原文作者:FoxTechCEO康水跃,FoxTech首席科学家孟铉济
前言:如果密码学家没有发现张量积和多项式取值之间的联系,那就很难出现多项式承诺协议Brakedown,也就不可能诞生基于Brakedown的Orion、以及FOAKS这类全新的快速算法。
在许多依赖多项式承诺的零知识证明系统当中,使用了不同的承诺协议。根据a16z的JustinThaler在2022年8月文章“MeasuringSNARKperformance:Frontends,backends,andthefuture”的评估,Brakedown虽然有较大的ProofSize,但是无疑是当下最快的多项式承诺协议。
FRI、KZG、Bulletproof是更为常见的多项式承诺协议,但速度是它们的瓶颈。zkSync采用的Plonky、PolygonzkEVM采用的Plonky?2、Scroll采用的Ultra-Plonk等算法都是基于KZG的多项式承诺。Prover涉及到大量的FFT计算和MSM运算生成多项式和承诺,这两者都会带来大量的计算负担。虽然MSM有运行多线程加速的潜力,但需要大量内存,即使在高并行下也很慢,而大型FFT则严重依赖算法运行时数据的频繁洗牌,难以通过分布式加速跨计算集群加载。
正是由于有了更为快速的多项式承诺协议Brakedown,才使这类运算的复杂度大幅降低。
FOAKS即FastObjectiveArgumentofKnowledges,是由FoxTech提出的一种基于Brakedown的零知识证明系统框架。FOAKS在Orion的基础上进一步减少FFT运算,目标是最终消除FFT。此外,FOAKS还设计出一种全新的非常精妙的证明递归方式来减少证明大小。FOAKS框架的优势在于在实现线性证明时间的基础上有着较小的证明大小,非常适合应用于zkRollup场景当中。
以太坊跌破1600美元,24小时跌幅4.37%:金色财经报道,行情显示,以太坊跌破1600美元,现报价1565.01美元,24小时跌幅4.37%。[2023/3/3 12:40:07]
下文我们将详细介绍FOAKS所使用的多项式承诺协议Brakedown。
在密码学当中,承诺协议由证明者对某一个秘密值进行承诺,生成一个公开的承诺值,这个承诺值具有绑定性和隐藏性,之后提交者需要打开此承诺并将消息发送到验证者,以验证承诺与消息之间的对应关系。这一点,使得承诺协议和哈希函数的作用有许多共通之处,但是承诺协议往往依赖于公钥密码学领域的数学结构。而多项式承诺是一类对于多项式的承诺方案,也就是说被承诺值是多项式。而同时多项式承诺协议当中还包含了在给定的点取值并给出证明的算法,这就使得多项式承诺协议本身成为一类重要的密码学协议,是许多零知识证明系统的核心部分。
而在最新的密码学领域的研究当中,由于发现了张量积和多项式取值之间的联系,所以诞生了一系列与此相关的多项式承诺协议,Brakedown是其中的代表性协议。
在详细介绍Brakedown的协议细节之前,需要先了解一些基础知识。我们需要先了解线性码、抗碰撞哈希函数、默克尔树、张量积的运算以及多项式取值的张量积表示。
首先是线性码。一个消息长度为k,码字长度为n的线性码是一个线性子空间
C∈Fn,使得存在一个从消息到码字的单射,称为编码,记作EC:Fk→C。任意的对于码字的线性组合仍然是一个码字。两个码字u,v的距离即他们的汉明距离,记作△(u,?v)。
Doodles联创通过抵押49枚Doodles贷出近250枚ETH:金色财经报道,Moonbirds母公司Proof研究总监NFT statistics.eth发推称,Doodles联合创始人poopie目前通过NFTfi将共计49个Doodles作为抵押品,共获得近250枚ETH的贷款,APR为29%-55%不等,到期日绝大部分在2月18日。此外在2月12日poopie以17.2973 ETH的价格购买Doodle 3552,该Doodle上次成交价为15 ETH。
poopie回复称,“在过去的几年里成功贷款1000多枚ETH,有一次我睡着的情况下从贷款人那里买回Doodles,尽管FP更低。”[2023/2/13 12:03:28]
最短距离为d=minu,?v△(u,?v)。这样的码记作线性码,用d/n表示码的相对距离。
其次是抗碰撞哈希函数与默克尔树。
使用H:{?0,?1?}2?λ→{?0,?1?}λ表示一个哈希函数。默克尔树是一种特殊的数据结构,可以实现对于2?d个消息的承诺,生成一个哈希值h,在打开任何消息时候需要d?1个哈希值。
默克尔树可以被表示为一个深度为d的二叉树,其中L个消息元素m1?,?m2?,...,?ml分别对应树的叶子。树的每一个内部节点都由它的两个子节点进行哈希计算得出。打开消息mi时,需要公开从mi到根节点的路径。
用以下记号来表示:
h←Merkle.Commit(m1?,...,?ml)
(mi,πi)←Merkle.Open(m,?i)
摩根大通分析师:以太坊Shanghai升级或会导致Coinbase质押收入激增:1月23日消息,摩根大通分析师表示,以太坊Shanghai升级可能会导致Coinbase的质押收入激增,为Coinbase开创一个新的质押时代。该投资银行估计,在上海升级之后,Coinbase上95%的散户投资者都可以参与以太坊的质押,这将使该交易平台每年产生2.25亿美元至5.45亿美元的收入。[2023/1/23 11:27:18]
{?0,?1?}←Merkle.Verify(πi,?mi,?h)
图1?:默克尔树
我们还需要了解张量积的运算是怎么做的。数学上,张量是向量和矩阵向高维空间的扩展,是很重要的研究对象,详细的讨论张量超出本文的研究范畴,这里只介绍向量和矩阵的张量积运算。
图2??:向量和矩阵的张量积运算
紧接着,我们需要知道多项式取值的张量积表示。
当中提到,多项式的取值可以被表示成张量积的形式。在这里我们考虑多线性多项式的承诺。
具体来讲,给定一个多项式,他在向量x0?,?x1?,...,?xlogN-1?的取值可以写成:
根据多线性的定义,每一个变量的次数是0或1?,因此,这里有N个单项式和系数,以及logN个变量。令
,其中i0?i1?...ilogN-1?是i的二进制表示。令w表示多项式系数,
同样的,定义
令
。于是有X=r0??r1?。
Bitfinex宣布推出衍生资产CSTs,以应对以太坊合并的所有潜在可能:8月23日消息,加密货币交易所Bitfinex官方宣布,将针对以太坊潜在的分叉可能性推出一种衍生资产——拆分代币(CSTs),CSTs分为ETHW(PoW)和ETHS(PoS),两种代币将在衍生品市场上成对交易。Bitfinex首席技术官Paolo Ardoino表示,推出CSTs是为了就以太坊合并的所有可能性做好准备。
具体来说,Bitfinex假定了三种潜在的场景:
1. 如果以太坊共识未能切换为PoS,ETHS将在CSTs到期日(12月31日)归零,每个ETHW将均可兑换一个ETH。
2. 如果以太坊共识成功切换为PoS,ETHW将在CSTs到期日归零,每个ETHS将均可兑换一个ETH。
3. 如果以太坊共识成功切换为PoS,但分叉的PoW链也能够成功继续运行,用户将同时获得各自链上的ETHS和ETHW代币。[2022/8/23 12:43:38]
从而,多项式取值可以被表示成张量积的形式:?(x0?,?x1?,...,?xlogN-1?)=0??r1?>。
最后,我们来看FOAKS、Orion当中使用的Brakedown的过程。
首先,PC.Commit将多项式系数w划分成k×k的矩阵形式,并将其编码,记作C2?。之后对于C2?的每一列C2?进行承诺建立一个默克尔树,然后再对于每一个列形成的默克尔树树根建立另一个默克尔树,作为最终的承诺。
在取值证明的计算中,需要证明两点,一是近似性,二是一致性。近似性保证了承诺的矩阵确实和编码后的一个码字足够接近。一致性保证y=0??r1?>。
西安市莲湖区开展数字人民币推广宣传:金色财经消息,近日,莲湖区金融办与中国工商银行西安北大街支行联合举办数字人民币推广宣传活动。“数字人民币试点是国家赋予西安市的又一项重大金融改革任务,数字人民币是由中国人民银行发行的法定货币,具有高安全等级、高支付效率、零交易成本等特点。”现场,银行的工作人员耐心讲解,数字人民币既可以有效节约企业的财务成本、又可以有效打击违法犯罪,还能有效化解数字鸿沟。(陕西新闻网)[2022/5/18 3:25:05]
近似性检验:近似性检验由两步组成。首先,验证者发送一个随机向量0给证明者,证明者计算Y0?与C1?的内积,也就是以Y0?的分量为系数对C1?的行计算线性组合。由于线性码的性质,Cy?0?是Yy?0?的码字。之后,证明者证明Cy?0?确实是从被承诺的码字计算出的。为了证明这一点,验证者随机选取t列,证明者打开对应的列并提供默克尔树证明。验证者检查这些列和Y0?的内积和Cy?0?当中对应位置相等。当中证明如果使用的线性码有常数的相对距离,那么被承诺的矩阵就以压倒性的概率与一个码字接近。
一致性检验:一致性检验和近似性检验的流程完全类似。不同之处在于,不使用随机向量Y0?而是直接使用r0?来完成线性组合的部分。类似的,c1?也是消息y1?的一个线性码,并且有
?(x)=1?,?r1?>。当中证明,通过一致性检验,如果被承诺的矩阵与一个码字接近,则以压倒性概率成立y=?(x)。
以伪代码形式,我们给出Brakedown协议的流程:
Publicinput:TheevaluationpointX,parsedasatensorproductX=r0??r1?;
Privateinput:Thepolynomial?,thecoefficientofisdenotedbyw.
LetCbethe-limearcode,EC:FkFnbetheencodingfunction,N=k×k.IfNisnotaperfectsquare,wecanpadittothenextperfectsquare.Weuseapythonstylenotationmattoselectthei-thcolumnofamatrixmat。
functionPC.Commit(?):
Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1?,C2?,C1isak×nmatrix,C2isan×nmatrix.
fori∈do
ComputetheMerkletreerootRoott=Merkle.Commit(C2?)
ComputeaMerkletreerootR=Merkle.Commit(),?andoutputRasthecommitment.
functionPC.Prover(?,X,R)
TheproverreceivesarandomvectorY0?∈Fkfromtheverifier
Proximity?
Consistency?
ProversendsC1?,?y1?,?C0?,?y0?totheverifier.
Verifierrandomlysamplestasanarray?andsendittoprover
foridx∈?do
ProversendsC1?andtheMerkletreeproofofRootidxforC2?underRtoverifier
functionPC.VERIFY_EVAL(πX,?X,?y=?(X),?R)
Proximity:?idx∈?,?CY?0?==0?,?C1?>andEC(Yy?0?)==CY?0?
Consistency:?idx∈?,?C1?==0?,?C1?>andEC(Y1?)==C1?
y==1?,y1>
?idx∈?,EC(C1?)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.
Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.
结语:多项式承诺是一类非常重要的密码学协议,被广泛的应用在许多密码学系统当中,尤其是零知识证明系统。本文详细介绍了多项式承诺Brakedown协议以及和其相关的数学知识,作为FOAKS很重要的底层组件,Brakedown对FOAKS的实例化性能的提升起到了重要作用。
参考文献
:AlexanderGolovnev,JonathanLee,SrinathSetty,JustinThaler,andRiadS.Wahby.Brakedown:Linear-timeandpost-quantumsnarksforr?1?cs.CryptologyePrintArchive.https://ia.cr/2021/1043.
:XieT,ZhangY,SongD.Orion:Zeroknowledgeproofwithlinearprovertime//AdvancesinCryptology–CRYPTO2022:42?ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15?–?18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022:299-328.https://eprint.iacr.org/2022/1010?
:Bootle,Jonathan,AlessandroChiesa,andJensGroth."Linear-timeargumentswithsublinearverificationfromtensorcodes."TheoryofCryptography:18?thInternationalConference,TCC2020,Durham,NC,USA,November16?–?19,2020,Proceedings,PartII18.SpringerInternationalPublishing,2020.
JustinThalerfromA16z?crypto,MeasuringSNARKperformance:Frontends,backends,andthefuturehttps://a16z?crypto.com/measuring-snark-performance-frontends-backends-and-the-future/
张量积的介绍:https://blog.csdn.net/chenxy_bwave/article/details/127288938?
美国洲际交易所旗下的数字资产交易市场Bakkt委托进行的一项研究表明,女性投资者正在快速进入Web3?.0?与加密货币领域,性别差距越来越小.
1900/1/1 0:00:002月24日消息,数字资产金融服务提供商?HashKeyGroup宣布,其已获得香港证券及期货事务监察委员会的批准,旗下?HashBlockchainLimited(“HBL”)可开展虚拟资产平台外场外交易业务(OTC).
1900/1/1 0:00:0021:00-7:00关键词:Kraken、Sushi、苏富比、MagicEden1.KrakenOTC交易主管:投资者仍然对加密货币和注感兴趣;2.蒙大拿州参议院通过保护加密货币矿工的法案;3.
1900/1/1 0:00:00Gate.io理财宝自本月上线多期限定期理财及自动复投机制以来,认购火爆,多款产品均短时售罄。Gate.io已增加售罄产品的仓位也已于日前相继二次售罄.
1900/1/1 0:00:00在过去的几周里,模因硬币见证了巨大的增长。多亏了ElonMusk,ShibaInu、FlokiInu和BabyDogecoin与Dogecoin并驾齐驱.
1900/1/1 0:00:00回顾昨日,双币在盘中大幅回调之后昨日整体录得反弹,以太坊下破1600关口之后依托支撑展开反弹,收复大部分跌幅至最高1680,不过短线上整体延续性依旧较差,昨日短线主要以窄幅震荡为主;比特币退守24000关口,而近两天.
1900/1/1 0:00:00