零知识证明学习（五）— zkSNARKs（构造多项式）

zkSNARK-密码学基础

本节接着上一节继续讲

零知识

因为验证者可能从证明者发送的信息抽取关于多项式$p(x)$的更多信息，让我们考虑证明者提供的信息：$g^p,g^{p^{\prime }},g^h$。主要做的验证：$g^p=(g^h{)}^{t(s)},(g^p{)}^{\alpha }=g^{p^{\prime }}$。这个问题是我们怎么进行有效的验证，信息还不被抽取呢？一个问答是：我们使用一个随机数$\delta$偏移这些值，例如：$(g^p{)}^{\delta }$。现在，为了抽取这个知识，需要找到这个随机数，然而这是不可能。我们展示一下详细的偏移过程，证明者抽取随机数$\delta$，并做为证明值的幂次：$(g^{p(s)}{)}^{\delta },(g^{h(s)}{)}^{\delta },(g^{\alpha p(s)}{)}^{\delta }$，发送给验证者核验：$(g^p{)}^{\delta }=((g^h{)}^{\delta }{)}^{t(s)},((g^p{)}^{\delta }{)}^{alpha}=(g^{p^{\prime }}{)}^{\delta }$。

非交互性

从上述方案来看，我们设计的是一个交互式零知识证明方案。为什么是这种情况呢？因为证明只对原始的验证者有效，没有人(其他验证者)可以信任相同的证明，因为:

• 验证者可能与证明者勾结，揭露那些允许伪造证明的秘密参数$s,\alpha$
• 验证者自己也可以出于同样的原因生成假证明
• 验证者一定要存储$\alpha ,t(s)$，直到相关证明被验证，这就使得额外的攻击可能会泄露秘密参数

因此，为了证明一个陈述(在这种情况下是多项式的知识)，需要与每个验证者进行单独的交互。而交互式证明系统也有它的用例，例如当一个证明者只想说服一个专门的验证者，这样证明就不能被重复用来向其他人证明相同的陈述，当一个人需要同时(例如，在像区块链这样的分布式系统中)或永久地说服许多人时，它是非常低效的。证明者将被要求一直保持在线，并对每个验证程序执行相同的计算。因此，我们需要秘密参数是可重用的，公开的，值得信任的和不可滥用的。我们需要如何安全的保护产生的参数$(t(s),\alpha )$，我们可以用验证者在发送给证明者之前加密$s$的相同方式加密它们。然而，我们使用的同态加密不支持两个加密值的相乘，这对于$t(s)$和$h$的加密相乘以及$p$和$\alpha$的加密相乘的验证检查都是必需的，因此，引出下述方法。

加密值乘法（Multiplication of Encrypted Values）

密码配对(双线性映射)是一种数学结构,表示为一个函数$e(g^{\ast },g^{\ast })$，考虑到两个加密的输入(例如：$g^a,g^b$)从一组数据允许它们映射确定性乘积表示的一组不同的输出的数字,例如：$e(g^a,g^b)=e(g,g{)}^{ab}$。

由于源数集和输出数集是不同的，因此配对的结果不能作为另一个配对操作的输入。我们可以将输出集(也称为目标集)视为来自另一个世界。因此，我们不能将结果乘以另一个加密的值，根据名称本身的建议，我们一次只能将两个加密的值相乘。在某种意义上，它类似于一个哈希函数，它将所有可能的输入值映射到可能输出值集合中的一个元素，而且它不是简单的可逆的。

双线性映射函数$e(g^{\ast },g^{\ast })$的一个基本的(技术上不正确的)数学类比是，有一种方法可以交换每个输入的底数和指数，这样底数$g$在转换为指数的过程中被修改，例如，$g^a\to a^g$。然后将交换后的两个输入相乘，使原始的a和b值在相同的指数下相乘，$e(g^a,g^b)=a^g\cdot b^g=(ab{)}^g$。因此，由于在交换过程中使用另一个配对中的结果$(ab{)}^g$(例如，$e((ab{)}^g,g^{}$