零知识谜题

于 2022-07-18 14:41:45 发布
阅读量383 收藏 1
点赞数
分类专栏: 智能合约
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedomhero/article/details/125817327
版权

这是我们与 nChain 合作的第三部分。我们要特别感谢 Enrique Larraia 博士撰写本文所依据的白皮书并帮助指导实施。

一个标准的支付交易可以看作是一个公钥迷题。如果他知道给定地址/公钥的相应私钥,他就可以花费硬币。与会透露原像的哈希谜题不同,公钥谜题的解决方案,即私钥,永远不会被透露。这是使用数字签名实现的,这是一种零知识证明:一个人在不公开私钥的情况下证明私钥的知识。

我们使用标准的零知识证明技术来概括私钥的知识证明。因此,我们可以构建任意复杂的谜题,称为零知识 (ZK) 谜题,作为支出条件。一些用例包括:

  • 支付给椭圆曲线上的公钥,该椭圆曲线不同于当今比特币中使用的曲线 secp256k1

  • 支付给一组公钥,如果一个人知道任何一个公钥的私钥,就可以花费这些硬币,而无需透露是哪一个。

∑ 协议

∑-协议是一种零知识协议,用于在不公开值本身的情况下证明知道某种关系中的值。例如,证明知道离散对数,即给定 gy,证明知道 x 满足 gˣ = y 的而不揭示 x。它由证明者 Peggy 和验证者 Victor 之间的三个步骤组成,称为承诺、挑战和响应,如下图所示(名称 ∑ 来源于形状)。

在这里插入图片描述

图 1:∑ 协议

例如,Peggy 想要让 Victor 相信她知道 Y = 𝜑(x) 中的 x 而不透露 x,其中 𝜑 是一个函数¹。双方都接收 Y 作为输入。

  1. Peggy 使用随机数 a 计算承诺 A。她与 Victor 共享 A,但没有透露 a
  2. Victor 生成一个随机数 e 作为挑战并与 Peggy 共享。
  3. Peggy 使用 ae 计算答案 z 并返​​回给 Victor。

通过检查公共信息 AYze,Victor 判断 Peggy 知道 x 是否等式成立。

在这里插入图片描述

图 2:在 𝜑 下证明知道 x 的 ∑ 协议

Fiat-Shamir 启发式

上面的 ∑ 协议需要 Peggy 和 Victor 之间的交互。我们可以使用标准的 Fiat-Shamir启发式 技术来消除交互。基本思想是使用像 sha256 这样的加密哈希函数 H 来模拟 Victor 的挑战 e。通过散列 YA,特定于协议执行,e 可以被视为随机²。证明知道 x 的新 ∑ 协议变为:

在这里插入图片描述

图 3:在 𝜑 下证明知道 x 的 非交互式 ∑ 协议

只有一步:Peggy 将证明 (e, z) 发送给 Victor。Victor 使用图 2 中的等式推导出 A 并检查 e == H(Y || A) 是否成立。

零知识谜题示例

我们将非交互式 ∑ 协议应用于比特币,其中 𝜑(x) = x * GG 是生成点。

支付到通用公钥 (P2GPK)

我们使用∑协议,用证明 (e,z) 替换签名。它是标准 Pay to Public Key (P2PK) 谜题的扩展。
以下代码实现了验证,使用了我们的椭圆曲线库

// pay to a generic public key
contract P2GPK {
    // public key
    Point pk;

    public function unlock(int e, int z, SigHashPreimage preimage) {
        require(Tx.checkPreimage(preimage));

        // Compute A = z * G - e * PK
        Point zG = EC.multByScalar(EC.G, z);
        Point ePK = EC.multByScalar(this.pk, e);
        Point A = EC.addPoints(zG, EC.negatePoint(ePK));

        // Compute e = H(preimage || PK || A)
        bytes pk_ = EC.point2PubKey(this.pk);
        bytes A_ = EC.point2PubKey(A);
        int e_ = Utils.fromLEUnsigned(sha256(preimage + pk_ + A_));

        require(e == e_);
    }
}
P2GPK 合约

它与图 3 中的验证相同,只是我们还在 H 中添加了 sighash 原像,就像比特币签名当前所做的那样。否则,攻击者可以更改交易并将硬币重定向到他的地址,因为证明在解锁脚本中是公开的,即上述函数 unlock() 的参数。H 在第 17 行被执行 SHA256运算。

内置签名检查相比,P2GPK 享有多项优势。

  • 它可以使用比硬编码曲线 secp256k1 具有更高安全性的曲线,例如 secp521r1。如果数十年来大量比特币由一个密钥控制,这可能是可取的。这也意味着通过使用现有的操作码³,比特币可以升级到更安全的签名方案,而不会破坏更改协议。

  • 它可以重用其他地方的兼容密钥。例如,PGP 支持椭圆曲线密钥,比特币可以发送到 PGP 密钥,即使它们基于其他曲线。

总结

到目前为止,我们只将 ∑ 协议应用于单个谜题。∑ 协议是模块化的,并且可以通过使用例如逻辑串联/与 和并联/或 组合在一起。因此,我们可以构建更高级的谜题,例如:

支付到群组密码(P2GP):任何知道任意群组密码的人都可以通过提供证明来花费资金,而无需透露使用了哪一个群组密码。这是 1-of-n 多重签名的概括,但更私密。例如,Peggy 证明她知道公钥 YZ 的私钥,即她知道 x 使得:

x * G == Y || x * G == Z

支付到阈值群组密码(P2TGP):使用 AND 和 OR 组合的证明,一个组中的 n 个成员中的任何 m 个可以集体赎回 UTXO,而无需透露是哪些 m 个成员。这包括了 P2GP 和 m-of-n 多重签名。例如,一个 2-of-3 零知识谜题需要:

x * G == X && y* G == Y || x * G == X && z * G == Z || y * G == Y && z * G == Z

致谢

这是与 nChain 在 1617 号白皮书上的合作:Enrique Larraia 博士的零知识迷题。

[1] 𝜑 必须是单向群同态,例如离散对数。

[2] 假设 H 是一个随机预言机。

[3] sha256、ripemd160等哈希函数可以被升级。

sCrypt Web3应用开发
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
信息安全与密码学博士:应该掌握的52个知识--(5)T47--Sigma协议中完备性,合法性和零知识
u010665790的博客
01-28 1725
目录 Σ(Sigma)协议的含义[1] 零知识证明 3个性质的含义[1] Σ(Sigma)协议的含义[1] Σ协议又称为诚实验证者的(特殊)零知识证明。即假设验证者是诚实的。 Σ协议的定义是:对于诚实验证者情形,存在p.p.t模拟器,对于任意的 y∈L_r 和附加的输入c,能够模拟产生于正常诚实证明者和诚实验证者协议交互 输出相同概率分布的(a,c,s)。 Schnorr协议是...
数字签名算法c++_Schnorr协议:非交互零知识身份证明和数字签名
weixin_39930748的博客
11-20 887
本文首发公众号VenusBlockChain,VenusBlockChain致力于区块链技术研究,传播区块链技术和解决方案、区块链应用落地、区块链行业动态等。有兴趣的小伙伴们,快上车!!!欢迎关注公众号摘要:本篇文章介绍Schnorr的两大应用场景,即从交互式零知识身份证明到非交互零知识身份证明、数字签名实现基本原理、菲亚特-沙米尔(Fiat-Shamir)变换。1. Schnorr简介Schno...
知识证明:Sigma协议
weixin_44885334的博客
04-11 7534
参考书籍: 1. Boneh D, Shoup V. A graduate Zero-Knowledge Proof 一些术语 证据(Witness):the value being proven knowledge of。仅Prover知道,不对Verifier泄露。 实例(Instance):描述关系中除witness外的所有其它元素,均统称为instance。它是公开信息,对于Prover和Verifier均已知。 证明者(Prover): the entity proving the knowled
信息安全与密码学博士:应该掌握的52个知识--(4)T46-- 菲亚特-沙米尔(Fiat-Shamir)变换
u010665790的博客
01-28 2172
目录 概念和应用 背景和数学表示 Schnorr 协议 数学表示[2] 概念和应用 Fiat-Shamir变换,又叫Fiat-Shamir Heurisitc(启发式),或者Fiat-Shamir Paradigm(范式)。是Fiat和Shamir 在1986年提出的一个变换,其特点是可以将交互式零知识证明转换为非交互式零知识证明。这样就通过减少通信步骤而提高了通信的效率! 背...
密码学中的sigma-protocol
mutourend的博客
09-10 3682
参考资料: [1] 论文《On Σ-protocols》 [2] https://en.wikipedia.org/wiki/Sigma_Protocol [3] https://www.youtube.com/watch?v=nwsmG3S9wIc
算法_suanfa_算法_
10-01
算法是计算机科学领域最重要的基石之一。算法,就是能够直接或间接地采用算法来加以解决的。求解算法是培养和锻炼算法思维能力一种最有效和最有乐趣的途径
算法PDF
09-05
算法,里面含有大量的算法的解法,如八皇后问,迷宫问,动态规划,回溯法,汉罗塔,等等,并且有大量的习可以做。
三壶.ipynb
11-08
三壶 算法分析 采用的算法思想是将某个时刻水壶中的谁的数量看作一个状态,用一个长度为3的数组表示。初始状态便为[8,0,0],再拓展他的下一结点的可能结构。 若下一结点的结构已经被拓展过了便放弃,若没有拓展过...
算法.pdf
01-09
本书包括了一些古已有之的,数学和计算机科学有一部分知识就发源于此。本书中还有一些较新的,其中有一部分被用作知名IT企业的面试。全书可分为4个部分,分别是概览、、提示和答案。概览介绍了...
航芯技术分享 | 一文读懂什么是量子密码
weixin_43362622的博客
03-08 4455
被喻为“重要数据保险箱”的安全芯片已经渗入人们生活的方方面面。随着5G、物联网、车联网的迅速发展,为安全芯片开启了新的应用场景,同时也带来了新的挑战。 本文将带大家深入了解安全芯片的核心,后量子密码认证技术。 安全认证技术概述 安全认证技术是防止信息被篡改、删除、重放和伪造的一种有效方法。它使接收者能够识别和确认消息的来源和真伪。目前认证技术主要有4种: (1)数字摘要 (2)数字摘要+对称密钥认证 (3)数字摘要+非对称密钥认证 (4)数字证书认证 不过随着量子计算机的发展,现有的绝大多数
Fiat_Shamir数字签名
12-26
去年自己做的一个有关数字签名的课程设计,用mfc的dialog做的,希望能对大家有所帮助!
Schnorr协议:非交互零知识身份证明和数字签名
区块链之美
03-14 5373
本文首发公众号VenusBlockChain,VenusBlockChain致力于区块链技术研究,传播区块链技术和解决方案、区块链应用落地、区块链行业动态等。欢迎关注公众号VenusBlockChain。 摘要:本篇文章介绍Schnorr的两大应用场景:从交互式零知识身份证明到非交互零知识身份证明、数字签名实现基本原理、菲亚特-沙米尔(Fiat-Shamir)变换。 1.Schnorr简介 Sch...
Fiat-Shamir heuristic(含实现)和Random oracle
mutourend的博客
07-02 1537
1. Fiat-Shamir 定义 通过Fiat-Shamir转换,可将Bulletproof中Verifier多次challenge的interactive证明切换为Non-Interactive proof. The Fiat-Shamir heuristic. The Fiat-Shamir transformation takes an interactive public coin ar...
Fiat–Shamir heuristic 启发式的应用 理解 代码实现
ChainingBlocks
12-07 1225
先讲问,再引入Fiat–Shamir heuristic。 问 平时我们使用密码注册和登录一个网站的过程可能是这样的。我们使用用户名和密码注册一个网站,网站后台收到用户名和密码之后,使用一个hash算法计算密码的哈希值,然后将用户名和哈希值存入数据库。下次用户登录的时候,后台以同样的方式计算出哈希值,对比数据库中的是否一样,如果两者的用户名和哈希值都一样,登录成功。好一点的后台可能在计算哈希值...
密码学读书笔记——Fiat-Shamir
little_pants的博客
11-22 1360
密码学读书笔记——Fiat-Shamir交互式的身份验证非交互式的签名方案关于Fait-Shamir安全性的思考 交互式的身份验证 在中心准备签发智能卡时,会信选择出一个模数n和一个伪随机函数f,这个伪随机函数f可以将任意的字符串与[0,n)当中的一个数联系起来。n是两个秘密(只有中心知道)素数p和q的乘积。 当一个合法的用户希望申请一个智能卡时,中心会解析它的所有相关信息,包括名字、地址、ID、物理特征描述等,这些信息会被包括在一个字符串当中,同时有关卡片本身的一些信息也会被包含在其中(发行日期,有效性限
BSV 区块链上的计算外包示例
sCrypt Web3 应用开发
02-11 8238
我们提出一种新的范例,用 sCrypt 智能合约来外包密集型计算。这种方法适合解决大量的计算密集型问。作为示例,我们把该方法应用到旅行推销员问上。 旅行圣诞老人/推销员问 在平安夜,圣诞老人需要遍历每个家庭给孩子们送礼物。在准备雪橇之前,他想要找到来往于所有烟囱之间的最短路线。由于烟囱数量庞大,这需要大量计算[1]。因为 BSV 区块链具备超强的智能合约能力,他决定用该能力来应对这个挑战。 他部署了下面的合约,并将1个 BSV 锁定在合约 UTXO 中。任何人如果发现了比给定的阈值更短的路径,就可以
使用 Merklized 抽象语法树压缩智能合约
sCrypt Web3 应用开发
08-01 6025
Merklized 抽象语法树 MAST(又名 Merklized 替代脚本树)是一种使用 Merkle 树压缩比特币智能合约的技术。我们在比特币 SV 上实施了 MAST。与所有其他实现不同,我们利用原始比特币协议,没有任何共识更改。 问 通常有不止一种方法可以解锁锁定在比特币智能合约中的硬币。在 sCrypt 中,每种方式都被建模为一个公有函数,代表一种条件的解锁分支。例如,在 TimedCommit 合约中,可以通过 Alice 的原像和她的签名,或者通过 Alice 和 Bob 的签名来解锁合约。
在 BSV 上构建机器学习竞赛市场
sCrypt Web3 应用开发
07-29 5076
我们提出了一种在 BSV 上实现去中心化机器学习 (ML) 市场的新方法。任何人都可以通过发布附带奖励的智能合约来外包机器学习任务。任何提交表现最佳模型的人都将通过区块链交易获得奖励,而无需通过中心化机构。
使用 sCrypt 实现数独游戏合约
sCrypt Web3 应用开发
01-17 4429
我们在 Bitcoin SV 上实现了一个数独游戏的合约,利用之前介绍过的一种合约范式可以将游戏中寻找解方案的过程外包上链。因为求解数独问的计算工作量会随着其行列数快速增长,实际上它也是一个 NP-完全 问。不过我们可以借由比特币智能合约巧妙地寻求答案,只需要验证答案提供者所给出的解答是否满足要求即可,这样可以将复杂的求解过程计算在链下进行实现。 sCrypt 合约代码如下: import "util.scrypt"; import "array.scrypt"; contract Sudoku
C++编程实现三壶
最新发布
03-18
三壶是一个经典的逻辑问,通过使用三个容量不同的水壶,来实现特定容量的水的测量。以下是C++编程实现三壶的一种可能解决方案: ```cpp #include <iostream> #include <queue> #include <set> using namespace std; struct State { int x, y, z; string path; }; void solveThreeJugs(int a, int b, int c, int d) { queue<State> q; set<pair<int, int>> visited; State init = {0, 0, c, ""}; q.push(init); visited.insert(make_pair(0, c)); while (!q.empty()) { State curr = q.front(); q.pop(); if (curr.x == d || curr.y == d || curr.z == d) { cout << curr.path << endl; return; } // 从x壶向y壶倒水 if (curr.x > 0) { int pour = min(curr.x, b - curr.y); State next = {curr.x - pour, curr.y + pour, curr.z, curr.path + "X" + to_string(pour) + "Y"}; if (visited.find(make_pair(next.x, next.y)) == visited.end()) { q.push(next); visited.insert(make_pair(next.x, next.y)); } } // 从x壶向z壶倒水 if (curr.x > 0) { int pour = min(curr.x, c - curr.z); State next = {curr.x - pour, curr.y, curr.z + pour, curr.path + "X" + to_string(pour) + "Z"}; if (visited.find(make_pair(next.x, next.z)) == visited.end()) { q.push(next); visited.insert(make_pair(next.x, next.z)); } } // 从y壶向x壶倒水 if (curr.y > 0) { int pour = min(curr.y, a - curr.x); State next = {curr.x + pour, curr.y - pour, curr.z, curr.path + "Y" + to_string(pour) + "X"}; if (visited.find(make_pair(next.x, next.y)) == visited.end()) { q.push(next); visited.insert(make_pair(next.x, next.y)); } } // 从y壶向z壶倒水 if (curr.y > 0) { int pour = min(curr.y, c - curr.z); State next = {curr.x, curr.y - pour, curr.z + pour, curr.path + "Y" + to_string(pour) + "Z"}; if (visited.find(make_pair(next.y, next.z)) == visited.end()) { q.push(next); visited.insert(make_pair(next.y, next.z)); } } // 从z壶向x壶倒水 if (curr.z > 0) { int pour = min(curr.z, a - curr.x); State next = {curr.x + pour, curr.y, curr.z - pour, curr.path + "Z" + to_string(pour) + "X"}; if (visited.find(make_pair(next.x, next.z)) == visited.end()) { q.push(next); visited.insert(make_pair(next.x, next.z)); } } // 从z壶向y壶倒水 if (curr.z > 0) { int pour = min(curr.z, b - curr.y); State next = {curr.x, curr.y + pour, curr.z - pour, curr.path + "Z" + to_string(pour) + "Y"}; if (visited.find(make_pair(next.y, next.z)) == visited.end()) { q.push(next); visited.insert(make_pair(next.y, next.z)); } } } cout << "无法得到目标容量的水" << endl; } int main() { int a, b, c, d; cout << "请输入三个水壶的容量(以空格分隔):"; cin >> a >> b >> c; cout << "请输入目标容量:"; cin >> d; solveThreeJugs(a, b, c, d); return 0; } ``` 这段代码使用了广度优先搜索算法来遍历所有可能的状态,直到找到目标容量的水或者无法得到目标容量的水。程序会输出一系列操作,其中X表示从x壶倒水,Y表示从y壶倒水,Z表示从z壶倒水。如果无法得到目标容量的水,则输出"无法得到目标容量的水"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sCrypt Web3应用开发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值