笔记——零知识证明zkSNARK

记录下学习零知识证明的相关资料以及协议构建过程

相关定义

Definition 1 (Quadratic Span Program)

若一个程序$Q$为QSP，则其在域$F$上存在两个集合 V = { v k ( x ) : k ∈ { 0 , . . . , m } } V = \left\{v_k(x):k\in\left\{0,...,m\right\}\right\} V={ vk​(x):k∈{ 0,...,m}}和
W = { w k ( x ) : k ∈ { 0 , . . . , m } } W = \left\{w_k(x):k\in\left\{0,...,m\right\}\right\} W={ wk​(x):k∈{ 0,...,m}}并且存在一个目标多项式$t(x)$。程序Q还包含一个索引划分
I = { 1 , . . . , m } I=\left\{1,...,m\right\} I={ 1,...,m}，该划分由2个集合$I_{labeled}$和$I_{free}$组成，而$I_{labeled}$又可以进一步的划分为
⋃ i ∈ [ n ] , j ∈ { 0 , 1 } I i j \bigcup_{i\in[n],j\in\left\{0,1\right\}}I_{ij} ⋃i∈[n],j∈{ 0,1}​Iij​。

对于一个输入 u ∈ { 0 , 1 } n u\in\left\{0, 1\right\}^n u∈{ 0,1}n使得$I_u=I_{free}{\bigcup }_i{I}_{i,u_i}$成为一个属于输入$u$的索引集合。$Q$当且仅当存在属于域$F^m$元组$(a_1,...,a_m)$和$(b_1,...,b_m)$，以及对于任意$k\notin I_u$满足$a_k=b_k=0$使得\

$t(x)整除(v_0(x)+\sum _{k=1}^m{a}_k\cdot v_k(x))\cdot (w_0(x)+\sum _{k=1}^m{w}_k(x))$

$Q$才接受输入 u ∈ { 0 , 1 } u\in\left\{0, 1\right\} u∈{ 0,1}。$Q$会计算一个布尔函数 f : { 0 , 1 } n → { 0 , 1 } f:\left\{0,1\right\}^n \rightarrow \left\{0,1\right\} f:{ 0,1}n→{ 0,1}如果它完全接收使得$f(u)=1$成立的输入$u$。$Q$的大小为$m$，$Q$的度数为$deg(t(x))$。

Definition 2 (Strong Homomorphic Encryption)

基于模运算的同态加密表示为$E(v)=g^v(modn)$，其中$v$是需要加密的数据。在同态加密的基础上可以定义运算：
加法：$E(s_0)⨁E(s_1)=E(s_0+s_1)=g^{s_0}+g^{s_1}=g^{s_0+s_1}$
乘法：$E(s{)}^t=E(ts)=(g^s{)}^t=g^{ts}$

注意：该种同态加密并不支持两个加密的数据进行相乘，只允许加密数据与未加密数据进行乘法运算。

Definition 3 (Knowledge-of-Exponent Assumption)

令$g$为群$G$的生成元，其中$|G|$为素数。$k=log(|G|)$为安全参数，对于任意以$g$和$g^{\alpha }$作为输入的PPT（多项式概率时间）算法$A$（其中$\alpha$是一个未知的随机选取的整数）输出一对参数$(x,y),x\in G$。现有一个PPT提取器$E$，同样以$g$和$g^{\alpha }$作为输入并也会输出$(x,y)$，除此之外，还会输出一个$g^r$，使得对于足够大的$k$，使得

$$Pr[y=x^{a}and{g}^r\ne x]<\frac{1}{Q(k)}对任意的多项式Q$$

在zkSNark之中KEA主要用于生成$\alpha$对，即验证者可以对证明者发送的加密结果$(g^s,g^{\alpha s})$进行验证$((g^s{)}^c,(g^{\alpha s}{)}^c)$，以证明证明者是对同一个加密结果进行了“位移操作”而未进行篡改。

Definition 4 (Bilinear Maps)

双线性映射由5个部分组成$(G,P,G_T,g,e)$，其中$e$是一个高效函数$e:G\times G\to G_T$使得

· 若$g$是群$G$的生成元则$e(g,g)$是群$G_T$的生成元。

·
$\forall a,b\in Z_p,有e(g^a,g^b)=e(g,g{)}^{ab}=e(g^b,g^a)$

证明过程

证明问题

对于QSP问题，先暂时忽略输入$u$，考虑Prover向Verifier证明其拥有一个多项式$p(x)$的部分根，这些部分根可以构成多项式$t(x)=(x-x_0)...(x-x_k)$，则显然可以构造
$p(x)=t(x)h(x)$，而对于一个多项式$p(x)$我们可以定义其为$p(x)=l(x)r(x)-o(x)$，因此将问题在此转化为证明

$$l(x)r(x)-o(x)=t(x)h(x)$$

基本模型

• Setup

  • 随机产生$s$和$\alpha$

  • 计算生成$g^{\alpha }$以及$g^{s^i}$, $g^{\alpha s^i}$,
    $g^t(s)$其中$i\in (0,...,d),d=deg(t(x))$

  • Prover消息$(g^{s^i},g^{\alpha s^i})$

  • Verifier消息$(g^{t(s)},g^{\alpha })$

• Prover

  • 计算$h(x)=\frac{l(x)r(x)-o(x)}{t(x)}$

  • 利用$g^{s^i}$计算$g^{l(s)},g^{r(s)},g^{o(s)}$

  • 利用$g^{\alpha s^i}$计算$g^{\alpha l(s)},g^{\alpha r(s)},g^{\alpha o(s)}$

  • 生成发送给Verifier的消息
    $\pi =(g^{l(s)},g^{r(s)},g^{o(s)},g^{\alpha l(s)},g^{\alpha r(s)},g^{\alpha o(s)},g^{h(s)})$

• Verifier

  • 接收到消息$\pi =(g^l,g^r,g^o,g^{l^{\prime }},g^{r^{\prime }},g^{o^{\prime }},g^h)$

  • 对于$l(x)$检查等式$e(g^l,g^{\alpha })=e(g^{l^{\prime }},g)$是否成立，同理对于$r(x),o(x)$

  • 检查等式$e(g^l,g^r)=e(g^{t(s)},g^h)\cdot e(g^o,g)$是否成立

扩展模型-通用计算

根据1.3中对$\alpha$对的定义结合1.4的双线性映射定义可知$\alpha$对不仅对单个多项式有用，对于多个多项式的组合$e.g.L(s)=a{l}_a(s)+b{l}_b(s)$仍然有用
$e(g^{L(s)},g^{\alpha })=e(g^{\alpha L(x)},g)=g^{\alpha a{l}_a(s)+\alpha b{l}_b(s)}$
这就是说$\alpha$对能保证一种计算结构。

此时对于上述的$L(s)$而言，变量$(a,b)$为其输入，因此可以对式(3)的左部进行扩展，当输入变量为$v=v_i,i\in (1,...,n)$时，$L(s)=\prod _{i=1}^n{v}_i{l}_i(s)$，同理对$R(s),O(s)$成立。而此时可以对基本模型进行扩展，使之成为适应多个输入的通用版本，而变量$v=v_i,i\in (1,...,n)$在QSP问题之中可以根据输入$u$得出。

接下来问题则是如何根据输入$v=v_i,i\in (1,...,n)$确定$L(s)$的各个$l_i(s)$的组成。首先引入一个离散数学的概念——插值。
Definition 5 插值
给定n个离散数据点$(x_k,y_k),k\in (1,...,n)$。对于
$x(x\ne x_k)$求$x$所对应的$y$的值称为内插。$f(x)$定义在区间
$[a,b]$上的函数，$x_1,...,x_n$为区间$[a,b]$上n个不同的点，$G$为某一给定的函数类。若$G$上有函数$g(x)$满足$g(x_i)=f(x_i),i\in (1,...,n)$则称$g(x)$为$f(x)$关于节点$x1,...,x_n$在$G$上的插值函数。

对于一个n次多项式而言，可以根据选取的n+1个不同的点唯一确定该多项式。根据上述逻辑，修改后的证明过程如下：

• Setup

  • 通过插值计算出$l_i(x),r_i(x),o_i(x),i\in (1,...,n)$

  • 随机产生$s$和$\alpha$

  • 计算生成
    $g^{\alpha }$以及$g^{s^k},k\in (1,...,d)$,
    $g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{\alpha l_i(s)},g^{\alpha r_i(s)},g^{\alpha o_i(s)}$,
    $g^t(s)$其中$i\in (0,...,d),d=deg(t(x))$

  • Prover消息
    $({\left\{g^{s^k}\right\}}_{k\in (1,...,d)},g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},$