前言
Bulletproofs,又一个有意思的零知识证明算法,相信读者已经很熟悉它了。和zk-snark相比,它不需要可信设置;和zk-stark算法相比,它具有较小的proofsize。根据论文,它有两个方面的应用:
用于rangeproof;用于一般算术电路的零知识证明。下面,让我们先看一下Bulletproofs是如何高效的实现第一点。Rangeproof
1.预备知识
aL:表示向量{a1、a2……an}
2n:表示向量{20、21…2n-1}
<a、b>:表示向量内积∑ai*bi,结果是一个值
aob:向量对应位相乘,{a1*b1……anbn},结果是一个向量
以太坊Layer2解决方案Linea推出主网Alpha版本:7月18日消息,由ConsenSys推出的以太坊Layer2解决方案Linea宣布向整个Linea社区开放对Linea主网Alpha版本的访问,开发人员可以访问该Rollup和ETH桥UI以及Infura和MetaMask和Infura中的RPC端点。支持ERC20代币的规范代币桥将在未来几周内推出。[2023/7/18 11:02:18]
2.证明
Alice想要证明?v??=>则,需要证明一个relation得成立,如下所示:
{:V=?grhv?^v??}
public-xwitness-wrelation-R
即,对于公开信息x,Alice有隐私信息w,使得关系R成立。
Metis:正与Poly Network取得联系,黑客新铸造巨额BNB没有流动性用于出售:7月2日消息,以太坊 Layer 2 网络 Metis 发布公告称,已经注意到 PolyBridge 正在发生的问题,并正在与 Poly Network 团队取得联系,以尽量减少攻击的影响并进一步评估情况。
此外,Metis 表示关于在 Metis 上新铸造的 BNB,没有可用的卖出流动性。Metis Andromeda 上的所有资金都是安全的。[2023/7/2 22:13:00]
令aL为金额v的在范围内的二进制形式,则aL={a1、a2……an}?{0,1}n,且满足<aL,2n?>=v。因此,证明者需要证明以下几个等式相等:
等式(1)确保了承诺V和金额v的绑定关系,等式(2)确保了v的范围,等式(3)、(4)确保了aL?元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束,其中公式(2)1个,公式(3)(4)各n个。接下来,为了效率,我们需要把2n+1个约束转换成1个约束。
中国文物交流中心:对有平台擅自发售数字藏品的情况启动调查核实:金色财经报道,中国文物交流中心通过官微发布声明表示,对有平台擅自以中国文物交流中心指导、监制和监修等名义发售数字藏品的情况启动调查核实,并敦促相关网络平台及时停售下架所涉及到的数字藏品。(新民晚报)[2022/8/11 12:17:51]
3.2n+1个约束转换成1个约束
=>预备:从Zp?中任意选择一个数y,则b=0n是等式<b,yn>=0成立的充分条件;因为当b!=0n,等式成立的概率仅有n/p,p是有限域,远大于n。因此,如果有<b,yn>=0,那么验证者愿意相信b!=0n?。
利用这个理论,我们把等式(2)/(3)/(4)做以下转换:
验证者随机选取一个数y发送给证明者证明者要证明:
菲律宾计划推出数字身份系统:近日,菲律宾财政部长Benjamin Diokno表示,菲律宾政府正在积极推进菲律宾身份识别系统(PhilSys ID)研发。他指出,随着《金融产品和服务消费者保护法》正式获批,菲律宾银行(BSP)能够更好地处理网络安全问题,提升数字金融领域的消费者安全水平。菲律宾政府希望通过这场技术革新,在2023年将其国内一半的零售支付数字化,并将70%的菲律宾成年人纳入正规金融服务系统。他还补充道,PhilSys ID系统还将协助菲律宾税务总局(BIR)和海关局(BOC)实现税收系统数字化,推动“电子政务”革新。(未央网)[2022/8/4 2:58:28]
同理,等式(5)确保了v的范围,等式(6)(7)确保了aL?元素只属于{0,1}。此时2n+1个约束转换成3个约束,接下来,还需要做进一步的处理:
验证者随机选取一个数z发送给证明者证明者利用z对公式(5)(6)(7)进行线性组合,得到如下公式:z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)
至此,我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化,把三个点积优化成1个点积。
4.三个点积优化成1个点积
=>令
L=aL?-z*1n
R=(aR?+z*1n)oyn?+z2?*2n
δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>
5.验证:
证明者把L/R/V发送给验证者;验证者事先算好δ验证者根据L算出来aL,根据<aL,2n?>=v算出v验证者根据L、R、v、δ验证等式<L,R>=z2?*v+δ因为y,z都是验证者提供,因此如果验证者如果能验证公式(9)成立,则相信等式(5)(6)(7)成立,则相信等式(2)(3)(4)成立,则相信v满足关系v?。
但是,可以看到上述过程,泄露了v的信息,因此需要一个零知识证明协议。
6.一个零知识证明协议
由于L、R包含了v的相关信息,因此,我们需要添加两个盲因子sL、sR来隐藏aL,aR。如公式(10)(11)所示:
此时,定义公式(12)
可以看出系数t0是l(x)和r(x)常数项的乘积,即满足:
t0?=<L,R>=z2*v+δ
因此,问题由证明:
<L,R>=z2*v+δ
转化成了,在任意一点x,验证者验证多项式值l(x),r(x),t(x)满足关系:
<l(x),r(x)>=t(x)
多项式值l(x),r(x),t(x)由证明者提供,为了保证l(x),r(x)well-formed,即:
需要校验:
=>当且仅当l/rwell-formed,等式成立
为了保证t(x)well-fromed,即:
t=t0?+t1x+t2x2
需要校验:
=>?当且仅当t和τx?welle-formed,等式成立
具体的协议流程图如下图所示:
总结
从上述流程可以看出,一次rangeproof,证明者需要发送总共**{l/r/t/τx?/μ/T1?/T2/A/S}**个元素给验证者,总共2n+3个Zp元素,4个G元素。下一篇文章将细讲,Bulletproofs如何将交互复杂度降低到对数级O(log(n))。
附录
Bulletproofs论文:https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611
标签:PROProofROOMETTrapeza ProtocolRugProofEvident Proof Transaction TokenTTX Metaverse
复盘回顾上期1-20日晚间视频中辉神讲到关于比特币价格有回调的需求,甚至破位30000关口下方。果然在22日早间币价破位30000关口最低触及28800一线.
1900/1/1 0:00:00闲瑕无事,喜欢琢磨,最近几日,我发现Filecoin和比特币、以太坊其实有很多相似之处。2020年10月15日Filecoin上线火币以来,毫不避讳的讲,与过往众多火极一时某些项目相比,币价表现.
1900/1/1 0:00:00? 金币专栏:1.27凌晨比特币行情分析与操作策略???一生能够积累多少财富,不取决于你能够赚多少钱,而取决于你如何投资理财,钱找人胜过人找钱,要懂得钱为你工作,而不是你为钱工作.
1900/1/1 0:00:001月26日,比特大陆联合创始人吴忌寒通过一封加密的信件,正式宣布辞去比特大陆CEO兼董事长职务。律动BlockBeats通过吴忌寒在Twitter上公布的密码解开了信件内容.
1900/1/1 0:00:00如果说币圈是一个大,现在由火币、币安、OKex分别坐庄三分天下,那么谁还记得曾经的霸主“聚币交易所”呢?近期小编接到爆料说,有玩家在聚币交易所交易赚了11665U,明明是正常交易盈利.
1900/1/1 0:00:00据Filecoin官方消息,FilecoinPlus程序的首批公证人已经正式上线!目前已上线官网的首批公证人机构有:欧洲地区一家机构,大中华区一家,北美地区两家,亚洲日本地区一家.
1900/1/1 0:00:00