零知识证明 - 基于多项式构造零知识证明

理解为什么以及如何基于多项式构造零知识证明，这篇文章讲的比较清楚。虽然文章只讲到了皮诺曹协议，但是足够理解基于多项式构造零知识证明的本质。想深入零知识证明的小伙伴都建议看看。

http://petkus.info/papers/WhyAndHowZkSnarkWorks.pdf

以下是我对这篇文章的理解和总结。原文由浅入深地从一个个简单版本，慢慢推导出实用的证明协议。

协议0 - 直观版本

随机抽查，随机提供样本，对照结果。这种协议，需要通过设定随机抽查的次数，确定安全系数。

协议1 - 从多项式的系数证明开始

最简单的d阶多项式，可以随机选择一个点x，让prover通过多项式计算生成y，verifier可以查看y是否正确。不同的多项式，最多有d个相交的点（相等的点）。

如果x/y的取值范围很大（设为n），在不知道原始多项式的情况下，能正确给出证明的概率比较低：d/n。多项式，能在一次交互，就能获取比较好的安全系数（如果n远大于d的话，将近100%）。比版本0，优秀不少。

这种协议还是比较简单和原始。证明建立在双方还是相互信任的基础上。本质上，prover并没有证明他/她知道多项式。证明本身并不能推出他/她知道一个确定的多项式。知道一个值，并不代表知道一个多项式。而且，如果多项式的值范围不大的话，证明者可以随机选择一个值撞概率。

协议2 - 基于多项式因式分解改进

假设一个多项式可以分解成：p(x) = t(x)h(x)。t(x)是目标多项式，是由p(x)的部分解组成的多项式：$t(x)=(x-x_0)(x-x_1)...(x-x_{d-1})$。也就是说，证明者需要证明的一部分，证明者知道一个多项式的部分解。从验证者的角度看，既然你知道一个多项式的部分解，那你知道的多项式一定能整除t(x)。在随机挑选x的情况下，你都能给出正确的证明，即可认定你知道这个满足条件的多项式。

• 验证者，随机生成r，并计算出t®，将r发送给证明者

• 证明者，计算h(x) = p(x)/t(x)，并给出p®以及h®

• 验证者验证，是否p®=t®h®

该版本要求证明者，知道一个能整除t(x)的多项式。但比较容易发现，该协议存在如下的问题：

1/ 证明者，可以自己计算出t®，随机生成h®，并构造出p® = t®h®

2/ 即使不像1，证明者不考虑多项式，直接通过结果伪造证明。证明者，因为知道随机数r，证明者可以使用任何一个多项式，保证存在相同点(r, t®h®)。这样，证明的p®和h®虽然和正确的证明是一样的，但是，证明者却不需要知道正确的多项式。

3/ 证明者，可以自己构造多项式，只要满足h(x)=p(x)/t(x)即可。

版本3 - 引入同态加密

协议2中的问题1/2，都是因为证明者知道随机数r以及t®。引入同态加密解决。数据是加密的，在加密数据的基础上可以进行计算，能和原始数据计算具有同样的“形态”。

在模运算基础上的幂次计算，是同态加密的一种方式，表示为: $E(v)=g^v(modn)$，其中v是需要加密的数据。在同态加密的基础上，可以定义运算：

加法：加密结果相乘，加密结果相乘等于原始数据相加后的加密结果

乘法：幂次运算，一个加密结果进行幂次计算等于两个原始数据乘法的加密结果（注意不是同态乘法）

除法：相对复杂，不深究

不要被加法（相乘），乘法（幂次）迷惑了。你可以认为，加密结果加法是通过加密结果的乘法实现的。

注意，乘法不支持两个加密结果乘法。也就是说，只支持一个原始数据和一个同态加密结果进行乘法操作。

有了同态加密，一个多项式的加密结果，可以通过多项式的各个项的加密结果计算。

比如说，一个多项式$p(x)=x^3-3x^2+2x$。p(x)的加密结果可以通过如下的方式计算：

$$E(X^3{)}^1\cdot E(x^2{)}^{-3}\cdot E(x{)}^2=(g^{x^3}{)}^1\cdot (g^{x^2}{)}^{-3}\cdot (g^x{)}^2=g^{x^3-3x^2+2x}$$

显而易见，一个多项式的值，可以通过各项的加密结果乘上各项的系数，计算出多项式的加密结果。

• 验证者，随机挑选s，计算出多项式各项的加密结果$E(s^0),E(s^1),...E(s^d)$，并将这些值发给证明者。同时计算出目标多项式的加密值t(s)
• 证明者先计算出h(x) = p(x)/t(x)，并通过多项式加密计算的方法计算出E(p(s)) 和 E(h(s))
• 验证者验证：E(p(s)) = E(h(s))*t(s)是否成立

这个协议，验证者没有暴露随机值s，证明者只能通过多项式计算出h，从而计算出证明。这个协议，也有问题，证明者有可能只用验证者提供的各项加密结果中的几项来构造证明。并且，聪明的证明者可以自己通过多项式的各项的加密结果计算出t(s)。在知道t(s)的情况下，要构造一个证明非常容易，只需要满足幂次计算即可。

版本4 - KEA（Knowledge-of-Exponent Assumption)

假设Alice想获得a的幂次结果，具体的幂次不关心。为了限制幂次结果的提供者Bob只在a上进行幂次操作，Alice提供$a$以及$a^{\alpha }$。Bob选择一个幂次$c$，计算$b=a^{c}modn$以及$b^{\prime }=(a^{\prime }{)}^{c}modn$，并发送给Alice。Alice通过检查$b^{\alpha }=b^{\prime }$确定是否b是在a基础上的幂次计算。

$(a,a^{\alpha })$就是“$\alpha$对"。通过一个“$\alpha$对"，数据进行同样的幂次操作。

在上述同态加密的情况下，幂次计算，是同态加密后的乘法操作。举个例子，有个简单的多项式$f(x)=c\cdot x$，验证者为了保证证明者在随机选择的s的加密结果上都“乘以”c，提供$(g^s,g^{\alpha \cdot s})$。证明者，通过提供$((g^s{)}^c,(g^{\alpha \cdot s}{)}^c)$，证明计算是对同一个加密结果进行了乘法操作。

因为同态加法成立，该方法可以从简单的多项式可以扩展到一半多项式。

• 验证者提供$g^{s^0},g^{s^1},...,g^{s^d}$以及$g^{\alpha \cdot s^0},g^{\alpha \cdot s^1},...,g^{\alpha \cdot s^d}$
• 证明者分别计算两组值：
  • $g^p=g^{p(s)}=(g^{s^0}{)}^{c_0}\cdot (g^{s^1}{)}^{c_1}\cdot ...\cdot (g^{s^d}{)}^{c_d}$
  • $g^{p^{\prime }}=g^{\alpha p(s)}=(g^{\alpha s^0}{)}^{c_0}\cdot (g^{\alpha s^1}{)}^{c_1}\cdot ...\cdot (g^{\alpha s^d}{)}^{c_d}$
• 验证者验证：$(g^p{)}^{\alpha }=g^{p^{\prime }}$

从证明可以推导出：$g^{p^{\prime }}=g^{c_0\alpha s^0+c_1\alpha s^1+...+c_d\alpha s^d}=g^{\alpha (c_0{s}^0+c_1{s}^1+...+c_d{s}^d)}$。

该协议很好的限制证明者必须在多项式的计算下，每个系数都正确“计算”。但是，这个协议并没有保护证明者的知识：验证者可以从证明信息中暴力反推多项式系数（毕竟现实场景下系数的组合还不算多）。

版本5 - ZK（零知识）

为了保护证明信息，也就是保护$c_0,c_1...c_d$信息。还是利用“偏移”，在$g^p和g^{p^{\prime }}$都“乘”上一个随机系数$\delta$。即使验证者能枚举出$(\delta c_0,\delta c_1,\delta c_2...\delta c_d)$，也非常难获取$(c_0,c_1,...c_d)$。

版本6 - 无交互

之前所有的协议都是交互式的。交互式协议有些问题：

• 验证者可以和证明者串通，伪造证明
• 验证者，自己生成证明
• 在整个交互过程中，验证者必须保存$\alpha$和$t(s)$。可能会造成其他攻击的可能。

配对函数和双线性映射

到目前为止，验证者需要验证如下的两个等式：

$g^p=(g^h{)}^{t(s)}$

$(g^p{)}^{\alpha }=g^{p^{\prime }}$

假设，验证者不存储$\alpha$和$t(s)$，而存储对应的加密数据。这样在验证的时候，$g^h$和$g^{t(s)}$两个加密结果“相乘“，$g^p$和$g^{\alpha }$”相乘“。从同态加密的定义，我们发现两个加密结果不能相乘。于是引入了新的计算特性：双线性映射。

$e(g^a,g^b)=e(g,g{)}^{ab}$

双线性映射的核心性质，可以表达成如下的等式：

$e(g^a,g^b)=e(g^b,g^a)=e(g^{ab},g^1)=e(g^1,g^{ab})=e(g^1,g^a{)}^b=e(g^1,g^1{)}^{ab}$

值的一提的是，e配对函数也具有加法同态：

$$e(g^a,g^b)\cdot e(g^c,g^d)=e(g^1,g^1{)}^{ab}\cdot e($$