ROT:密码专栏 | 超强进阶：PLONK VS Groth16（下）

前言

本篇是“PLONKVSGroth16”的下篇，在上篇中我们对PLONK作了简要介绍，分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么，接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异，以及整体上的性能区别。

证明生成

对于程序qeval,prover需要证明自己知道qeval(x)=35的解，即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我们已经介绍了PLONK的约束形式：门约束与线约束。继续使用之前的例子，约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式，即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案，将答案和计算中的中间参数代入约束表达式，这个组表达式必将是成立的。反之，如果该Prover提供的一组解无法使表达式成立，说明prover并不具备关于该问题解的知识。

这是最朴素的证明验证思路，可以将它看作是“锁”和“钥匙的配对“：该问题约束的构建类似于“打造门锁“，而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然，Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则：Verifier不应该获取到Prover的隐私信息。

谷歌前CEO曾称赞比特币是一项卓越的密码学成就:金色财经报道，在最近被发现的一段旧视频中，谷歌前CEO Eric Schmidt称赞比特币是一项卓越的密码学成就。据悉，Schmidt是2014年在计算机历史博物馆中发表的这一看法。

他认为，比特币的技术很重要，但对该资产作为货币的用途表示怀疑。他表示，比特币的技术可以在未来为更多企业提供动力。（Finbold）[2022/8/7 12:07:20]

那么有什么方法能在解锁的同时保护隐私信息呢？

这里我们用到一个简单的数学小技巧：减除，对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶：PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述，在此我们不再赘述具体的转化过程，但需要重复的一点是：根据生成时使用的点值对，生成的多项式在这些点处的取值将恒为0。PLONK同理，此处我们给出两种算法的约束系统转化为多项式后的形式。

Groth16:

刘昌用：要用密码共识构建去中心化基础设施 而非搞可控区块链:7月29日早间，北京大学经济学博士、知密大学创始人刘昌用发微博称，去中心化的全球密码经济基础设施是中国突破封锁，维持世界和平、经济增长、人民安康的、最佳的也可能是最后的机会。现在要做的是用密码共识机制构建去中心化基础设施，获得先机，而不是搞可控区块链。你的“可控”是别人的“被控”。不能放心跟你玩儿。[2020/7/29]

PLONK:?我们设门约束多项式为D(X)，线约束多项式为L(X)，那么PLONK的整个约束多项式将被表示为：

可以看到，两者都使用了减除的思路，也就是这里的h(X)和ZH(X)，其具体内容取决于构建约束多项式时取的点值。

证明与验证

同样在之前的文章中，我们可以看到Groth16的证明规模极小，只包含三个群元素A,B,C。然而，这样优雅的证明实现依赖于它的非通用可信设置，这也是Groth16的一大痛点。在Groth16中，证明方提供A，B，C，验证方基于可信设置提供的参数，构建一个配对验证等式。在验证过程中包含了三次配对操作，也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。

但丁密码 DAC将于今日17:00正式上线99Ex:据官方公告，但丁密码 DAC将于今日17:00正式上线99Ex，并开放DAC/USDT交易对。但丁密码 DAC并将于今日在99Pool开启持币&邀请分红活动，详情见99Pool官网。

据悉，但丁密码DAC 基于蚁群算法的启迪，采用改良优化而得的排序加权算法，作为共识算法的基本运行逻辑，目的是打造一个完备的区块链金融基础设施平台。99Pool是99Ex投资孵化的区块链广告价值分享和数字资产管理平台，现注册用户近百万。[2020/6/22]

Groth16证明：

Groth16验证：

公告 | 火币钱包今日启动“解锁减半行情财富密码”系列活动:据官方消息，为让用户更加全面的了解即将到来的减半效益，火币钱包联合ETC、BCH、BSV、BTC、DASH等各个减半币种社区发起了“解锁减半行情财富密码”的系列活动。据火币钱包运营团队介绍，每个系列活动都有新用户瓜分减半币种的环节，旨在让更多用户了解减半币种，并体验减半所带来的投资机会。第一波活动的主题是围绕下个月出现减半的 ETC 展开，包括空投和社区 AMA 等系列活动。[2020/2/14]

相比之下，PLONK的证明验证将会复杂得多，这也是使用通用可信设置付出的代价。从验证方角度看，由于可信设置参数缺少了包含问题具体内容，从而无法帮助其构建一些制约证明多项式的值。因此，如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。

结合前述的约束多项式，我们可以对t(x)中出现的每一项都构建一个承诺，以实现验证方的验证。PLONK证明的具体内容如下，包含了两个点处的验证：Wz(X)为多个多项式的同点承诺，Wzw(X)则为另一个点处的对z(X)的承诺。

政策 | 密码法表决通过：将自2020年1月1日起施行:十三届全国人大常委会第十四次会议26日下午表决通过密码法，将自2020年1月1日起施行。密码法，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。据了解，密码法草案一审稿将密码分为核心密码、普通密码和商用密码，并对密码进行分类管理。核心密码、普通密码属于国家秘密，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。商用密码用于保护不属于国家秘密的信息。此外，随着密码法出台渐趋渐近，整个密码行业也将迎来规范化。据悉，密码的主要功能有两个：一个是加密保护，另一个是安全认证。国家密码管理局局长李兆宗表示，“密码在我国各个历史时期，都发挥了不可替代的重要作用。密码工作面临着许多新的机遇和挑战，担负着更加繁重的保障和管理任务，制定一部密码领域综合性、基础性法律，十分必要。” （新华视点）[2019/10/26]

最后，PLONK的验证在原文中也被归纳为一个简洁的公式，实际上就是将上面提到的两个点处的承诺简单相加，具体等式如下所示：

以上就是PLONK和Groth16算法内容的具体对比结果，讲了这么多冗长的公式变换，两者在性能层面的差距究竟如何呢？

性能比较

在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较，Table2则是验证阶段的性能。可以看出，在验证上，两者的差距不大，Groth16比PLONK多了一次配对运算；而在证明方面我们遗憾地发现，Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK，尤其当它工作在fast模式时，所使用的SRS长度是所有算法中最短的。

▲验证阶段性能比较

▲证明阶段性能比较

前置知识

多项式减除

顾名思义，化减为除：若我们需要证明一个多项式f(x)在点a的取值为b，也就是证明f(a)-b=0；那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示：

设多项式f(x)且f(a)=b，则存在一个多项式g(x)，使得：f(x)-b=g(x)(x-a)

kate承诺Kate承诺是由Kate，Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式，本文仅介绍PLONK中使用的常用形式，详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x)，Kate承诺的具体步骤如下：

1）构造f(x)在点a处的承诺C

C：f(a)

2）选取点z，执行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3）给定f(z),C和Wz，验证Kate承诺

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部内容，如有任何疑问，欢迎添加小助手桔子加入技术交流群，在这里，你想知道的都会得到解答～

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

标签：LONPLOGROROTpoloniex是什么交易所PLOTAsyagroDelphi Privacy Protocol

FIL热门资讯