TON有很大不同。 Libra协会根本没有去中心化权力，甚至不能称Libra为加密货币。另一方面，TON并非试图成为没有银行牌照的支付机构，这只是一个去中心化的区块链。TON Labs策略副总裁Pavel Prigolovko表示，监管取决于TON的权力下放。TON正在竭尽全力促进权力下方。[2019/9/26]

4.?三个点积优化成1个点积

动态 | 腾讯Q2财报：受5G、人工智能和区块链技术成熟等利好因素，金融科技将迎来又一战略机遇期:腾讯发布Q2财报，在第二季度中，腾讯在金融科技方面动作频频。6月19日，腾讯发布了两项重要人事任命，正式敲定了香港虚拟银行董事长和金融科技板块的两位新负责人——赖智明和林海峰。据腾讯方面表示，受5G、人工智能和区块链技术成熟、粤港澳大湾区规划出台等众多利好因素带动，金融科技2019年迎来发展的又一战略机遇期，新任负责人将带领腾讯金融科技拥抱新机遇。[2019/8/15]

=>z2*<aL,2n>+z*?<aL-1n-aR,yn>+<aL,aRoyn>=z2*v

=><aL,z2*2n>+<aL,z*yn>-<z*1n,yn>-<z*aR,yn>+<aL,aRoyn>=z2*v

=><aL,aRoyn+z*yn+z2*2n>-<z*1n,yn>+<z*1n,ynoaR>=z2*v

=><aL,aRoyn+z*1noyn+z2*2n>-<z*1n,yn+ynoaR>=z2*v

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,yn+ynoaR>=z2*v

声音 | 物美集团总裁张斌：建议率先采用区块链等技术发展武汉:近日，物美集团总裁张斌表示：武汉既是一个工业城市，更是中国最重要的商业城市，以商业的全面数字化推动武汉的消费全面升级，武汉大有文章可做。建议用好人工智能、云计算、大数据、区块链等技术，成为全国率先的典范；要运行现代流通技术，改造传统商业企业，进行混合所有制改造，使武汉的商业焕发青春。[2018/10/24]

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,(aR+z*1n)oyn+z2*2n-z*1n*yn+yn-z2*2n>?=?z2*v

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>-<z*1n,-z*1n*yn+yn-z2*2n>=?z2*v

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,-z*1n*yn+yn-z2*2n>

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,(-z*1n+1n)*yn>-<z*1n,?z2*2n>

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+(z–z2)*<1n,yn>-z3*<1n,2n>???(9)

=>?令

L=?aL-z*1n

R=?(aR+z*1n)oyn+z2*2n

δ=?(z–z2)*<1n,yn>-z3*<1n,2n>

5.验证：

1.证明者把L/R/V发送给验证者；

2.验证者事先算好δ

3.验证者根据L算出来aL，根据<aL,2n>=v算出v

4.验证者根据L,R,v,δ验证等式<L,R>=z2*v+δ

因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.?一个零知识证明协议

由于L,R包含了v的相关信息，因此，我们需要添加两个盲因子s

L

、s

R来隐藏a

L，a

R。如公式(10)(11)所示：

l(X)=(aL-z*1n)+sL*X)??(10)

r(X)=(aR+z*1n+sR*X)oyn+z2*2n???(11)

此时，定义公式(12)

t(X)=<l(X),r(X)>=t0+t1*X+t2*X2???(12)

可以看出系数t

0是l(x)和r(x)常数项的乘积，即满足：

t0=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

l(x)=(aL-z*1n)+sL*x)

r(x)=(aR+z*1n+sR*x)oyn+z2*2n

需要校验：

P=A*Sx*g(-z)*(h`)z*yn+z^2*2^n

=hαgaLhaR*(hρgsLhsR)x*g(-z)*(h`)z*y^n+z^2*2^n

=hαgaLhaR*?hρxgsL*xhsR*x*g(-z)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*haR+sR*x*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)+z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x+z*1^n)+z^2*2^n

=?hμgl(h`)r

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0+t1x+t2x2

需要校验：

=>gthτx=?Vz^2*gδ*T1x*T2x^2

=>gthτx=?(hrgv)z^2*gδ*(gt1)x*(hτ1)x*(gt2)x^2*(hτ2)x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gz^2*v+δ+t1*x+t2*x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gt0+t1*x+t2*x^2

=>t=?t0+t1*x+t2*x2&&τx=?z2*r+τ1*x+τ2*x2

=>当且仅当t和τxwelle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共{

l/r/t/

τ

x

/

μ

/T1/T2/A/S}个元素给验证者，总共2n+3个Z

p元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))

附录

1.Bulletproofs论文：

chrome-extension://cdonnmffkdaoajfknoeeecmchibpmkmg/assets/pdf/web/viewer.html?file=https%3A%2F%2Feprint.iacr.org%2F2017%2F1066.pdf

标签：WITTERITTWEBWiteetera币官网Kitty LadyGeo Web

Filecoin热门资讯