Anemoi Permutation和Jive Compression模式:高效的ZK友好的哈希函数

最新推荐文章于 2024-05-19 18:36:57 发布
最新推荐文章于 2024-05-19 18:36:57 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 基础理论 文章标签: 哈希算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/128433753
版权

1. 引言

Bouvier等人2022年论文《New Design Techniques for Efficient Arithmetization-Oriented Hash Functions:Anemoi Permutations and Jive Compression Mode》,开源代码见:

ZK证明系统中,要求哈希函数基于大素数域是计算友好的,如:

  • MiMC哈希函数
  • Rescue-Prime哈希函数
  • Poseidon哈希函数
  • Reinforced Concrete哈希函数
  • Griffin哈希函数

Anemoi:为新的ZK友好的哈希函数和压缩函数,其主要特性有:

  • 可高效与多种证明系统合作
  • 包含了针对特定应用的优化函数(如Merkle tree哈希以及通用哈希)
  • 性能优势明显:
    • 比R1CS约束中的Poseidon和Rescue-Prime哈希函数快2倍
    • 比Plonk约束中的高度优化的Poseidon哈希函数快28%~48%
    • 原生执行时,比Rescue-Prime哈希函数快2~3倍,具体取决于field size

2. 代码解析

https://github.com/anemoi-hash/anemoi-rust(Rust)中,当前支持的域有:

  • BLS12-377 basefield
  • BLS12-381 basefield
  • BN-254 basefield
  • ED_ON_BLS12-377 basefield (= BLS12-377 scalar field)
  • Jubjub basefield (= BLS12-381 scalar field)
  • Pallas basefield (= Vesta scalar field)
  • Vesta basefield (= Pallas scalar field)

对于以上每个域,实现了6种Anemoi sponge construction:

  • 1 column (2 cells) and rate 1
  • 2 columns (4 cells) and rate 3
  • 3 columns (6 cells) and rate 5
  • 4 columns (8 cells) and rate 7
  • 5 columns (10 cells) and rate 9
  • 6 columns (12 cells) and rate 11

在Intel i7-9750H CPU @ 2.60GHz 服务器上测试:

RUSTFLAGS="-C target-cpu=native" cargo bench --bench bls12_377 --bench vesta

基本性能为:

  • 2-to-1 compression
Field \ InstantiationAnemoi-2-1Anemoi-4-3Anemoi-6-5Anemoi-8-7Anemoi-10-9Anemoi-12-11
BLS12-377429.61 µs485.99 µs610.08 µs815.19 µs1.0179 ms1.2245 ms
Vesta129.48 µs176.58 µs243.45 µs292.13 µs406.56 µs440.80 µs
  • 10KB data hashing
Field \ InstantiationAnemoi-2-1Anemoi-4-3Anemoi-6-5Anemoi-8-7Anemoi-10-9Anemoi-12-11
BLS12-37785.369 ms35.937 ms30.141 ms28.519 ms26.151 ms24.766 ms
Vesta44.448 ms20.307 ms15.042 ms14.361 ms15.414 ms13.987 ms

与预期的一致,底层的素数域越大,哈希运算越慢。不要求algebraic group的FRI协议,可采用更小的域,使用Anemoi的效率将更高。
https://github.com/toposware/hash/tree/anemoi(Rust,基于Goldilocks域实现了state width为8,capacity为7的Anemoi哈希算法)中所实现的基于Goldilocks域 p = 2 64 − 2 32 + 1 p=2^{64}-2^{32}+1 p=264232+1 的Anemoi-8-7:

  • 当哈希10KB数据时,仅需要1.8249ms,比上面的BLS12-377和Vesta要快约15倍和7.8倍。
  • 当2-to-1 compression时,仅需3.9317us,比上面的BLS12-377和Vesta要快约207倍和74倍。

https://github.com/toposware/hash/tree/anemoi(Rust,基于Goldilocks域实现了state width为8,capacity为7的Anemoi哈希算法),除此之外,还基于Goldilocks域 p = 2 64 − 2 32 + 1 p=2^{64}-2^{32}+1 p=264232+1实现了:

mutourend
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零知识证明:哈希函数-Poseidon2代码解析与benchmark
zr2006_7的专栏
05-16 1062
Full Rounds中每次循环中需要对state向量的所有元素依次完成Add Round Constant,S-Box和MDS Mixing( The Linear Layer/MixLayer)操作,其中Add Round Constants需要完成一次常数加法,S-Box需要计算一个7次方的模幂,MDS Mixng计算的是state向量和常数矩阵M相乘。在零知识证明领域中,使用抗碰撞Hash函数能够有效消除对可信任设置或椭圆曲线运算的需要,使Hash函数成为零知识证明系统中不可或缺的一部分。
Anemoi hash:一种SNARK-friendly的哈希函数
qq_34793644的博客
11-25 809
随着zk的兴起,出现了一大批zk友好且面向算术化(Arithmetization-Oriented)的哈希函数,如MiMC-Hash, Rescue–Prime, Poseidon等等,本文要介绍的Anemoi也是一种zk友好且面向算术化的哈希函数,与其他哈希函数相比,Anemoi具有以下特点:可以被用于Groth16, Plonk等证明系统中包含对特定应用的优化,如merkle tree的证明性能优越,参见下表。
【零知识证明】BLS12-381介绍译文
08-25 3701
原文链接:https://hackmd.io/@benjaminion/bls12-381#BLS12-381-For-The-Rest-Of-Us 强烈建议阅读原文。 参考链接: 【1】BLS12-381的具体参数: https://tools.ietf.org/id/draft-yonezawa-pairing-friendly-curves-02.html#rfc.section.1.1 部分译文如下: Everything I wish I’d known before I starte
ZK友好代数哈希函数安全倡议
mutourend的博客
03-27 1055
ZK友好代数哈希函数安全倡议
Vision Mark-32:基于binary tower fields的ZK友好哈希
最新发布
mutourend的博客
05-19 1115
Vision Mark-32:基于binary tower fields的ZK友好哈希
permutation-iterator-rs:用于迭代随机排列的Rust库
05-25
permutation-iterator可让您遍历随机排列,例如,以随机顺序对值[0, 1, 2, 3, 4, 5]进行迭代。 它在恒定的空间中执行此操作; 它没有完全实例化内存中的值,然后对其进行随机排序。 用法 将此添加到您的Cargo.toml ...
next_permutation和prev_permutation两个STL自带排列函数
01-06
函数是返回当前排列的下一个排列,如果没有,返回false 这两种方法都用永久性的改变了容器中元素的位置 排列的对象可以是任意的,基本数据类型、字符串、结构体等 一:next_permutation(start,end,//cmp) 使用默认...
Multiscale Permutation Entropy (MPE):% 计算Multiscale Permutation Entropy (MPE)-matlab开发
05-30
%Ref: G Ouyang, J Li, X Liu, X Li, Dynamic Characteristics of Absence EEG Recordings with Multiscale Permutation %% Entropy Analysis, Epilepsy Research, doi: 10.1016/j.epplepsyres.2012.11.003 % G ...
详谈全排列next_permutation() 函数的用法(推荐)
12-26
这是一个c++函数,包含在头文件里面,下面是基本格式。 1 int a[]; 2 do{ 3 4 }while(next_permutation(a,a+n)); 下面的代码可产生1~n的全排列 #include #include using namespace std; int main(){ int n; ...
CPU指令集——AVX2
热门推荐
mutourend的博客
08-26 3万+
1.查看CPU所支持的指令集 借助CPU-Z工具,可查看当前CPU所支持的指令集: 由此可知,Intel i7-7700CPU支持AVX2指令集,但是不支持AVX-512指令集。 根据https://medium.com/@hdevalence/even-faster-edwards-curves-with-ifma-8b1e576a00e9 可知,其基于AVX512-IFMA的实现是AVX2速...
RSA2048基础知识
mutourend的博客
12-16 2万+
1. RSA家族 在数学上,RSA numbers是一系列大的semiprimes(半素数,仅能分解为两个素数因子。)截止到2019年11月,下列表中的20个(总共54个)RSA数值已被成功分解,分别是:RSA-100到RSA-230的16个数,以及从RSA-768、RSA-704、RSA-640以及RSA-240。 2. RSA2048 RSA-2048具有617个十进制数字,共2048bit...
Ker(A)——矩阵kernel
mutourend的博客
11-28 2万+
根据维基百科定义,kernel在线性代数和泛函分析中的定义为: 线性映射L:V↦WL:V\mapsto WL:V↦W,V和W为两个向量空间,满足L(v⃗)=0⃗L(\vec{v})=\vec{0}L(v)=0的所有元素v⃗\vec{v}v组成的空间,称为kernel或nullspace。 数学表示为: ker(L)={v⃗∈V∣L(v⃗)=0}ker(L)=\{\vec{v}\in V|L(\ve...
密码学中的MAC(message authentication code)
mutourend的博客
09-06 8723
在密码学中,MAC(message authentication code)为消息认证码,主要作用有: 1) 进行消息认证,证明消息的真实性,如消息确实来源于所声称的sender; 2)保护消息数据的完整性,拥有密钥的receiver(或verifier)可发现对消息内容的任何篡改。 对于第2点“保护消息数据的完整性”,可通过hash技术来实现。 MAC与Hash/数字签名技术的对比为: 对...
Reed-Solomon Codes——RS纠错码
mutourend的博客
08-01 8292
Reed-Solomon Codes为基于block的纠错码,在数字通信和存储中有大量应用,在如下系统中用于纠错: * 存储设备(包括磁带、光盘、DVD、条形码等) * 无线或移动通信(包括手机、微波连接等) * 卫星通信 * 数字电视/DVB * 高速调制解调器,如ADSL、xDSL等 .................................
Private Information Retrieval私有信息检索
mutourend的博客
02-20 7610
私有信息检索是一个重要而又实际的问题,在军事、商业等领域有重要应用。 私有信息检索(Private Information Retrieval, PIR)的问题描述是: 服务器Bob拥有一个数据库,其中有n个数据d1,d2,…,dnd_1,d_2,…,d_nd1​,d2​,…,dn​,客户端Alice要查询这个数据库的某条数据did_idi​,而Bob却不知道iii的值。这是最一开始的PIR,后来...
门限签名 threshold signature
mutourend的博客
11-07 7449
1. 引言 参考资料 [1] 基于RSA的实用门限签名算法
密码学累加器cryptographic accumulator
mutourend的博客
11-06 7402
密码学累加器最早是由 Josh Benaloh 和 Michael de Mare 提出的,原始论文《One-way accumulators: A decentralized alternative to digital sinatures (extended abstract) 》[1] 于 1993 年发表在欧洲密码学会议(EUROCRYPT)上。这篇论文最初就是为了解决区块链上的数据可访问...
verifiable secret sharing可验证的秘密共享
mutourend的博客
09-23 6612
参考资料: [1] 1991年论文《non-interactive and information-theoretic secure verifiable secret sharing》 [2] 1979年论文《How to share a secret》 [3] 1997年论文《A Practical Scheme for Non-interactive Verifiable Secret Sh...
NIST发布的SHA-3标准:基于置换的哈希与可扩展输出函数
SHA3杂凑密码算法标准,全称为"SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions",是继SHA-1和SHA-2系列之后的最新哈希函数标准。SHA-3引入了一种全新的设计思路,不同于以往基于位操作的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值