一文了解零知识证明当中的Sum-check Protocol

原文作者：FoxTechCEO康水跃，FoxTech首席科学家孟铉济

随着比特币、区块链、智能合约等概念的铺开，越来越多的人关注到Web3领域的蓬勃发展。而在技术方面，也有许多开发者关注到支撑区块链底层的密码学协议。在这之中，零知识证明协议以其独特的特性大放异彩，无论是在实现隐私保护，还是在实现?Layer?2?性能扩容的?zkrollup?项目当中，都发挥着关键的作用。

零知识证明是一类算法的统称，到目前为止，研究者发明了包括?Plonk、Groth?16、zkStark、Virgo、Orion、Foaks?等等在内的许多种协议。不同的协议适用于不同的计算场景，复杂度和效率也各有不同，例如?Foaks?就以线性的证明时间和较小的证明长度为优势。

上述的每一种协议，协议目标是相同的，就是证明者希望在不向验证者透露任何关于自己的秘密的信息的情况下让验证者相信自己拥有秘密。sum-checkprotocol?是很多协议的组件，最早在当中被提出。很多计算问题可以被转化成?sum-checkprotocol?能处理的问题，从而生成证明。包括?Foaks?在内的不少协议的底层协议都基于?sum-checkprotocol，在其上进行调整来实现。

Binance发言人：已对可能违反内部政策的员工展开调查:金色财经报道，CNBC最近的一项调查显示，Binance员工据称一直在帮助中国客户绕过交易所KYC控制。对此，Binance一位发言人在接受采访时回应称，明确禁止员工支持用户规避任何法律或政策，公司正在针对最近的指控采取行动，我们已经对可能违反我们内部政策的员工展开调查，包括错误地征求或提出不允许或不符合我们标准的建议。发言人表示，Binance已经实施了高级检测工具，允许交易所过滤受限制司法管辖区的用户，以及来自这些地区的活跃区块链 VPN。

截至发稿时，Binance联合创始人CZ尚未对此事发表公开评论。[2023/3/25 13:25:55]

在?FoxTech?所采用的?Foaks?证明系统当中，该协议同样发挥着重要的作用。具体来讲，为了实现对于某一操作码?opcode?正确性的证明，需要先将其转化为算术电路，之后转换为矩阵，最终生成多项式，对多项式应用证明系统当中的算法，在最后压缩证明的部分当中，同样将证明者和验证者之间的交互过程转换为计算某个和式，也就是?sum-checkprotocol?的过程。

美股三大指数集体收跌，标普500指数跌2.48%:金色财经报道，美股三大指数集体收跌，道指跌2.25%，纳指跌3.26%，标普500指数跌2.48%，大型科技股普跌。[2022/12/16 21:47:46]

图?1:Sum-checkProtocol?所在环节

1.协议目标

协议的目标非常简单且容易理解。

假设我们有一个定义在有限域?F?上的?v?元多项式，记作?g。协议的目标是计算和式：

和在?zkRollup?当中考虑的“外包计算”的场景类似，在应用当中，上述式子的计算量会非常大，我们希望将这个式子的计算交给证明者，之后证明者向验证者证明自己的计算结果是正确的。

2.协议假设

首先，需要明确在这个协议当中验证者的能力。我们假设验证者拥有可以计算函数?g?的预言。也就是说，对于验证者而言，确定某个输入?r?1,...,?rv?之后，计算?g(r?1,...,?rv)是容易的。但是计算完整的结果?H?是困难的。

报告：非洲5300万加密货币用户中有超过三分之一来自尼日利亚:金色财经报道，根据 Triple A 最新的加密货币所有权数据，非洲大陆现在估计有 5300 万加密货币所有者。这约占全球估计总数 3.2 亿人的 16.5%。在非洲的所有加密货币持有者中，尼日利亚占总数的三分之一以上，即略高于 2200 万。

在全球范围内，尼日利亚的加密货币持有者数量排名第四，而美国是排名第一的国家，拥有 4600 万加密货币持有者。根据数据，印度和巴基斯坦位居第二，分别拥有 2740 万和 2640 万加密货币所有者。[2022/8/31 12:59:01]

事实上，在现实应用当中，预言不会存在，但是可以通过某种手段实现，例如我们可以让证明者帮助验证者计算这个值，并用更多的技巧附加正确性的证明。

第二点，关于协议的目标，事实上?sum-check?协议可以对于任意的集合?B?计算?bBmg(b)，但是不失一般性的，我们假设?B={?0,?1?}。

三箭资本欠Moonbeam基金会逾 2700 万美元:7月19日消息，三箭资本欠Moonbeam基金会超过2700万美元，包括1700万美元的稳定币和当前价值1000万美元的Moonbeam代币。Moonbeam董事Aaron Evansa在6月写信给三箭，我们重申要求立即偿还我们的两项未偿贷款本金（7MM USDC和10MM USDT），该协议于2021年9月20日由Moonbeam基金会与3AC达成，3AC以12%的利率借入了开放式贷款。另外，Moonbeam 还聘请了 3AC 作为该网络的 moonriver (MVR) 和 glimmer (GLMR) 代币的“流动性顾问”。（CoinDesk）[2022/7/19 2:23:42]

如果证明者是诚实的，应当成立?H=g?1(?0)g?1(?1)。验证者验证，若通过则选择随机数?r?1?发送给证明者。注意到，根据协议的假设，证明者可以完成上述验证。

安徽卫视首发数字藏品:金色财经报道，据安徽卫视官方公众号，安徽卫视发行“安徽卫视logo”创意数字藏品，据悉，这是中国首个广电领域内以卫视LOGO为主题的数字藏品。“该藏品将安徽卫视的经典LOGO为核心设计元素，打造了“赛博朋克、徽派水墨、绿色生态、科技未来、时尚浪漫”5款不同风格的藏品，藏品将以盲盒形式发行，发行总数为10000份。本次发行的“安徽卫视logo”作为“数字地标”共创计划首个安徽主题系列，后续将有新的玩法，持续通过数字化赋能实体文旅。[2022/5/21 3:32:30]

我们用?degi(p)来表示多元多项式?p?当中，第?i?个变量的次数。g?1(X?1)的次数为?deg?1(g)，所以我们知道?g?1?可以用?deg?1(g)?1?个域元素表出。

第?j(j>1)轮：

如果证明者是诚实的，应当成立?gj-1(rj-1)=gj(?0)gj(?1)。验证者验证，若通过则选择随机数?rj?发送给证明者。

第?v?轮：

Completeness:若证明者拥有有效的?Witness，则验证者会以不低于的概率接受证明；

Soundness：若证明者没有有效的?Witness，则验证者会以低于?negl的概率拒绝证明

Succinctness:Proof?的?Size?必须远小于?Witness?的?Size；

Zero-knowledge：验证者无法通过证明的交互过程获取任何关于?witness?的信息

#其中?negl为任意可忽略的函数

Sum-checkProtocol?的应用

在许多的零知识证明算法当中，sum-checkprotocol?都在发挥着重要的作用。许多问题的证明，都依赖于将原始的问题转化为?sum-check?的形式，再完成后续的步骤。

例如，可以利用?sum-checkprotocol?来计算一个无向图中的三角形数量。

首先，我们使用邻接矩阵?A?表示无向图?G，设?E?为其边集合，则?Ai,?j=?1(i,?j)E，也就是说若点?i,?j?之间存在一条边则?Ai,?j=?1?否则为?0?。对于点?i,?j,?k，三点构成三角形的条件是?Ai,?j=?1,?Ai,?k=?1,?Aj,?k=?1?。

接下来记矩阵?A?为一映射表，表示的映射为?f:{?0,?1?}logn{?0,?1?}logn{?0,?1?}，其中?logn?为?i，j?的二进制长度。所以对于点?i,?j,?k，三点构成三角形的条件进一步可以表示为?f(i,?j)f(i,?k)f(j,?k)=?1?。

此外，在许多证明系统当中，都采用了?sum-checkprotocol?作为底层逻辑进行构造。下图展示了根据在?sum-check?基础上进行不同改造得到的不同证明系统。

图?4:Sum-checkprotocol?在四类证明系统当中的应用

图?5:Sum-checkprotocol?在简洁证明方面的具体应用

产业界同时给予越来越多的关注。

CarstenLund,LanceFortnow,HowardKarloff,andNoamNisan.Algebraicmethodsforinteractiveproofsystems.J.ACM,39:?859?–?868,October1992.

https://people.cs.georgetown.edu/jthaler/sumcheck.pdf

https://zkproof.org/2020/03/16/sum-checkprotocol/

https://eprint.iacr.org/2021/333.pdf

介绍?sum-check?的中文博客?https://blog.csdn.net/mutourend/article/details/111610754?

标签：HECCHESUMPROcoincheck交易平台未成年可以注册吗BABYCHEDDA币Omni Consumer ProtocolXPRO价格

LTC热门资讯