上一篇主要描述了PLONK协议里的一个核心部分,用置换校验的方法去证明电路门之间的一致性;接下来,将继续分享如何证明门的约束关系得成立,以及整体的协议剖析。
门约束
举个简单的例子,假如存在一个电路,电路中仅有3个乘法门,对应的约束如下:
L1*R1-O1=0
L2*R2-O2=0
L3*R3-O3=0
进行多项式压缩:定义多项式函数L(X),R(X),O(X)满足:
L(1)=L1,R(1)=R1,O(1)=O1
L(2)=L2,R(2)=R2,O(2)=O2
L(3)=L3,R(3)=R3,O(3)=O3
此时,定义新的多项式函数F(X),令F(X)=L(X)*R(X)-O(X)
则有:
F(1)=L(1)*R(1)-O(1)=0
F(2)=L(2)*R(2)-O(2)=0
F(3)=L(3)*R(3)-O(3)=0
也就是表明:如果多项式函数F(X)在X=1,2,3处有零点,则说明门关系约束成立。
多项式函数F(X)在X=1,2,3处有零点则表明多项式F(X)可以被(X-1)(X-2)(X-3)整除,为了和论文一致,我们把这个多项式函数设置成Z(X),即:
F(X)=T(X)*Z(X)==>T(X)=F(X)/Z(X)
京东数科首度公开区块链联邦学习算法:金色财经消息,京东数科近日首度公开区块链联邦学习算法,把联邦学习和区块链结合,并在区块链上构建联邦学习算法。完成二者更深层次的融合,包括共识机制等。二者的结合在未来会有越来越多的应用。区块链可以解决数的存储,具有不可篡改性,联邦学习能对数据隐私做表保护,其中有不少地方互补,同时区块链的分布式、去中心化特点,和联邦也有一些关系。
据了解,联邦学习是在满足数据隐私安全和监管要求的前提下,让人工智能系统更加高效准确地共同使用各自数据的机器学习框架。[2020/6/17]
如果能证明T(X)是一个多项式,则说明多项式F(X)与Z(X)有相同的零点,进而说明门约束关系成立。
一般过程应该如下:
1.P计算F(X)并把F(X)发送给V;
2.V根据Z(X)直接校验F(X)/Z(X)
但是如此过程存在两个问题,一个是复杂性问题,假如F(X)的阶为n,那通信复杂度就是O(n);而是安全性问题,多项式F(X)完全暴露给V。
那应该如何解决这两个问题呢?最佳的答案可能就是:多项式承诺
多项式承诺
什么是多项式承诺?就是证明方P用一个很短的数据来代表一个多项式F,这些很短的数据可以被验证方V用来验证多项式F在某一点的值确实为证明方P声称的值z。
具体看一下论文里的定义:
声音 | 学习时报:建议加大数字货币的试点工作:学习时报发表文章《采取措施把疫情对经济的影响降到最低》,文章指出,这次疫情对中小微企业发展影响更大,加快相关金融改革和货币政策调整的紧迫性上升。建议加大数字货币的试点工作。随着数字时代的到来,区块链技术的快速发展催生了数字货币。下一步,可通过数字货币来增加金融包容性、支付效率、支付操作系统、网络安全。[2020/2/14]
由图可知:
1.Setup:初始化,生成计算多项式承诺需要的一些必备参数;
2.Commit:计算多项式承诺,其结果是一个值;
3.Open:返回与多项式承诺对应的多项式函数;
4.VerifyPoly:验证多项式承诺是否和多项式函数一致;
5.CreateWitness:证明多项式函数在某一点的值是否是证明方P声称的值,具体的数学方法就是:判断多项式是否能被整除,即:
6.VerifyEval:验证方V验证多项式函数在某一点的值是否是证明方P声称的值,具体的数学方法是:利用双线性配对验证其数学乘法逻辑关系。
继续回到我们上面的问题:
证明方如何证明:T(X)=F(X)/Z(X),我们再简化一下场景,就令Z(X)=X-1,则:
T(X)=F(X)/(X-1)==>T(X)*(X-1)=F(X)==>T(X)*X=F(X)+T(X)
对应多项式承诺的协议可知:证明方P其实是想证明多项式函数F(X)再X=1处的值为0,因此根据协验证方只需要证明:
声音 | Galaxy Digital创始人:山寨币需要向比特币学习如何逐步吸引用户建立生态系统:加密公司Galaxy Digital创始人Mike Novogratz认为,并不是所有的山寨币都会成功,但是一些具有潜力和价值的必须寻求建立渠道,以使人们和机构更容易购买它们。他表示:”有很多垃圾筹集了很多资金,但没有可持续性。他们承诺要建立许多协议和生态系统,然后吸引用户使用该生态系统,使之成为投机资产。为了保持投机市场的活力,需要时不时以新闻和更新的形式加油。我们必须将这些代币视为风险投资。”同时他补充说,这些山寨币之所以失败,是因为它们在如何将人们引入其生态系统方面没有发挥作用。他强调这样的山寨币必须仰赖比特币,并观察该生态系统如何为逐步采用奠定基础。(AMBCrypto)[2019/10/7]
e(Commit(T(x)),x*G)=?e(Commit(F(x))+Commit(T(x)),G)(双线性配对的性质)
可以看出,利用多项式承诺的数学工具,既可以实现复杂度的优化,又可以实现隐私保护。
协议
接下来分析一下完整的PLONK协议:
Relation
动态 | 印度官员赴日本等国学习监管机构如何处理加密货币问题:据bitcoin 9月3日消息,印度证券交易委员会(SEBI)在其2017 – 18年度报告中透露,它已派出一些官员前往日本、英国、瑞士三个国家,研究监管机构如何处理加密货币问题。印度证券监管机构此次行动旨在与国际监管机构合作,深入了解其加密机制和系统,以改善其自身管理流程。[2018/9/3]
上图表示了PLONK算法里,要证明的一种关系,需要说明的是:
1.w代表着电路里的输入、输出,总共3n个,n是电路里乘法门的数量,每个门都有左输入,右输入和输出,因此w总共有3n个;
2.q*代表着选择向量,它的取值对应这这个是乘法门,还是加法门等类似的约束类型
3.σ代表着置换多项式,其表示门之间的一致性约束索引
4.倒数第一个公式代表门之间的约束成立
5.倒数第二个公式代表门的约束关系成立
CRS&P_Input&V_Input
上图表示了PLONK算法里的CRS设置,以及证明方P和验证方V的一些输入,需要说明的是:
周鸿祎评论纽约时报文章:这才是学习区块链技术最需要的基础:今日奇虎360创始人周鸿祎发布朋友圈,转载纽约时报杂志文章“子、假先知们一夜暴富背后:区块链是回归互联网本来意义的唯一希望”,并评论说这篇文章是迄今为止我所认为的最深入浅出的、最明明白白的一篇文章,没有大道理,没有空洞的口号,没有吓唬人的概念,这才是学习区块链技术最需要的基础。[2018/2/27]
1.整个协议都是基于多项式的,因此需要构建对应的多项式形式。
2.多项式σ的阶是3n的,由于和多项式承诺相关的CRS最高的阶位n+2,因此需要把σ拆分成3个多项式S,分别记录每个多项式的置换关系(L,R,O);
3.为了减少通信复杂度和保护隐私,协议基于多项式承诺构建,因此验证方V的输入都是承诺值。
Prove
上图表示了PLONK算法里证明方的一些操作,需要说明的是:
1.b1,...b9是随机数,从用法看是为了安全,但是我暂时也没明白,不加这个随机数,又会有什么安全问题?
2.a(X),b(X),c(X)分别是代表了电路里的左输入,右输入和输出
3.,,表示多项式的承诺值,参考多项式承诺小节里的承诺计算方法
上图表示了PLONK算法里证明方的一些操作,主要是置换校验,参考第一篇的置换校验的协议过程,生成多项式z(X),需要说明的是:
1.β和?都是用来生成置换校验函数的参数,详见第一篇里f`(x)和g`(x)的生成过程;
2.z(X)的生成方式对应置换校验里跨多项式的生成过程,Li(X)为拉格朗日多项式基,性质满足,尽在x=i的时候为1,其他为0;
3.注意区分ω和w,ω是群H的生成元,是多项式的自变量的取值。w是电路的左输入,右输入和输出,是多项式L,R,O在在群H上的取值。
上图表示了PLONK算法里证明方P的一些操作,主要是把门约束和门之间的一致性约束组合到一起,通过α,需要说明的是:
1.根据前面的描述,门约束多项式和一致性约束多项式在群H上的所有元素都是取值为0的,因此都会被多项式ZH(X)整除,等同于上面所述的T(X);
2.因此,证明方只要能证明整除的结果的确是多项式,那就能证明,门约束多项式和一致性多项式在群H所有元素上取值为0,即所有约束关系成立,即电路逻辑成立;
3.可以知道的是t(X)的阶最高为3n,但是用于计算承诺的CRS只到了n的级别,因此需要把多项式t(X)拆分,然后单独计算承诺值。
上图表示了PLONK算法了证明方P的一些操作,主要根据多项式承诺的协议,前面P算出了多个多项式在点x=z处的值是多少,现在要用多项式承诺协议去证明,这些计算是正确的,需要说明的是:
1.为了减少验证方V的操作复杂度,t(X)的分子部分r(X)在x=z处的值,P计算好,然后验证方直接验证,其他的操作类似;
2.v的值看起来是为了更安全;
3.Wz(X)对应多项式协议里的CreateWitness操作,证明这些多项式r(X),a(X),b(X)等在x=z处的值确实等于r,a,b等,对Wzw(X)同理,并返回承诺值。
Verify
至此,证明方P的所有操作都完事了,接下来都是验证方V的操作。
上图表示了PLONK算法里验证方V的一些操作,主要重新生成相关的参数,确保证明方P没有作恶。需要说明的是:
1.从输入看,比较清晰,就是一些公开的输入和证明方P的证明输出;
2.根据输入,生成置换校验过程中需要的一些参数
上图表示了PLONK算法里验证方V的一些操作,对于一些公开的,并且计算复杂度很小的多项式,其在x=z处的值还是需要自己计算,更为方便。需要说明的是:
1.根据证明方P的过程来看,验证方V的核心工作就是验证两个多项式承诺;
2.两个多项式承诺验证需要两个配对,可以通过一个参数组合成一个配对,即μ;
3.在验证前,先计算Wz(x),Wzw(x)的分母在x=z处的值,两部分,减数和被减数,分别对应,。μ作为系数的,就是对应Wzw(X)多项式的。
4.最后通过一个双线性配对操作完成两个多项式承诺的验证。
结束
至此,PLONK算法的协议原理已全部分享完成,公式很密集,但是细分下来,又很有层次感。能坚持看完,已实属不易。各位读者有什么不同的简介,还请指教,谢谢。
前言:与数字人民币“钱包”相关的专利一共有23项,这些专利对数字人民币钱包的设计做出了详细的阐述.
1900/1/1 0:00:00消息人士:ConsenSys近几周与潜在投资者进行了会谈:金色财经报道,据几位熟悉此事的消息人士称,ConsenSys最近几周与潜在投资者进行了会谈。但ConsenSys的发言人表示,该公司不需要现金,也没有正式融资.
1900/1/1 0:00:00从年初到现在,仅仅2个月左右的时间,眼见比特币从冲破前高20000刀一路飙升,最高点达到58000刀,即便最近回调,也基本在45000刀到50000刀前后徘徊.
1900/1/1 0:00:00星火矿池连续发推表示,ETH1.0是我们现在赖以生存的地球,ETH2.0是许多人希望未来生活的火星。但是现在几乎所有的注意力和资源都投入了ETH2.0,ETH1.0看起来已经被判处死刑。我们应该使ETH1.0成为一个更好的生活场所.
1900/1/1 0:00:00牛市来的时候,似乎什么利好都会一起来。最近的大利好无疑就是马斯克正式宣布已经买入比特币,并且是已经买入了15亿美元的比特币.
1900/1/1 0:00:00北京时间2月14日凌晨消息,据彭博社报道称,摩根士丹利旗下投资部门CounterpointGlobal正在探讨是否押注比特币.
1900/1/1 0:00:00