Zcash中的description

1. 引言

Zcash 中支持的description类型有：

• JoinSplit description
• Spend description
• Output description

JoinSplit transfer不支持Sapling notes。在Sapling中，有单独的Spend transfer for each shielded input 和 单独的Output transfer for each shielded output。

Sapling中的每一笔交易，都由一系列的Spend descriptions和一系列的Output descriptions组成。
为了保证平衡，需利用Pedersen commitment的加法同态属性，满足：
$Com(v_1)+Com(v_2)=Com(v_1+v_2)$

保证交易平衡的具体方法为：【该方案支持所有的zk-SNARK statement为相互独立的，从而增加precomputation的可能机会。】

• 将所有shielded inputs的value commitments相加，减去，所有shielded outputs的value commitments。结果为result commitment。
• 借助Sapling binding signature来证明result commitment为a commit to a value consistent with the net transparent value change。

2. JoinSplit transfer and description

JoinSplit description为：
描述JoinSplit transfer 交易中包含的数据。

所谓JoinSplit transfer即为a shielded value transfer。在Sprout中，这种类型的value transfer是主要的Zcash-specific operation performed by transactions。

3. Spend transfer and description

Spend description为Spend transfer交易中包含的数据。

在Spend transfer中花费note $n^{old}$，则其对应的Spend description中包含：

• a Pedersen value commitment to the value of the note。

该Pedersen value commitment与Spend statement instance有关，而Spend statement instance可提供相应的zk-SNARK proof。

在Spend description中指定了 anchor，该anchor指向 前一区块中的output Sapling treestate。

同时，在Spend description中也reveal了nullifier，借助nullifier可发现双花问题。

在Sapling中并不需要Interstitial treestates，因为特定交易中的Spend transfer不支持spend any of the shielded outputs of the same transaction。【实际这种约束并不麻烦，Sprout中要求每个JoinSplit transfer必须是单独平衡的，而在Sapling中，仅要求整个交易是平衡的就足够了。】

相关共识规则为：

• 交易中的Spend transfer和Action transfer必须与其$v^{balanceSapling}$值一致。
• Spend description中的anchor必需指向some earlier block’s final Sapling treestate。

在每笔交易中，可有0个或多个Spend descriptions。

每个Spend description由一个signature 来授权，该signature称为spend authorization signature，可表示为$SpendAuthSi{g}^{Sapling}$。

而ZKSpend为Sapling Spend statement对应的zero-knowledge proving system。

Spend description组成可表示为$(cv,r{t}^{Sapling},nf,rk,{\pi }_{ZKSpend},spendAuthSig)$，其中：

• $cv$：$ValueCommi{t}^{Sapling}$。输出为the value commitment to the value of the input note。
• $r{t}^{Sapling}$：${\mathbb{B}}^{[l_{Merkle}^{Sapling}]}$为an anchor for the output treestate of a previous block。
• $nf$：${\mathbb{B}}^{{\mathbb{Y}}^{[l_{PRFnfSapling}/8]}}$ 为the nullifier for the input note。
• $rk$：$SpendAuthSi{g}^{Sapling}.Public$ 为a randomized validating key，用于validate spendAuthSig。
• ${\pi }_{ZKSpend}$：$ZKSpend.Proof$ 为a zk-SNAKR proof with primary input $(cv,r{t}^{Sapling},nf,rk)$ for the Spend statement。
• $spendAuthSig$：$SpendAuthSi{g}^{Sapling}.Signature$ 为a spend authorization signature。

相关共识规则有：

• Spending description中的elements必须为valid encodings of the types given above。
• $cv$和$rk$不能是small order的，即$[h_{\mathbb{J}}]cv={\mathcal{O}}_{\mathbb{J}}$和$[h_{\mathbb{J}}]rk={\mathcal{O}}_{\mathbb{J}}$必须均不成立。
• proof ${\pi }_{ZKSpend}$在给定的除$spendAuthSig$之外的primary input情况下 必须是valid的，即$ZKSpend.Verify((cv,r{t}^{Sapling},nf,rk),{\pi }_{ZKSpend})=1$ 成立。
• 令$SigHash$为该交易的SIGHASH transaction hash，与任何input均无关。则spend authorization signature 必须为a valid $SpendAuthSi{g}^{Sapling}$ signature over SigHash using $rk$ as the validating key，即$SpendAuthSi{g}^{Sapling}.Validat{e}_{rk}(SigHash,spendAuthSig)=1$成立。

相关非规范性说明：

• 验证$rk$不是small order，从技术上来说不需要在Spend circuit中去check，在circuit之外去check会更简单和便宜。
• 约束$rk$和$cv$不能是small order有助于防范non-canonical encodings of theses fields。即要求$rep{r}_{\mathbb{J}}(abs{t}_{\mathbb{J}}(cv))=cv$和$rep{r}_{\mathbb{J}}(abs{t}_{\mathbb{J}}(rk))=rk$均成立。

Spend description相应的编码组成为：

4. Output transfer and description

Output description为Output transfer交易中包含的数据。

在Output transfer中创建note $n^{new}$，则其对应的Output description中包含：

• a Pedersen value commitment to the value of the note。

该Pedersen value commitment与Output statement instance有关，而Output statement instance可提供相应的zk-SNARK proof。

在每笔交易中，可包含0个或多个Output descriptions。在Output description中没有任何相关signatures。

而ZKOutput为Sapling Output statement对应的zero-knowledge proving system。

Output description的组成可表示为$(cv,c{m}_u,epk,C^{enc},C^{out},{\pi }_{ZKOutput})$，其中：

• $cv$：$ValueCommi{t}^{Sapling}$。输出为the value commitment to the value of the output note。
• $c{m}_u$：${\mathbb{B}}^{[l_{Merkle}^{Sapling}]}$为the result of applying $Extrac{t}_{{\mathbb{J}}^{(r)}}$ to the note commitment for the output note。
• $epk$：$K{A}^{Sapling}.Public$为a key agreement public key，用于derive the key for encryption of the transmitted note ciphertext。
• $C^{enc}$：$Sym.C$ 为a ciphertext component for the encrypted output note。
• $C^{out}$：$Sym.C$ 为a ciphertext component，其支持用于full viewing key的人恢复the diversified transimission key $p{k}_d$和the ephemeral private key $esk$，甚至可恢复整个note plaintext。
• ${\pi }_{ZKOutput}$：$ZKOutput.Proof$为a zk-SNARK proof with primary input $(cv,c{m}_u,epk)$ for the Output statement。

相关共识规则有：

• Output description中的elements必须是valid encodings of the types given above。
• $cv和epk$ 必须不能是small order的，即$[h_{\mathbb{J}}]cv={\mathcal{O}}_{\mathbb{J}}$和$[h_{\mathbb{J}}]epk={\mathcal{O}}_{\mathbb{J}}$必须均不成立。
• proof ${\pi }_{ZKOutput}$在给定的除$C^{enc}和C^{out}$之外的primary input情况下 必须是valid的，即$ZKOutput.Verify((cv,c{m}_u,epk),{\pi }_{ZKOutput})=1$ 成立。

相关非规范说明：

• 约束$cv和epk$不能为small order，有助于防范non-canonical encodings of these fields。即要求$rep{r}_{\mathbb{J}}(abs{t}_{\mathbb{J}}(cv))=cv$和$rep{r}_{\mathbb{J}}(abs{t}_{\mathbb{J}}(epk))=epk$均成立。

Output description相应的编码组成为：

参考资料

[1] Zcash Protocol Specification