作者:benlaw.eth
你之前是否阅读过一些零知识证明的文章,但仍一头雾水?这些文章可能:
只以故事和童话作例子来论述ZKP,无法深入其本质。
内含大量密码学术语,数学公式,学术论文等,对初学者而言过于复杂。
本文提供了对ZKP简明扼要的概述,并从数学、密码学和编程角度进一步阐述ZKP的核心要素。
向色盲提供颜色证明
如何向色盲患者证明两个球的颜色确实是不同的?这其实并不复杂:
让他在手里握住两个球,背到背后,然后随机选择交换或不交换两个球的位置,再展示给你看,你告诉他这两个球的位置是否有变化。
在他看来,你可以通过瞎蒙来完成一次证明。不过,如果成千上万次地重复这个过程:如果你总是能说出正确答案,那么靠纯蒙的方式来保持一直正确的概率,是小到可以忽略的。因此可以通过这种方式来向色盲患者证明:两个球的颜色确实不一样,并且我们也有感知和区分的能力。
CoinShares:上周数字资产投资产品净流入1.361亿美元:7月10日消息,CoinShares最新周报显示,上周数字资产投资产品净流入1.361亿美元,连续三周的净流入总额达到4.7亿美元。其中,上周比特币投资产品净流入1.328亿美元。以太坊投资产品净流入290万美元。做空比特币的投资产品净流出180万美元。
区块链股票迎来一年来最大的资金流入,总计1500万美元。[2023/7/10 10:46:16]
颜色证明
上述证明过程是典型的零知识证明:
验证者无法在证明过程中获得任何关于颜色的知识,因为经过验证过程后他依然没有区分颜色的能力。
该验证过程是概率性的而非决定性的。
该过程是交互式的,需要多轮交互。不过,零知识证明中也有许多协议,通过高级技巧将证明过程转化成了非互动式的。
掌握知识的证明
我们已经分享了一种现实世界中的零知识证明的例子,接下来再来看一下在二进制世界中如何实现零知识证明。
链借贷协议Pike Finance将上线Coinbase Layer2网络Base:6月15日消息,跨链借贷协议Pike Finance将在Coinbase Layer2网络Base上发布,它由跨链桥Wormhole和USDC发行商Circle提供支持,旨在在不牺牲安全性的情况下帮助用户摆脱原生链的限制,不需选择桥接和封装代币即可实现不同区块链之间的直接交互。[2023/6/15 21:38:57]
Arthur是Elon的朋友,并且知道对方的手机号。Betty不知道Elon的号码。如果Arthur想要向Betty证明他知道,但又不想泄露号码,应该怎么实现呢?
知识证明
一种不成熟的方案是,Elon发布自己电话号码的哈希,Arthur通过一个程序输入哈希的原像,程序进行运算并检查结果。这个方法有一些致命的缺陷:
根据哈希,Betty可以通过暴力破解的方式得到原像,能破解出来的概率是不可忽略的,而且得到的结果几乎是确定性的。
Test in Prod推出Optimism上新客户端OP Erigon初始版本:金色财经报道,Test in Prod 推出 Optimism 上新客户端 OP Erigon,这是以太坊 Erigon 客户端软件的改编版本,OP Erigon 的初始版本可在 Optimistic Goerli 测试网上访问。[2023/4/22 14:19:24]
Arthur必须向该程序输入原像。如果程序在Arthur的电脑上,Betty就会对此有疑问:我怎么知道你有没有作弊,你的电脑也许会一直声称你的证明是对的?
如果程序在Betty的电脑上运行,Arthur也会担心,自己输入的信息会不会被窃取,即使程序肉眼可见的代码中并没有窃取信息的命令。
因为无法将程序分开在不同的环境中运行,这个信任问题是难以解决的。
常规的方法在这里碰壁了,是时候让零知识证明出场了!
基于密码学的零知识证明的实现方案
在此我会用零知识证明中的SigmaProtocol来解决问题,因为它比较简单。并且,为了简洁和易于理解,这里不会使用严格的密码学和数学中的定义、术语及推导过程等。
Cobo COO:数字资产托管的三位一体包括三个方面:用户、技术和应用:金色财经现场报道,在Coinlive举办的峰会上, Cobo COO Lily Z. King的第三场主题演讲的主题是“数字资产托管的必然未来”。她解释说,Web2拿的是你的数据,而Web3拿的是你的资产,数字资产托管其实就是对客户数字资产/私钥的保管,是一整套相关服务蓬勃发展的基础──托管基本上是网关机构采用加密货币。接下来,塑造机构如何存储其数字资产的趋势如何?她分享,数字资产托管的三位一体包括三个方面:用户、技术和应用。托管方需要迎合新用户群体的不同需求,紧跟和适应各种新技术。 “Web3的概念肯定会成为主流,”Lily 补充道。最后,她总结说,在 Cobo,他们认为数字资产托管的未来是全栈解决方案、统一的用户体验、可编程性和完全去中心化。[2022/12/22 22:01:01]
核心流程
使用零知识证明证明一个人有特定的知识,我们采取如下办法:
Sigma协议
天津市对虚拟货币“挖矿”用电实行差别电价:10月12日消息,天津市发展和改革委员会近期发布关于虚拟货币“挖矿”用电实行差别电价政策通知,为整治虚拟货币“挖矿”活动,深入推进节能减排,助力实现“双碳”目标,按照国家有关电价政策要求,决定对虚拟货币“挖矿”用电实行差别电价。有关事项通知如下:
一、对虚拟货币“挖矿”用电实行差别电价,执行“淘汰类”企业电价,加价标准为每千瓦时 0.5 元。
二、将会同有关部门确定虚拟货币“挖矿”项目的名单、执行起止日期等信息,并函告各电网企业。各电网企业根据相关名单信息,及时足额收取加价电费,确保政策执行到位。
三、差别电价执行起止日期不足一个抄表周期致使电量无法计量的,执行差别电价的电量按对应抄表周期内日平均用电量乘以应执行差别电价政策的天数确定。虚拟货币“挖矿”项目挖矿用电与其他用电合并计量无法区分的,其全部电量执行差别电价政策。[2022/10/12 10:32:21]
定义一个P阶的有限群及其生成元g。我们可以暂时忽略这些奇怪的名词具体什么意思。
根据上面的定义,某个拥有知识或能接触到知识的第三方,将知识通过h=g^w(modP)的方式加密后,将h发布出去。
证明者启动零知识证明流程。生成一个随机数r,计算a=g^r,并将a发送给验证者。
验证者生成一个随机数e并发送给证明者。
证明者计算z=r+ew并发送给验证者。
验证者检查g^z==a·h^e(modP)。如果为真,则验证者确实掌握其声称的知识。
好啦,该证明协议到此就结束了!非常简短,但你仍可能对上面的一些数学运算感到困惑,但这不要紧,我们先有个大概印象再深入理解。
数学原理
这套流程背后的核心数学原理是离散对数难题:当P是一个很大的质数时,对于给定的h,很难找到满足h=g^w(modP)的w。该原理适用于上面所有类似的式子。
我们来一步一步解析下:
经过加密的知识h=g^w(modP),是难以被暴力破解的。由于求余运算的特点,即使被破解了也不具备单一确定解。这意味着对证明者而言,通过暴力破解来作弊,验证者,是不可行的。
然后我们将3,4,5步作为一个整体来看一下他们为什么要交换这些随机数:
I.证明者并不想暴露其秘密,所以他必须用随机数包裹一下将其隐藏起来。而验证者也需要通过添加一些随机数,让该知识可被自己验证的同时防止证明者作弊,而且不会窥探到证明者的秘密。
II.如果验证者先发送了随机数e,很明显,证明者可以通过编造a=g^z·h^-e来在最终检查中验证者,即使没有知识也可以通过。所以证明者必须先手发送一个承诺(a=g^r),但非r本身,来避免可作弊场景,同时不让验证者通过w=(z-r)/e提取到秘密。
III.在收到承诺后,验证者向证明者发送随机数e。由于其本身或者其衍生物无法泄露任何一方的信息,这个数不需要加密。之后证明者计算z=r+ew并将z发送给验证者。验证者最终通过检查g^z=g^(r+ew)=g^r·(gw)^e=a·h^e来确定证明者是否掌握知识。
通过这种往返交错的结构,我们收获了三个性质:
完备性:当且仅当证明者输入正确知识,验证才能通过。
可靠性:当且仅当证明者输入错误知识,验证才会失败。
零知识性:验证者无法在验证过程中获取任何知识。
上述三点即零知识证明的核心特性。通过数学和密码学,我们构建出了一套光怪陆离的证明体系。恭喜你一路走了这么远,现在应该已经可以说正式迈入了富丽堂皇又奥妙无穷的ZKP圣殿。
Havefun!
进一步了解
模拟器和零知识性
我们现在来考虑一些魔幻场景。如果一个证明者具有预言或篡改验证者生成的随机数的超能力,我们称其为模拟器。
模拟器vs验证者
设想,模拟器在验证者的随机数e生成前就对其进行了篡改,确保其生成后是自己预设的值。根据上面II所说,这种能力使模拟器能编造承诺a来验证者。不论模拟器的输入是什么,验证者总会得出结论模拟器具有知识,然而实际上他并没有。
显然,经过这种思想实验我们可以得出结论,验证者无法在该零知识证明协议中获取任何知识,也即其零知识性是成立的:
零知识性<==?模拟器S,使得S(x)与真实的协议执行不可区分,其中S(x):选择随机的z和e,令a=g^z·h^-e,其中(a,e,z)的分布与真实的随机数环境一致并满足g^z=a·h^e。
抽取器和可靠性
再来想象一下另一种超能力者——抽取器,具有时光倒流的能力。不过这次是抽取器作为验证者,面对一个正常的证明者。
当协议结束时,抽取器发起时间倒流,回到协议的起点,并持有上一轮得到的(z,e,a)。现在,协议重新执行一遍。由于证明者没有超能力无法进行时间旅行只能在固定的时间线上做确定的事,他又生成了一个一模一样的随机数r以及承诺a=g^r,而抽取器则可以生成新的随机数e'给证明者。
证明者vs抽取器
现在,抽取器获得了:g^z=a·h^e,g^z'=a·h^e=>g^(z-z')=h(e-e')=>加密后的知识h=g^((z-z')/(e-e'))=>知识w=(z-z')/(e-e').
显然,只要证明者真的掌握了知识,抽取器总是可以将其抽取出来,也即完备性成立:完备性<==?抽取器E,对给定的任何h,在掌握(a,e,z),(a,e',z')且e≠e'的情况下,都能输出ws.t.(h,w)∈R.
完备性
完备性不需要任何特殊角色来证明,因为:g^z=g^r+ew=g^r·(g^w)^e=a·h^e.
标签:数字资产RTHARTHURART数字资产管理系统New Earth Order MoneyKing ArthurSTART
原文标题:《BendDao——一种点对池的NFT流动性协议全新范式》撰文:老雅痞BendDAO2022年4月22日,据BendDAO官方推特发文称,NFT流动性协议BendDAO在上线30天后.
1900/1/1 0:00:00作者:H.Forest毫无疑问,Stepn已成为2022年一季度加密货币市场上最火的应用,日前Twitter关注人数已突破20w大关.
1900/1/1 0:00:00整理:饼干,链捕手“过去24小时都发生了哪些重要事件”?1、Twitter宣布接受马斯克440亿美元收购提议,将于今年完成交易Twitter公司宣布接受了特斯拉CEO埃隆·马斯克的收购协议.
1900/1/1 0:00:00作者:iambabywhale.eth自以太坊采用EIP1559之后,销毁的以太坊已经超过了200万枚,而以太坊的销毁量也成了很多人判断项目热点的一个指标.
1900/1/1 0:00:00编译:DeFi之道原文:《https://thereadingape.substack.com/p/talking-crypto-ep-79-darren-lau?s=r》DarrenLau是谁.
1900/1/1 0:00:00链捕手消息,根据SEC披露的文件,特斯拉CEO埃隆·马斯克提议以每股54.20美元的现金购买Twitter100%的股份,较4月1日普通股的收盘价溢价38%,目前已聘请摩根士丹利为其财务顾问.
1900/1/1 0:00:00