Bulletproofs 代码解析

最新推荐文章于 2024-04-10 09:39:10 发布
最新推荐文章于 2024-04-10 09:39:10 发布
阅读量2.3k 收藏 11
点赞数 1
分类专栏: 零知识证明
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/107908300
版权

1. 引言

Benedikt B¨unz、 Jonathan Bootle和 Dan Boneh等人2018年论文《Bulletproofs: Short Proofs for Confidential Transactions and More》,相应的代码实现库有:

  • https://github.com/dalek-cryptography/bulletproofs
  • https://github.com/adjoint-io/bulletproofs
  • https://github.com/lovesh/bulletproofs-r1cs-gadgets (基于 https://github.com/dalek-cryptography/bulletproofs ,将待证明statement转换为R1CS arithmetic circuit进行证明,包含的例子有:证明某值在特定范围;证明某值为非附属;证明某值不等于特定值;membership或non-membership证明等等。)
  • https://github.com/KZen-networks/bulletproofs
  • https://github.com/akosba/jsnark

https://github.com/akosba/jsnark 中提供了一个通用工具,用于构建Bulletproofs for any NP language,该工具可读取Pinocchio格式的arithmetic circuit,同时包含了将C语言编译为circuit fomat 的编译器。

本博文主要针对https://github.com/dalek-cryptography/bulletproofs 代码实现进行解析。

https://github.com/dalek-cryptography/bulletproofs 为当前速度最快的Bulletproofs算法实现,其使用https://github.com/dalek-cryptography/curve25519-dalek 中对 curve25519曲线 封装的 ristretto255 group ,当采用 AVX2 backend来进行并行计算时,对于64-bit的rangproofs,其速度要比 libsecp256k1实现的Bulletproofs 快将近2倍。
https://github.com/dalek-cryptography/bulletproofs/blob/main/Cargo.toml 中配置可知,https://github.com/dalek-cryptography/bulletproofs 默认启动了avx2_backend并行计算.

[features]
default = ["std", "avx2_backend"]
avx2_backend = ["curve25519-dalek/avx2_backend"]
# yoloproofs = []
std = ["rand", "rand/std", "thiserror"]

为实现non-interactive zero-knowledge proof,其中的 Fiat-Shamir transform 采用的是 Merlin框架(https://github.com/dalek-cryptography/merlin)。

2. Inner product proof 代码实现 ipp

在这里插入图片描述
在这里插入图片描述
主要见https://github.com/dalek-cryptography/bulletproofs/blob/main/src/inner_product_proof.rs 中代码:

fn test_helper_create(n: usize) { //其中n为vector size
        let mut rng = rand::thread_rng();

        use crate::generators::BulletproofGens;
        let bp_gens = BulletproofGens::new(n, 1);
        let G: Vec<RistrettoPoint> = bp_gens.share(0).G(n).cloned().collect();
        let H: Vec<RistrettoPoint> = bp_gens.share(0).H(n).cloned().collect();

        // Q would be determined upstream in the protocol, so we pick a random one.
        let Q = RistrettoPoint::hash_from_bytes::<Sha3_512>(b"test point");

        // a and b are the vectors for which we want to prove c = <a,b>
        let a: Vec<_> = (0..n).map(|_| Scalar::random(&mut rng)).collect();
        let b: Vec<_> = (0..n).map(|_| Scalar::random(&mut rng)).collect();
        let c = inner_product(&a, &b);

        let G_factors: Vec<Scalar> = iter::repeat(Scalar::one()).take(n).collect();

        // y_inv is (the inverse of) a random challenge
        let y_inv = Scalar::random(&mut rng);
        let H_factors: Vec<Scalar> = util::exp_iter(y_inv).take(n).collect();

        // P would be determined upstream, but we need a correct P to check the proof.
        //
        // To generate P = <a,G> + <b,H'> + <a,b> Q, compute
        //             P = <a,G> + <b',H> + <a,b> Q,
        // where b' = b \circ y^(-n)
        let b_prime = b.iter().zip(util::exp_iter(y_inv)).map(|(bi, yi)| bi * yi);
        // a.iter() has Item=&Scalar, need Item=Scalar to chain with b_prime
        let a_prime = a.iter().cloned();

        let P = RistrettoPoint::vartime_multiscalar_mul(
            a_prime.chain(b_prime).chain(iter::once(c)),
            G.iter().chain(H.iter()).chain(iter::once(&Q)),
        );

        let mut verifier = Transcript::new(b"innerproducttest");
        let proof = InnerProductProof::create(
            &mut verifier,
            &Q,
            &G_factors,
            &H_factors,
            G.clone(),
            H.clone(),
            a.clone(),
            b.clone(),
        );

        let mut verifier = Transcript::new(b"innerproducttest");
        assert!(proof
            .verify(
                n,
                &mut verifier,
                iter::repeat(Scalar::one()).take(n),
                util::exp_iter(y_inv).take(n),
                &P,
                &Q,
                &G,
                &H
            )
            .is_ok());

        let proof = InnerProductProof::from_bytes(proof.to_bytes().as_slice()).unwrap();
        let mut verifier = Transcript::new(b"innerproducttest");
        assert!(proof
            .verify(
                n,
                &mut verifier,
                iter::repeat(Scalar::one()).take(n),
                util::exp_iter(y_inv).take(n),
                &P,
                &Q,
                &G,
                &H
            )
            .is_ok());
    }

3. range proof (aggregated)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

代码实现主要见https://github.com/dalek-cryptography/bulletproofs/blob/main/src/range_proof/mod.rs

// m为value数量,n为范围的bitsize
/// Given a bitsize `n`, test the following:
    ///
    /// 1. Generate `m` random values and create a proof they are all in range;
    /// 2. Serialize to wire format;
    /// 3. Deserialize from wire format;
    /// 4. Verify the proof.
    fn singleparty_create_and_verify_helper(n: usize, m: usize) {
        // Split the test into two scopes, so that it's explicit what
        // data is shared between the prover and the verifier.

        // Use bincode for serialization
        //use bincode; // already present in lib.rs

        // Both prover and verifier have access to the generators and the proof
        let max_bitsize = 64;
        let max_parties = 8;
        let pc_gens = PedersenGens::default();
        let bp_gens = BulletproofGens::new(max_bitsize, max_parties);

        // Prover's scope
        let (proof_bytes, value_commitments) = {
            use self::rand::Rng;
            let mut rng = rand::thread_rng();

            // 0. Create witness data
            let (min, max) = (0u64, ((1u128 << n) - 1) as u64);
            let values: Vec<u64> = (0..m).map(|_| rng.gen_range(min, max)).collect();
            let blindings: Vec<Scalar> = (0..m).map(|_| Scalar::random(&mut rng)).collect();

            // 1. Create the proof
            let mut transcript = Transcript::new(b"AggregatedRangeProofTest");
            let (proof, value_commitments) = RangeProof::prove_multiple(
                &bp_gens,
                &pc_gens,
                &mut transcript,
                &values,
                &blindings,
                n,
            )
            .unwrap();

            // 2. Return serialized proof and value commitments
            (bincode::serialize(&proof).unwrap(), value_commitments)
        };

        // Verifier's scope
        {
            // 3. Deserialize
            let proof: RangeProof = bincode::deserialize(&proof_bytes).unwrap();

            // 4. Verify with the same customization label as above
            let mut transcript = Transcript::new(b"AggregatedRangeProofTest");

            assert!(proof
                .verify_multiple(&bp_gens, &pc_gens, &mut transcript, &value_commitments, n)
                .is_ok());
        }
    }

4. Bulletproofs MPC协议

代码实现主要见https://github.com/dalek-cryptography/bulletproofs/blob/main/src/range_proof/mod.rs

 #[test]
    fn detect_dishonest_party_during_aggregation() {
        use self::dealer::*;
        use self::party::*;

        use crate::errors::MPCError;

        // Simulate four parties, two of which will be dishonest and use a 64-bit value.
        let m = 4;
        let n = 32;

        let pc_gens = PedersenGens::default();
        let bp_gens = BulletproofGens::new(n, m);

        use self::rand::Rng;
        let mut rng = rand::thread_rng();
        let mut transcript = Transcript::new(b"AggregatedRangeProofTest");

        // Parties 0, 2 are honest and use a 32-bit value
        let v0 = rng.gen::<u32>() as u64;
        let v0_blinding = Scalar::random(&mut rng);
        let party0 = Party::new(&bp_gens, &pc_gens, v0, v0_blinding, n).unwrap();

        let v2 = rng.gen::<u32>() as u64;
        let v2_blinding = Scalar::random(&mut rng);
        let party2 = Party::new(&bp_gens, &pc_gens, v2, v2_blinding, n).unwrap();

        // Parties 1, 3 are dishonest and use a 64-bit value
        let v1 = rng.gen::<u64>();
        let v1_blinding = Scalar::random(&mut rng);
        let party1 = Party::new(&bp_gens, &pc_gens, v1, v1_blinding, n).unwrap();

        let v3 = rng.gen::<u64>();
        let v3_blinding = Scalar::random(&mut rng);
        let party3 = Party::new(&bp_gens, &pc_gens, v3, v3_blinding, n).unwrap();

        let dealer = Dealer::new(&bp_gens, &pc_gens, &mut transcript, n, m).unwrap();

        let (party0, bit_com0) = party0.assign_position(0).unwrap();
        let (party1, bit_com1) = party1.assign_position(1).unwrap();
        let (party2, bit_com2) = party2.assign_position(2).unwrap();
        let (party3, bit_com3) = party3.assign_position(3).unwrap();

        let (dealer, bit_challenge) = dealer
            .receive_bit_commitments(vec![bit_com0, bit_com1, bit_com2, bit_com3])
            .unwrap();

        let (party0, poly_com0) = party0.apply_challenge(&bit_challenge);
        let (party1, poly_com1) = party1.apply_challenge(&bit_challenge);
        let (party2, poly_com2) = party2.apply_challenge(&bit_challenge);
        let (party3, poly_com3) = party3.apply_challenge(&bit_challenge);

        let (dealer, poly_challenge) = dealer
            .receive_poly_commitments(vec![poly_com0, poly_com1, poly_com2, poly_com3])
            .unwrap();

        let share0 = party0.apply_challenge(&poly_challenge).unwrap();
        let share1 = party1.apply_challenge(&poly_challenge).unwrap();
        let share2 = party2.apply_challenge(&poly_challenge).unwrap();
        let share3 = party3.apply_challenge(&poly_challenge).unwrap();

        match dealer.receive_shares(&[share0, share1, share2, share3]) {
            Err(MPCError::MalformedProofShares { bad_shares }) => {
                assert_eq!(bad_shares, vec![1, 3]);
            }
            Err(_) => {
                panic!("Got wrong error type from malformed shares");
            }
            Ok(_) => {
                panic!("The proof was malformed, but it was not detected");
            }
        }
    }

    #[test]
    fn detect_dishonest_dealer_during_aggregation() {
        use self::dealer::*;
        use self::party::*;
        use crate::errors::MPCError;

        // Simulate one party
        let m = 1;
        let n = 32;

        let pc_gens = PedersenGens::default();
        let bp_gens = BulletproofGens::new(n, m);

        use self::rand::Rng;
        let mut rng = rand::thread_rng();
        let mut transcript = Transcript::new(b"AggregatedRangeProofTest");

        let v0 = rng.gen::<u32>() as u64;
        let v0_blinding = Scalar::random(&mut rng);
        let party0 = Party::new(&bp_gens, &pc_gens, v0, v0_blinding, n).unwrap();

        let dealer = Dealer::new(&bp_gens, &pc_gens, &mut transcript, n, m).unwrap();

        // Now do the protocol flow as normal....

        let (party0, bit_com0) = party0.assign_position(0).unwrap();

        let (dealer, bit_challenge) = dealer.receive_bit_commitments(vec![bit_com0]).unwrap();

        let (party0, poly_com0) = party0.apply_challenge(&bit_challenge);

        let (_dealer, mut poly_challenge) =
            dealer.receive_poly_commitments(vec![poly_com0]).unwrap();

        // But now simulate a malicious dealer choosing x = 0
        poly_challenge.x = Scalar::zero();

        let maybe_share0 = party0.apply_challenge(&poly_challenge);

        assert!(maybe_share0.unwrap_err() == MPCError::MaliciousDealer);
    }

5. Bulletproofs R1CS——用于Verifiable shuffle证明

如需运行,注意切换develop 分支,同时cargo test --feature "yoloproofs"

其中的permutation为未知不公开的Verifiable shuffle证明。
主要思路为:
若committed x 1 , ⋯   , x n x_1,\cdots,x_n x1,,xn为committed y 1 , ⋯   , y n y_1,\cdots,y_n y1,,yn的某中permutation,则对于任意的challenge z z z,应有:
∏ i = 1 n ( x i − z ) = ∏ i = 1 n ( y i − z ) \prod_{i=1}^{n}(x_i-z)=\prod_{i=1}^{n}(y_i-z) i=1n(xiz)=i=1n(yiz) 恒成立。

具体的代码实现见:https://github.com/dalek-cryptography/bulletproofs/blob/main/tests/r1cs.rs

fn kshuffle_helper(k: usize) { // k为vector size
    use rand::Rng;

    // Common code
    let pc_gens = PedersenGens::default();
    let bp_gens = BulletproofGens::new((2 * k).next_power_of_two(), 1);

    let (proof, input_commitments, output_commitments) = {
        // Randomly generate inputs and outputs to kshuffle
        let mut rng = rand::thread_rng();
        let (min, max) = (0u64, std::u64::MAX);
        let input: Vec<Scalar> = (0..k)
            .map(|_| Scalar::from(rng.gen_range(min, max)))
            .collect();
        let mut output = input.clone();
        output.shuffle(&mut rand::thread_rng());

        let mut prover_transcript = Transcript::new(b"ShuffleProofTest");
        ShuffleProof::prove(&pc_gens, &bp_gens, &mut prover_transcript, &input, &output).unwrap()
    };

    {
        let mut verifier_transcript = Transcript::new(b"ShuffleProofTest");
        assert!(proof
            .verify(
                &pc_gens,
                &bp_gens,
                &mut verifier_transcript,
                &input_commitments,
                &output_commitments
            )
            .is_ok());
    }
}

参考资料

[1] 博客 Bulletproof现有代码实现说明
[2] 博客 bulletproofs for r1cs
[3] 博客 ristretto255对外API抽象及基于Curve25519的ristretto255层实现
[4] 博客 ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519 cofactor的sage验证)
[5] 博客 Zero knowledge proofs using Bulletproofs
[6] 博客 curve25519-dalek并行运算性能
[7] 博客 Accelerating Edwards Curve Arithmetic with Parallel Formulas
[8] 博客 Merlin——零知识证明(1)理论篇

mutourend
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
算法证明_「技术」理解零知识证明算法之Bulletproofs:Range Proof I
weixin_39625709的博客
12-24 795
前言Bulletproofs,又一个有意思的零知识证明算法,相信读者已经很熟悉它了。和zk-snark相比,它不需要可信设置;和zk-stark算法相比,它具有较小的proof size。根据论文,它有两个方面的应用:1. 用于range proof;2. 用于一般算术电路的零知识证明。下面,让我们先看一下Bulletproofs是如何高效的实现第一点。Range proof1. 预备知识aL:表...
bulletproofs:Bulletproofs 是简短的非交互式零知识证明,不需要可信设置
05-30
Bulletproofs 是不需要可信设置的简短知识零知识论点。 参数系统是具有计算可靠性的证明系统。 Bulletproofs 适用于证明关于提交值的陈述,例如范围证明、可验证的 suffle、算术电路等。它们依赖于离散对数假设,并...
Bulletproof零知识证明
跨链技术践行者
09-16 2278
如何使用dalek-cryptography中的Bulletproofs实现(Bulletproofs implementation)[1]创建各种零知识证明。示例为i)证明自己知道给定数字的因数而不披露该因数,ii)范围证明,即证明自己知道能使a≤x≤b的x值,而不披露x,iii)证明该x值非零并不披露(而且不使用上面的范围证明),iv)集合的包含证明,即给定一个集合S,证明自己知道集合中的一个...
bulletproof-nodejs:防弹node.js API的实现:shield_selector:
02-03
防弹Node.js架构 :shield_selector: 这是博客文章的示例存储 请阅读博客文章,以更好地了解服务器体系结构。 另外,我在代码中添加了很多不在博客文章中的注释,因为它们解释了实现的原因以及选择的原因以及一些个人见解和一些恶作剧。 API本身没有任何花哨的功能,它只是具有身份验证功能的用户CRUD。 也许我们可以将其转换为有用的,更高级的示例,只需打开一个问题,然后讨论回购的未来。 发展历程 我们使用node版本14.9.0 nvm install 14.9.0 nvm use 14.9.0 第一次,您将需要运行 npm install 然后只需使用以下命令启动服务器 npm run start 它使用nodemon进行livereloading:peing-fingers: 在线一键设置 您可以将Gitpod用于一键在线设置。 只需单击一下,它将自动启动工作区: 克隆bulletproof-nodejs。 安装依赖项。 运行cp .env.example .env 。 运行npm run start 。 API验证 通过使用Celebrate,r
Bulletproof现有代码实现说明
mutourend的博客
07-03 1852
1. Bulletproof特征 Bulletproof相对于zk-SNARK,不需要trust setup过程。但是verify一个proof的时长要超过zk-SNARK。 Bulletproof可用于加密货币的隐私交易(如隐藏UTXO的交易金额),可将现有10KB的proof压缩到1KB,且支持同时对m个交易生成聚合proof,相对于单个交易的proof,只需额外增加O(log(m))个元素。...
Monero bulletproof 源码结构解析
mutourend的博客
06-27 745
1. 代码下载并切换到指定commit 切换到 bp-multi-aggregation 分支的7f964dfc8f15145e364ae4763c49026a3fab985d commit. git clone https://github.com/moneromooo-monero/bitmonero.git cd bitmonero git checkout 7f964dfc8f Bull...
Bulletproofs+ 代码解析
mutourend的博客
09-07 1114
1. 引言 Chung等人2020年论文《Bulletproofs+: Shorter Proofs for Privacy-Enhanced Distributed Ledger》 代码实现参见: https://github.com/ZenGo-X/bulletproofs 各算法细节参见博客 Bulletproofs+: Shorter Proofs for Privacy-Enhanced Distributed Ledger学习笔记 2. zk-WIP (zero-knowledge weig
bulletproofs:使用Ristretto的Bulltproof的纯锈实现
05-06
在curve25519-dalek AVX2后端中使用时,它可以验证64位范围证明,其速度大约是原始的基于libsecp256k1的Bulletproofs实现的两倍。 该提供以下实现: 使用聚合范围证明构造,可对单个或多个范围的单方证明; ...
dalek-rangeproofs:这是一个纯Rust的范围验证方案的实现。 现在,它已被Bulletproofs淘汰
04-29
达力克范围证明 这个仓是: 在定义的Back-Maxwell范围证明方案的纯除锈实现。 这是一种方案的概念验证,该方案现已过时,请使用...将RangeProof代码移至back_maxwell.rs模块 仔细检查文件 仔细检查代码 不要使用任
zkproofs:ING零知识范围证明的原始迭代。 此回购已被存档为先前的工作知识,有关最新的Bulletproofs实施,请访问ing-bankzkrp
02-05
请注意,此代码不做任何维护。 这意味着它可能包含严重的安全问题。 请不要使用此代码。 要获取更新的安全版本,请使用 。 旧的自述文件:零知识证明该存储包含ING的零知识范围证明(ZKRP)和零知识集成员资格...
jsnark:用于zk-SNARK电路的Java
05-03
jsnark 这是一个Java,用于构建用于预处理zk-SNARK的电路。 该使用libsnark作为后端( ),并且可以在需要时集成Pinocchio编译器( )产生的电路。程序员。 该代码包括两个主要部分: JsnarkCircuitBuilder :一个Java项目,具有一个用于构建/增强电路的小工具。 (检查src/examples包) libsnark/jsnark_interface : libsnark/jsnark_interface的C ++接口,它直接接受由电路制造商或Pinocchio的编译器生成的电路。 更新内容: jsnark现在具有在早期工作中使用的几个加密小工具( 和 )。 xJsnark的技术改进了RSA和AES等小工具。 这些小工具可以在。 xjsnark是zk-SNARK的高级编程框架,可。 xJsnark在后端使用了jsnark
jSNARK-开源
04-27
jSNARK是一个可扩展的编程系统,旨在帮助感兴趣的研究人员开发和评估用于从其投影中重建2D,3D甚至4D(额外维度是时间)图像的算法。
dusk-zerocaf:零咖啡厅
05-04
黄昏佐罗卡夫警告:WIP回购。快速,高效且防弹友好的加密操作。 该存储包含Ristretto Scalar field Sonny曲线的实现: 团队设计的纯Rust实现。 特别感谢Isis Agora Lovecruft和Henry de Valence实施,该对于获取...
BulletProof代码说明
mutourend的博客
06-28 353
以证明数字在[0, 264 − 1]范围为例,考虑支持多个数字proof合计的情况,主要有以下几方面内容: 1. public parameters 公共变量 • l: cardinality of the subgroup of the elliptic curve used (Ed25519) • N: bitsize of the elements whose range one wants...
Bulletproof
mutourend的博客
06-26 1428
Bulletproof is a new non-interactive zero-knowledge proof protocol with short proofs and without trusted setup. It is integrated in the Monero project as a replacement for the previous protocol based ...
BulletProof的工作原理
qq_44722300的博客
11-01 253
在这篇文章,我们会详细介绍 bulletProof 的工作原理
一个更优的零知识证明:Bulletproofs
omnispace的博客
05-03 2786
在2015年我们宣布机密交易(CT)作为侧链Elements Alpha的主要特征。该特征用Pedersen commitments取代了交易金额,这种一种隐藏金额的加密工具,同时保留了任何人验证在特定交易内余额的能力。CT面临的主要难题是让它交易变得非常大而且验证缓慢,因为它要求每个交易输出包含一个rangeproof,这是一种零知识证明,证明金额太小而不会溢出。普通数字签名小于100个字节,并...
Bulletproofs、Sigma protocol、Halo2等ZK方案小结
mutourend的博客
09-07 2554
Bulletproofs、Sigma protocol、Halo2、Plonky2、MPC-in-the-head proof(MPCith)等ZK方案小结。
探索Bulletproofs:高效、零知识证明的新纪元
最新发布
gitblog_00052的博客
04-10 395
探索Bulletproofs:高效、零知识证明的新纪元 项目地址:https://gitcode.com/dalek-cryptography/bulletproofs Bulletproofs是一个开源项目,由Dalek Cryptography团队开发并维护,它提供了一种创新的方法,用于创建高效且大小可缩放的零知识证明(Zero-Knowledge Proofs)。这种技术在隐私保护和区块链领...
简洁非交互零知识证明综述.pdf
12-22
通过对典型协议(如 zk-SNARKs、zk-STARKs 和 Bulletproofs)的深入分析,揭示了它们的实现原理,包括如何利用这些技术来构建高效且安全的证明系统。 在性能表现方面,文章讨论了不同类型的SNZKP协议在证明长度、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值