密码专栏 | 超强进阶：PLONK VS Groth16（下）

前言

本篇是“PLONKVSGroth16”的下篇，在上篇中我们对PLONK作了简要介绍，分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么，接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异，以及整体上的性能区别。

证明生成

对于程序qeval,prover需要证明自己知道qeval(x)=35的解，即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我们已经介绍了PLONK的约束形式：门约束与线约束。继续使用之前的例子，约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式，即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案，将答案和计算中的中间参数代入约束表达式，这个组表达式必将是成立的。反之，如果该Prover提供的一组解无法使表达式成立，说明prover并不具备关于该问题解的知识。

这是最朴素的证明验证思路，可以将它看作是“锁”和“钥匙的配对“：该问题约束的构建类似于“打造门锁“，而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然，Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则：Verifier不应该获取到Prover的隐私信息。

洪蜀宁：抗量子密码估计两三年内即可商用:针对微博网友称“如果量子计算发展到可以反推比特币私钥，分叉升级是没有用的。不管是硬，软。比特币系统需要从零重新开始”，金丘区块链研究院院长洪蜀宁回复称：“能破译私钥的量子计算机最快也要10年后才能出现，而抗量子密码估计两三年内即可商用。所以可在5年后进行升级，留一到两年的过渡期进行迁移，然后停止使用所有基于椭圆曲线的签名。”此前洪蜀宁曾表示，算法升级后，比特币持有者只要将自己的币转到新算法地址上就彻底安全了。[2020/12/8 14:32:08]

那么有什么方法能在解锁的同时保护隐私信息呢？

这里我们用到一个简单的数学小技巧：减除，对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶：PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述，在此我们不再赘述具体的转化过程，但需要重复的一点是：根据生成时使用的点值对，生成的多项式在这些点处的取值将恒为0。PLONK同理，此处我们给出两种算法的约束系统转化为多项式后的形式。

Groth16:

99Ex但丁密码DAC规则升级:据官方消息，99Ex交易平台联合但丁密码项目方回馈广大忠实布道用户，在原有收益基础上携99Pool为用户带来全新福利。参与但丁密码，持有DAC享算力贡献值加成；邀请好友，享额外推广收益。详情见官网公告。

据悉，但丁密码DAC是基于优化排序加权算法的公平金融生态。99Ex是一个基于区块链技术应用的多语言创新数字资产交易平台，由OK Capital、科银资本、连接资本、链兴资本，累计交易用户100万+，日均交易用户20万+。[2020/7/23]

PLONK:?我们设门约束多项式为D(X)，线约束多项式为L(X)，那么PLONK的整个约束多项式将被表示为：

可以看到，两者都使用了减除的思路，也就是这里的h(X)和ZH(X)，其具体内容取决于构建约束多项式时取的点值。

动态 | 超3300万个邮箱密码泄漏，攻击者勒索比特币赎金:7月9日，腾讯御见威胁情报中心发文称近期捕获到一起挖矿木马攻击事件，该木马病的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。截止目前，该病已经攻克了1691台服务器，已验证的邮箱帐号超过3300万个，包括Yahoo、Google、AOL、微软在内的邮箱服务均在被攻击之列，最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件，邮件内容就是“我知道了你的密码或隐私信息，你必须在X日内向XXX帐号支付价值XXX美元的比特币，否则，就公开你的隐私信息。” 分析发现，病主模块编写者为“Burimi”，且具有内网传播能力（感染U盘和网络共享目录），安全专家将其命名为“Burimi”挖矿蠕虫。[2019/7/9]

证明与验证

同样在之前的文章中，我们可以看到Groth16的证明规模极小，只包含三个群元素A,B,C。然而，这样优雅的证明实现依赖于它的非通用可信设置，这也是Groth16的一大痛点。在Groth16中，证明方提供A，B，C，验证方基于可信设置提供的参数，构建一个配对验证等式。在验证过程中包含了三次配对操作，也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。

动态 | 美国银行获得企业客户密码存储系统的专利:据cointelegraph消息，美国专利和商标局（USPTO）昨日公布，美国银行（BOA）赢得了为企业存储客户的加密存款的专利。该专利用于存储与客户帐户相关联的私钥，确定公钥以及生成用于存储的“库密钥”的方法。[2018/11/14]

Groth16证明：

Groth16验证：

相比之下，PLONK的证明验证将会复杂得多，这也是使用通用可信设置付出的代价。从验证方角度看，由于可信设置参数缺少了包含问题具体内容，从而无法帮助其构建一些制约证明多项式的值。因此，如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。

美国密码学专家：首个通过主网测试的闪电网络软件是一场实验的开端，而不是仅仅是成功的果实:关于闪电网络实验室本周四发布了闪电网络LND 0.4-beta的重磅级好消息，来自美国约翰霍普金斯大学的密码学专家马修?格林(Matthew Green)近日在推特上写道：“许多人将闪电网络LND 0.4-beta——首个通过主网测试的闪电网络软件视为成功的果实，而不是一项刚刚才开始、充满挑战的实验。”[2018/3/17]

结合前述的约束多项式，我们可以对t(x)中出现的每一项都构建一个承诺，以实现验证方的验证。PLONK证明的具体内容如下，包含了两个点处的验证：Wz(X)为多个多项式的同点承诺，Wzw(X)则为另一个点处的对z(X)的承诺。

最后，PLONK的验证在原文中也被归纳为一个简洁的公式，实际上就是将上面提到的两个点处的承诺简单相加，具体等式如下所示：

以上就是PLONK和Groth16算法内容的具体对比结果，讲了这么多冗长的公式变换，两者在性能层面的差距究竟如何呢？

性能比较

在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较，Table2则是验证阶段的性能。可以看出，在验证上，两者的差距不大，Groth16比PLONK多了一次配对运算；而在证明方面我们遗憾地发现，Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK，尤其当它工作在fast模式时，所使用的SRS长度是所有算法中最短的。

▲验证阶段性能比较

▲证明阶段性能比较

前置知识

多项式减除

顾名思义，化减为除：若我们需要证明一个多项式f(x)在点a的取值为b，也就是证明f(a)-b=0；那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示：

设多项式f(x)且f(a)=b，则存在一个多项式g(x)，使得：f(x)-b=g(x)(x-a)

kate承诺Kate承诺是由Kate，Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式，本文仅介绍PLONK中使用的常用形式，详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x)，Kate承诺的具体步骤如下：

1）构造f(x)在点a处的承诺C

C：f(a)

2）选取点z，执行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3）给定f(z),C和Wz，验证Kate承诺

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部内容，如有任何疑问，欢迎添加小助手桔子加入技术交流群，在这里，你想知道的都会得到解答～

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

标签：PLOLONROTGROSociety of Galactic Explorationpoloniex交易所排名Orion ProtocolGROOMER

比特币价格今日行情热门资讯