【区块链与密码学】第10-12讲:非交互式零知识证明

最新推荐文章于 2023-12-29 11:14:38 发布
最新推荐文章于 2023-12-29 11:14:38 发布
阅读量981 收藏 3
点赞数
分类专栏: 区块链 金融科技 金融 文章标签: 区块链 零知识证明
原文链接:https://mp.weixin.qq.com/s/OH5g8mo2-aonrRoLAVcclQ
版权
金融科技 同时被 3 个专栏收录
85 篇文章 21 订阅
订阅专栏
金融
85 篇文章 8 订阅
订阅专栏
区块链
72 篇文章 15 订阅
订阅专栏
本文介绍了非交互式零知识证明(NIZK)的概念,强调了Fiat-Shamir转换在将交互式协议转化为非交互证明中的作用。通过使用随机预言机模拟和Hash函数的抗碰撞性,Fiat-Shamir转换能够确保挑战的随机性和证明的有效性。然而,这一转换依赖于Hash函数作为随机预言机的假设,该假设无法被证明,只能作为信任的基础。
摘要由CSDN通过智能技术生成

【本课堂内容全部选编自武汉大学国家网络安全学院教授、博士生导师的《区块链与密码学》授课讲义、教材及互联网,版权归属其原作者所有,如有侵权请立即与我们联系,我们将及时处理。】

10-12非交互式零知识证明

| Fiat-Shamir转换

回顾下Sigma协议,可以发现以下问题:

01Sigma协议的零知识性需要验证者是诚实的

那么,验证者不诚实的话,Sigma协议是否是零知识的?目前,无法说明这个问题。

02Sigma协议的安全基石除了困难问题外,还有什么?

答案是随机挑战。在可靠性分析过程中,可以看出随机挑战值是决定错误概率的关键。

03Sigma协议的效率如何?限制有哪些?

显然,计算量和通信量受限于协议的构造基石(如困难问题、挑战轮数等等)。而且,交互形式的协议限制了它的使用场景。

交互式零知识证明

只能够取信于一个验证者

只在某个时刻有效

非交互式零知识证明(NIZK)

可以取信于很多人(甚至所有人)

证明始终有效

Fiat-Shamir变换是一种可以将Sigma协议变成非交互证明的技术。它能够让证明者Prover可以通过给验证者Verifier发送一个证明信息即可完成证明(无需交互,无需返回挑战)。

而且,它能把任何一个Simga协议变成一个数字签名,签名的含义就是「知道这个Sigma协议的秘密的人已经签署了这个消息」。Prover能够创造一个证明,然后分发给很多个验证者,验证者可以不必联系Prover即可验证证明有效性。同时零知识也变得容易了,因为验证者或者其他敌手不能做任何事情。

以Schnorr协议为例,如果挑战值e可预知,那么任何人都可以成功欺骗V。

在交互证明时,挑战值可以由验证者V随机产生;

但在非交互证明时,如何保障挑战随机性和不被证明者控制?

为重建信任,Fiat-Shamir转换采用了随机预言机,即让「上帝」来选取挑战值。

问题又来了,真实的随机语言机是不存在。于是,密码学家作出了如下假设:

假设:一个密码学安全的 Hash 函数可以近似地模拟传说中的「随机预言机」。

注意:这个假设无法被证明,所以我们只能信任这个假设,或者说当做一个公理来用。

Hash函数的广义抗碰撞性质决定了它的输出可以模拟随机数,同时在很多情况下(并非所有),对 Hash函数实施攻击难度很高,于是许多的密码学家都在大胆使用。

今天的课程就到这里啦,下节课我们将继续学习非交互式零知识证明,敬请期待!

同学们可以关注点宽学园,每周持续更新区块链系列课程,小宽带你进入区块链世界。我们下节课见啦。

【区块链与密码学】课堂回顾:

区块链与密码学系列文章合集

Dig Quant
关注
专栏目录
【密码原理】群与公钥加密体制:Diffie-Hellman密钥交换、ElGamal加密、零知识证明
skysys的研究小屋
07-24 661
本文主要介绍群、公钥密码体制以及DH协议、ElGamel加密和零知识证明ZKP基础,为后续进一步学习ZKP打下基础
PrivacyIN Week1课程回顾 | 张宇鹏博导开零知识证明密码学基础&研究导论
Matrix_element的博客
10-12 1597
隐私学院PrivacyIN第一期ZK训练营课程精内容上线,本期课堂邀请到美国德州农工大学(Texas A&M University)计算机科学与工程学院的助理教授张宇鹏,主要介绍ZK理论及相关应用,课堂主题为《Basics of ZK Cryptography & Research Overview》。
零知识证明学习(三)—— 交互式零知识证明(zkSNARKs)
BlockchainY的博客
05-24 4462
交互式零知识证明 本节主要介绍一种新的零知识证明-zkSNARKzkSNARKzkSNARK,zkSNARK:zero−knowledgeSuccinctNon−InteractiveArgumentsofKnowledgezkSNARK:zero-knowledge Succinct Non-Interactive Arguments of KnowledgezkSNARK:zero−knowledgeSuccinctNon−InteractiveArgumentsofKnowledge。 背景 zkS
一个数独引发的惨案:零知识证明(Zero-Knowledge Proof)
omnispace的博客
04-05 2287
这篇文章大部分译自:https://medium.com/qed-it/the-incredible-machine-4d1270d7363a 原文的作者是著名的Ghost和Spectre 这两个协议的创始团队的领队Aviv Zohar。原文作者说他的这篇原文又是引用了以下这两篇学术论文:How to Explain Zero Knowledge Protocols to Your Childre...
交互式零知识证明】(上)
qq_45764888的博客
10-04 5466
简单来说,零知识证明就是:证明者(`prover`)能够在不向验证者(`verifier`)提供任何有用的信息的情况下,使验证者(`verifier`)相信某个论断是正确的。所谓零知识,通俗的来,就是既证明了自己想证明的事情,同时透露给验证者的信息为“零”。零知识证明可以分为交互式交互式两种。
交互零知识证明:Fiat-Shamir Transform
weixin_44885334的博客
05-07 1214
交互证明系统 令R⊆X×YR \subseteq X \times YR⊆X×Y是一个有效关系,那么关于RRR的交互系统是一个算法对(Gen,Check)(Gen,Check)(Gen,Check),定义如下: GenGenGen:一个有效的概率算法,形如π←RGen(x,y)\pi \leftarrow_R Gen(x,y)π←R​Gen(x,y),其中(x,y)∈R(x,y) \in R(x,y)∈R,π∈PS\pi \in PSπ∈PS,这里的PSPSPS是证明空间(proof space) C
Schnorr协议:交互零知识身份证明和数字签名
区块链之美
03-14 5457
本文首发公众号VenusBlockChain,VenusBlockChain致力于区块链技术研究,传播区块链技术和解决方案、区块链应用落地、区块链行业动态等。欢迎关注公众号VenusBlockChain。 摘要:本篇文章介绍Schnorr的两大应用场景:从交互式零知识身份证明到交互零知识身份证明、数字签名实现基本原理、菲亚特-沙米尔(Fiat-Shamir)变换。 1.Schnorr简介 Sch...
亚瑟王的「随机」挑战:从交互到交互式零知识证明——探索零知识证明系列(四)
SECBIT区块链安全实验室
11-01 3989
本文作者:郭宇 本文已更新至Github https://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/4/zkp-rom.md “Challenges are at times an indication of Lord's trust in you.” 挑战,有时是上天信任你的一种表现。― D. Todd Christ...
云中「秘密」:构建交互式零知识证明---探索零知识证明系列(五)
SECBIT区块链安全实验室
01-10 1760
本文作者:郭宇 Once exposed, a secret loses all its power. 一旦泄露,秘密就失去了全部威力 ― Ann Aguirre 这已经是本系列的第五篇文章了,这一篇继续深入交互式零知识证明。 本文约 12,000 字。 系列一:初识「零知识」与「证明」 系列二:理解「模拟」 系列三:寻找「知识」 系列四:随机「挑战」 提纲 CRS 的前世今生 哈密尔...
2023海内外零知识证明学习资料汇总(二)(深入理解零知识证明篇)
最新发布
Tesla_Zhou的博客
12-29 1174
本文收集了关于零知识证明的一些学习资料(包括科普文章,论文,开源仓库及相关学习网站等),并对这些资源进行了整理分析,希望能对大家有所帮助。书接上篇,
简洁交互式零知识证明参数(zk-SNARKS),本文系统介绍了zk-SNARKS的数学理论,需要有一定的数学功底的人进行阅读
03-28
我们构建了一个系统,为冯·诺依曼RISC体系结构上的程序执行提供简洁的交互式零知识证明(zk SNARKs)。该系统由两部分组成:一个用于验证算术电路可满足性的密码验证系统,以及一个用于将程序执行转换为此类电路的电路生成器。与之前的工作相比,我们对这两个组件的设计在功能和效率方面都有所提高,如下所示。我们的电路生成器是第一个通用的:它不需要知道程序,只需要知道它的运行时间。此外,输出电路的大小取决于程序大小(而不是乘法),从而允许验证较大的程序。加密证明系统通过利用新算法和根据协议定制的配对库,提高了证明和验证时间。我们对我们的系统进行了评估,以获得多达10000条指令的程序,运行多达32000个机器步骤,每个步骤都可以任意访问随机存取存储器;并演示了如何执行使用即时编译的程序。我们的证明在80位安全性时长230字节,在128位安全性时长288字节。不管原始程序的运行时间如何,典型的验证时间为5毫秒。
bulletproofs:Bulletproofs 是简短的交互式零知识证明,不需要可信设置
05-30
Bulletproofs 是不需要可信设置的简短知识零知识论点。 参数系统是具有计算可靠性的证明系统。 Bulletproofs 适用于证明关于提交值的陈述,例如范围证明、可验证的 suffle、算术电路等。它们依赖于离散对数假设,并使用 Fiat-Shamir 启发式进行交互。 Bulletproofs 的核心算法是 Groth [2] 提出的内积算法。 该算法提供了满足给定内积关系的两个绑定向量 Pedersen 承诺的知识参数。 Bulletproofs 建立在 Bootle 等人的技术之上。 [3] 引入一种有效的内积证明,将论证的整体通信复杂性降低到仅 在哪里 是承诺的两个向量的维度。 范围证明 Bulletproofs 提供了一种用于进行短范围和可聚合范围证明的协议。 它们使用多项式对内部乘积中确定数字范围的证明进行编码。 范围证明是秘密值位于某个区间的证明。 范围证明不
Fiat_Shamir数字签名
12-26
去年自己做的一个有关数字签名的课程设计,用mfc的dialog做的,希望能对大家有所帮助!
零知识证明
桑安琪的成长之路
12-19 1095
"零知识证明"-zero-knowledge proof,是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能
浅谈零知识证明之二:简短无交互证明(SNARK)
SECBIT区块链安全实验室
12-31 2240
本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学,本系列文章来源于作者在斯坦福著名的课程《CS 251: Cryptocurrencies and blockchain technologies》上的学习笔记,该课程授课老师是密码学大拿 Dan Boneh。 上一期文章发表之后,常惊讶有那么多小伙伴读完了表示喜欢。那么我们接着这期继续吧!这次,我们专注的聊一聊SNAR...
交互式零知识证明】(下)
qq_45764888的博客
11-07 2294
采用Hash函数的方法来把一个交互式的证明系统变成交互式的方法被称为Fiat-Shamir变换,Fiat-Shamir启发式算法允许将交互步骤替换为交互随机数预言机(Random oracle)。随机数预言机,即随机数函数,是一种针对任意输入得到的输出之间是项目独立切均匀分布的函数。理想的随机数预言机并不存在,在实现中,经常采用密码学**哈希函数**作为随机数预言机。
交互分发ssh秘钥
zhangchanjuan123的博客
12-20 535
背景:新开一批服务器,先需要用ansible主机对该批服务器质性初始化操作,首先需要分发秘钥 新服务器的密码统一设置为123456 ip:192.168.1.20-30 以下是交互式分发密码,for循环实现,ansible主机需要先安装expect #!/bin/bash cd /root PW=123456 for IP in 192.168.1.{20..30} do set timeout 10 /usr/bin/expect <<-EOF spawn
Fiat-Shamir 变换
taylorswift的博客
02-22 557
上述方法就叫做 Fiat-Shamir 变换。Fiat-Shamir 变换只能将公开随机数的交互证明转化为交互证明。
信息安全与密码学博士:应该掌握的52个知识--(4)T46-- 菲亚特-沙米尔(Fiat-Shamir)变换
u010665790的博客
01-28 2233
目录 概念和应用 背景和数学表示 Schnorr 协议 数学表示[2] 概念和应用 Fiat-Shamir变换,又叫Fiat-Shamir Heurisitc(启发式),或者Fiat-Shamir Paradigm(范式)。是Fiat和Shamir 在1986年提出的一个变换,其特点是可以将交互式零知识证明转换为交互式零知识证明。这样就通过减少通信步骤而提高了通信的效率! 背...
零知识证明交互式交互式详解
交互式零知识证明需要证明者和验证者通过一系列的问答交互来完成证明过程,而交互式零知识证明则允许证明者一次性地提供证明,无需后续交互。此资源主要探讨了交互式零知识证明系统的定义和相关概念,包括交互图灵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值