作者:benlaw.eth
你之前是否阅读过一些零知识证明的文章,但仍一头雾水?这些文章可能:
只以故事和童话作例子来论述ZKP,无法深入其本质。
内含大量密码学术语,数学公式,学术论文等,对初学者而言过于复杂。
本文提供了对ZKP简明扼要的概述,并从数学、密码学和编程角度进一步阐述ZKP的核心要素。
向色盲提供颜色证明
如何向色盲患者证明两个球的颜色确实是不同的?这其实并不复杂:
让他在手里握住两个球,背到背后,然后随机选择交换或不交换两个球的位置,再展示给你看,你告诉他这两个球的位置是否有变化。
在他看来,你可以通过瞎蒙来完成一次证明。不过,如果成千上万次地重复这个过程:如果你总是能说出正确答案,那么靠纯蒙的方式来保持一直正确的概率,是小到可以忽略的。因此可以通过这种方式来向色盲患者证明:两个球的颜色确实不一样,并且我们也有感知和区分的能力。
MetaSleuth:Atlantis执行合约被替换,近100万美元资产被盗:6月11日消息,据 MetaSleuth 数据显示,由于执行一项恶意治理提案,Atlantis 代币与 Unitroller 的执行合约被替换为新创建的 0x613cc5 合约,导致已经批准给 Atlantis 合约的用户资产被转入 0xeade07 地址。除了 0xeade07 地址从 Atlantis 合约中提走的 ATL 代币外,总共有近 100 万美元资产流入 0xeade07 地址(其中一些已经转入 0xd8e918 地址)。MetaSleuth 表示,大量 Atlantis 执行合约在交易中被替换,如果用户已经批准将资产占入一个似乎是 ABep20Delegator 合约,请撤销批准。[2023/6/11 21:29:25]
颜色证明
上述证明过程是典型的零知识证明:
验证者无法在证明过程中获得任何关于颜色的知识,因为经过验证过程后他依然没有区分颜色的能力。
币安合资企业Gulf Binance将于今年第四季度在泰国推出:5月26日消息,币安公告称,币安与 Gulf 合资企业 Gulf Binance 已获得泰国财政部颁发的数字资产运营商许可证,该交易所受泰国证券交易委员会(SEC)监管 ,将于 2023 年第四季度在泰国开展业务。[2023/5/26 9:44:40]
该验证过程是概率性的而非决定性的。
该过程是交互式的,需要多轮交互。不过,零知识证明中也有许多协议,通过高级技巧将证明过程转化成了非互动式的。
掌握知识的证明
我们已经分享了一种现实世界中的零知识证明的例子,接下来再来看一下在二进制世界中如何实现零知识证明。
Arthur是Elon的朋友,并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道,但又不想泄露号码,应该怎么实现呢?
知识证明
一种不成熟的方案是,Elon发布自己电话号码的哈希,Arthur通过一个程序输入哈希的原像,程序进行运算并检查结果。这个方法有一些致命的缺陷:
安全团队:借贷协议Sentiment在Arbitrum网络被盗100万美元:4月5日消息,据PeckShield监测,无许可部分抵押借贷协议Sentiment今日凌晨在Arbitrum网络被盗约100万美元,根本原因在于Balancer的只读可重入性。[2023/4/5 13:45:30]
根据哈希,Betty可以通过暴力破解的方式得到原像,能破解出来的概率是不可忽略的,而且得到的结果几乎是确定性的。
Arthur必须向该程序输入原像。如果程序在Arthur的电脑上,Betty就会对此有疑问:我怎么知道你有没有作弊,你的电脑也许会一直声称你的证明是对的?
如果程序在Betty的电脑上运行,Arthur也会担心,自己输入的信息会不会被窃取,即使程序肉眼可见的代码中并没有窃取信息的命令。
因为无法将程序分开在不同的环境中运行,这个信任问题是难以解决的。
常规的方法在这里碰壁了,是时候让零知识证明出场了!
Helio Protocol:原定回购销毁计划已推迟,HAY重新挂钩需要更多时间:12月6日消息,BSC生态稳定币项目Helio Protocol在社交平台发文表示,其已经开启第一批HAY的回购销毁流程;但原计划将于12月6日完成的回购计划可能无法按时完成,要使HAY价格完全重新挂钩至1美元需要更多时间;Helio向社区保证,重新挂钩HAY仍然是当务之急和首要任务;一旦恢复计划完成,Helio将与社区共享所有相关信息和地址。[2022/12/6 21:25:38]
基于密码学的零知识证明的实现方案
在此我会用零知识证明中的SigmaProtocol来解决问题,因为它比较简单。并且,为了简洁和易于理解,这里不会使用严格的密码学和数学中的定义、术语及推导过程等。
核心流程
使用零知识证明证明一个人有特定的知识,我们采取如下办法:
Sigma协议
定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。
FastAF与基于Solana的NFT项目Degen Apes达成合作:金色财经报道,FastAF和Degenerate Ape Academy合作促进手机上的NFT门控商务。?Degenerate Ape Academy的持有人可以在快速商务应用FastAF上获得独家商品。该伙伴关系为第一个基于Solana的项目提供了一个代币门的用例,该项目净销售额超过100万美元。[2022/9/21 7:11:26]
根据上面的定义,某个拥有知识或能接触到知识的第三方,将知识通过h=g^w(modP)的方式加密后,将h发布出去。
证明者启动零知识证明流程。生成一个随机数r,计算a=g^r,并将a发送给验证者。
验证者生成一个随机数e并发送给证明者。
证明者计算z=r+ew并发送给验证者。
验证者检查g^z==a·h^e(modP)。如果为真,则验证者确实掌握其声称的知识。
好啦,该证明协议到此就结束了!非常简短,但你仍可能对上面的一些数学运算感到困惑,但这不要紧,我们先有个大概印象再深入理解。
数学原理
这套流程背后的核心数学原理是离散对数难题:当P是一个很大的质数时,对于给定的h,很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。
我们来一步一步解析下:
经过加密的知识h=g^w(modP),是难以被暴力破解的。由于求余运算的特点,即使被破解了也不具备单一确定解。这意味着对证明者而言,通过暴力破解来作弊,验证者,是不可行的。
然后我们将3,4,5步作为一个整体来看一下他们为什么要交换这些随机数:
I.证明者并不想暴露其秘密,所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数,让该知识可被自己验证的同时防止证明者作弊,而且不会窥探到证明者的秘密。
II.如果验证者先发送了随机数e,很明显,证明者可以通过编造a=g^z·h^-e来在最终检查中验证者,即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r),但非r本身,来避免可作弊场景,同时不让验证者通过w=(z-r)/e提取到秘密。
III.在收到承诺后,验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息,这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。
通过这种往返交错的结构,我们收获了三个性质:
完备性:当且仅当证明者输入正确知识,验证才能通过。
可靠性:当且仅当证明者输入错误知识,验证才会失败。
零知识性:验证者无法在验证过程中获取任何知识。
上述三点即零知识证明的核心特性。通过数学和密码学,我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远,现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。
Havefun!
进一步了解
模拟器和零知识性
我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力,我们称其为模拟器。
模拟器vs验证者
设想,模拟器在验证者的随机数e生成前就对其进行了篡改,确保其生成后是自己预设的值。根据上面II所说,这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么,验证者总会得出结论模拟器具有知识,然而实际上他并没有。
显然,经过这种思想实验我们可以得出结论,验证者无法在该零知识证明协议中获取任何知识,也即其零知识性是成立的:
零知识性<==?模拟器S,使得S(x)与真实的协议执行不可区分,其中S(x):选择随机的z和e,令a=g^z·h^-e,其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。
抽取器和可靠性
再来想象一下另一种超能力者——抽取器,具有时光倒流的能力。不过这次是抽取器作为验证者,面对一个正常的证明者。
当协议结束时,抽取器发起时间倒流,回到协议的起点,并持有上一轮得到的(z,e,a)。现在,协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事,他又生成了一个一模一样的随机数r以及承诺a=g^r,而抽取器则可以生成新的随机数e'给证明者。
证明者vs抽取器
现在,抽取器获得了:g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').
显然,只要证明者真的掌握了知识,抽取器总是可以将其抽取出来,也即完备性成立:完备性<==?抽取器E,对给定的任何h,在掌握(a,e,z),(a,e',z')且e≠e'的情况下,都能输出ws.t.(h,w)∈R.
完备性
完备性不需要任何特殊角色来证明,因为:g^z=g^r+ew=g^r·(g^w)^e=a·h^e.
第一届ETHShanghai黑客松2022将于05月20日至06月03日于线上举办。我们欢迎所有Web3爱好者、关注者、开发者们参加活动并将提供总计超过15万美金的奖金,最高项目奖金将达到3万美元.
1900/1/1 0:00:00链捕手消息,据TechCrunch报道,基于Polygon区块链的可编程NFT解决方案提供商Revise宣布完成350万美元种子轮融资,AlphaWaveGlobal和8i领投.
1900/1/1 0:00:00链捕手消息,据CoinDesk报道,Web3社交图谱协议CyberConnect完成1500万美元A轮融资,AnimocaBrands和SkylineCapital领投,IOSGVentures,DelphiDigital.
1900/1/1 0:00:00链捕手消息,据Polkadot链上显示,Bifrost于区块高度10535800成功赢得最新一轮Polkadot插槽竞拍,竞拍周期为2年.
1900/1/1 0:00:00作者:taetaehoho.eth原文标题:《ValuingNFTsasCollateral-Overview,Landscape,Pros/Cons》 编译:麟奇,链捕手 我的同事之前详细介绍了一些NFT金融领域的新兴协议.
1900/1/1 0:00:00整理:饼干,链捕手 “过去24小时都发生了哪些重要事件”?1、YugaLabs新项目将取消荷兰式拍卖,Otherdeed以305ApeCoin出售YugaLabs新项目Otherside已取消荷兰式拍卖.
1900/1/1 0:00:00