PRO:ZKSwap团队解读零知识证明算法之Bulletproofs：Range Proof（1）_ROO

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：

用于rangeproof；用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。Rangeproof

1.预备知识

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……anbn}，结果是一个向量

DOJ律师：美司法部需要6-8周的时间整理Celsius前CEO案的证据:金色财经报道，美国司法部 (DOJ) 向联邦法官申请6-8周的时间以为其针对加密贷款机构Celsius创始人兼前首席执行官Alex Mashinsky的案件整理证据。据DOJ律师称，他们需要时间来整理Celsius的大量公司记录和通讯，其中包括 Mashinsky和其他Celsius高管的1,200个视频，其中许多视频时长超过一个小时。

金色财经曾报道，本月早些时候被捕的Mashinsky对证券欺诈、商品欺诈、电汇欺诈和串谋操纵 CEL（Celsius 代币）价格的指控表示不认罪。纽约南区地方法院法官John G. Koeltl将下次会议日期定在 10 月 3 日。审判日期仍有待确定。[2023/7/26 15:58:47]

2.证明

美联邦法官考虑禁止FTX案件的当事人和证人向媒体发表言论:金色财经报道，周一提交的法庭文件显示，在美国司法部指控FTX创始人Sam Bankman-Fried 媒体泄露其同谋之一的私人文件几天后，一名联邦法官正在考虑禁止 FTX 案件的“当事人和证人”向媒体发表言论。此前Sam Bankman-Fried曾公开分享前Alameda首席执行官Caroline Ellison的私人日记。

拟议文本称：本案各方、他们的律师和代理人不得公开传播或与任何公共传播媒体讨论任何可能干扰公平审判的有关本案的信息。这包括有关潜在证人的身份、证词或可信度的陈述，在审判中未被视为可接受的信息，以及旨在影响公众对此案的是非曲直的舆论的陈述。[2023/7/25 15:56:04]

Alice想要证明?v??=>则，需要证明一个relation得成立，如下所示：

报告：区块链游戏领域占据37%的市场份额:金色财经报道，据DappRadar报告，游戏类别继续占据区块链主导地位，在整个去中心化应用程序 (dApp) 市场中占据37%的份额。这一数字仍低于上一季度45%的份额。此外，与第一季度相比，链上dapp的每日独特活跃钱包 (dUAW) 增长了近8%，这可能被视为市场复苏的一个迹象。

DappRadar指出，尽管监管动荡普遍存在，但数字资产市场仍然蓬勃发展，积极参与度的增长就反映了这一点。[2023/7/10 10:46:00]

{：V=?grhv?^v??}

public-xwitness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1、a2……an}?{0,1}n，且满足<aL,2n?>=v。因此，证明者需要证明以下几个等式相等：

NFT碎片化协议Tessera Protocol已正式上线:据官方消息，NFT碎片化协议Tessera称，Tessera正式上线。注，今年8月，已更名为Tessera的NFT碎片化协议Fractional完成2000万美元A轮融资，Paradigm领投，参投方包括Uniswap Labs、E Girl Capital和Focus Labs，个人投资者包括DC Investor、Keyboard Monkey等。Tessera发言人表示，未来平台的功能将不限于NFT碎片化。[2022/12/7 21:27:56]

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)、(4)确保了aL?元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

3.2n+1个约束转换成1个约束

=>预备：从Zp?中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n?。

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

验证者随机选取一个数y发送给证明者证明者要证明：

同理，等式(5)确保了v的范围，等式(6)(7)确保了aL?元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

验证者随机选取一个数z发送给证明者证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积。

4.三个点积优化成1个点积

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.验证：

证明者把L/R/V发送给验证者；验证者事先算好δ验证者根据L算出来aL，根据<aL,2n?>=v算出v验证者根据L、R、v、δ验证等式<L,R>=z2?*v+δ因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.一个零知识证明协议

由于L、R包含了v的相关信息，因此，我们需要添加两个盲因子sL、sR来隐藏aL，aR。如公式(10)(11)所示：

此时，定义公式(12)

可以看出系数t0是l(x)和r(x)常数项的乘积，即满足：

t0?=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

需要校验：

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校验：

=>?当且仅当t和τx?welle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共**{l/r/t/τx?/μ/T1?/T2/A/S}**个元素给验证者，总共2n+3个Zp元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))。

附录

Bulletproofs论文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

标签：PROProofROOCELpros币是不是正规币0XPROOFVROOM币cel币为什么被下架

币安app官方下载最新版热门资讯