【zkSNARK-groth16-analysis】

最新推荐文章于 2023-12-28 16:57:15 发布
最新推荐文章于 2023-12-28 16:57:15 发布
阅读量418 收藏 4
点赞数
分类专栏: 密码学 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44925830/article/details/126060285
版权

文章目录


计算验证问题可以概括为:验证者在不知道秘密输入的情况下能否有效地验证计算结果。
zksnark是上述计算验证问题的解决方案。使用zksnark,验证程序可以为计算过程生成一个简短的验证字符串。验证器读取此字符串以确定给定的公共输入和输出是否合法。
Groth16是众多zksnark施工方案之一。接下来,让我们介绍groth16如何解决计算验证问题。

多项式插值

将向量转化为多项式的一种方法是使用多项式插值。
在这里插入图片描述
在这里插入图片描述

from R1CS to polynomial

在这里插入图片描述

指数知识假设(KoE假设)

在这里插入图片描述

双线性配对

在这里插入图片描述

Groth16

在这里插入图片描述

Setup

在这里插入图片描述

Prove

在这里插入图片描述

Verifier

在这里插入图片描述

Analysis

在这里插入图片描述

Summary

本文阐述了groth16-zksnark方案的施工原理。从算法电路出发,介绍了如何将计算验证问题转化为r1cs问题和QAP问题。然后我们解释了如何使用groth16方案来证明我们知道QAP问题的解。groth16方案采用kOe假设和双线性配对。它的缺点是需要由可信的第三方初始化,每个电路需要初始化一次。同时,groth16具有最有效的验证算法和最短的证明字符串,使groth16成为应用最广泛的zksnark方案。

:)#
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零知识证明 - Groth16计算详解
StarLi2020的博客
05-23 5183
Groth16算法是zkSNARK的典型算法,目前在ZCash,Filecoin,Coda等项目中使用。本文从计算量的角度详细分析Groth16计算。Groth16计算分成三个部分:Setup针对电路生成Pk/Vk(证明/验证密钥),Prove针对电路,在给定witness/statement的情况下生成证明,Verify通过Vk验证证明是否正确。 所有的术语和数学符号和Groth16论文保持一致(On the Size of Pairing-based Non-interactive Arguments,
零知识证明学习(五)— zkSNARKs(构造多项式)
BlockchainY的博客
06-01 2613
本节接着上一节继续讲因为验证者可能从证明者发送的信息抽取关于多项式p(x)p(x)p(x)的更多信息,让我们考虑证明者提供的信息:gp,gp′,ghg^p,g^{p'},g^hgp,gp′,gh。主要做的验证:gp=(gh)t(s),(gp)α=gp′g^p = (g^h)^{t(s)},(g^p)^{\alpha}=g^{p'}gp=(gh)t(s),(gp)α=gp′。这个问题是我们怎么进行有效的验证,信息还不被抽取呢?一个问答是:我们使用一个随机数δ\deltaδ偏移这些值,例如:(gp)δ(g^p)
zkp:使用Groth16 zkSNARK执行和验证算法的框架
04-15
ZKP ZKP是一种实用的零知识证明系统,可提供任意计算的小型且计算效率高的零知识证明。 该系统使我们能够以廉价,快速的验证时间构造简洁的非交互式证明。 下图描述了证明生成系统的拓扑。 编译阶段 程序建设 受信任的设置 证明生成 证明验证 程序建设 程序构建是由其他库开发的,这些库发出标准的JSON协议,该协议描述了门的功能组成,这些门计算加法,乘法和带线运算。 该库可以简单地使用任何其他编译器或库来发出JSON作为其交换格式。 包提供了电路构造语言的参考库。 受信任的设置 可以从命令行运行受信任的设置。 这将生成为特定电路设置所需的一次参数。 设置参数可以随后销毁,也可以在Shamir秘密共享配置中分发。 Shamir共享允许一个n-of-m的设置,其中至少n个参与者必须组合其秘密部分以重建受信任的设置。 zkp setup --prover Groth16 --input
Groth16
qq_34793644的博客
05-09 1254
Groth16于16年被提出,是一种在证明大小(证明只包含三个点)和验证时间上都具有很大优势的zkSNARK算法。zkSNARK通常需要进行可信设置(Setup),Groth16也不例外,然而Groth16的setup生成的公共参考串(CRS)不是通用的,即由该初始设置生成的CRS只能针对特定电路,而不能直接被用于任意电路的零知识证明之中,这也是Groth16实际应用中比较鸡肋的地方。
浅谈零知识证明协议——zk-SNARK
qq_28925345的博客
12-04 3972
一、介绍 简洁非交互式零知识证明(zero-knowledge succinct non-interactive argument of knowledge,以下简称zk-SNARKs)是一种新颖的零知识密码学形式,它指的是一种证据构造,在不泄露机密信息的情况下,人们可以证明自己拥有某些信息,能够满足一些预设的条件,同时在证明者和验证者之间无需任何交互。 二、zk-SNARKs概述及定义...
Groth16 学习笔记
mutourend的博客
05-04 3196
1. 引言 Groth 2016年论文《On the Size of Pairing-based Non-interactive Arguments》。 相关代码实现有: https://github.com/matter-labs/bellman https://github.com/zkcrypto/bellman https://github.com/arkworks-rs/groth16 参考资料 [1] Groth16 is not dead —— Exploring the tradeoff
gpu-groth16-prover-3x:在O(1)Labs的参考计算机上,此SNARK证明程序比libsnark快3倍!
03-14
GPU Groth16证明器(比CPU快3倍) 这是获得2x倍加速奖的GPU Groth16证明者。 它遵循的模板。 该证明者需要使用大量的RAM。 参考机有32GB。 该证明者的预处理步骤很慢! 请注意下面更改的说明。 依存关系 该代码应在安装以下依赖项的Ubuntu 18.04上编译并运行: sudo apt-get install -y build-essential \ cmake \ git \ libomp-dev \ libgmp3-dev \ libprocps-dev \ python-markdown \ libboost-all-dev \ libssl-dev \ pkg-config \ nvidia-cuda-toolkit 不建议在MacOS上构建,因为更难使用CUDA支
零知识证明-Groth16计算详解.html
11-14
零知识证明-Groth16计算详解.html
Groth16: a pairing-based (preprocessing) SNARK for arithmetic
10-27
Non-interactive arguments enable a prover to convince a verifier that a state ment is true. Recently there has been a lot of progress both in theory and practice on constructing highly efficient non-...
groth16:Groth16 zk-SNARK验证系统的实现
05-08
暴风雨16执照根据以下任一许可Apache许可证2.0版( 或 ) MIT许可证( 或 ) 由您选择。贡献除非您明确声明,否则有意提交给您的包含在工作中的任何贡献(按照Apache-2.0许可的定义)均应按上述双重授权,且无任何...
零知识证明(zk-SNARK)- groth16(二)
最新发布
Amire0x的小乐园
12-28 1354
本部分就是将计算难题转换为多项式,然后使用zk-SNARK。(注:以下用 P,V 替代 Prover,Verifier) R1CS(Rank-1 Constraint System)是一种能够将算数电路统一成约束向量的方式,一组向量构成一组满足特定形式的式子。 我们知道一般的计算可以拆解为 左操作数 操作符 右操作数 = 输出(如 a×b=ca\times b = ca×b=c)这样的格式,更复杂的计算则是由一系列简单的计算组合而成的。那么多个操作符应该如何如何表示呢?多个操作符就需要将其拆分成单个操作符组
零知识证明 - Groth16算法介绍
StarLi2020的博客
04-19 2739
看zk-SNARK的文章或者资料的时候,经常会碰到一些算法名称,比如Groth16,GGPR13等等。这些名称是由算法提出的作者名称或者名称首字母以及相应的年份组成。Groth16,是由Jens Groth在2016年提出的算法。GGPR13,是由Rosario Gennaro,Craig Gentry,Bryan Parno,Mariana Raykova在2013年提出的算法。 零知识证明(z...
【密码专栏】超强进阶:PLONK VS Groth16(上)
Hyperchain的博客
12-09 1385
前言 前文《天冷了,干了这碗“零知识证明”鸡汤》对「零知识证明学习」作了一个形象化的比喻:炖鸡汤。那么本系列的主要内容可以简单概括为《论高压锅炖鸡汤的一百种方法》之方法二。在学会了“清炖鸡汤”之后,不如来一口“阿胶鸡汤”补补脑细胞吧! 正如鸡汤不同风味之间各具千秋,不同的zk-SNARK方案也各有所长。zk-SNARK方案可以被分为【通用】与【非通用】zk-SNARK,PLONK与Groth16分别是其中的典型代表。通过本系列,我们将对PLONK算法内容作简要介绍,并指出PLONK和Groth16算法思路上
超强进阶:PLONK VS Groth16(下)
Hyperchain的博客
12-15 3055
前言 本篇是“PLONK VS Groth16”的下篇,在上篇中我们对PLONK作了简要介绍,分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么,接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异,以及整体上的性能区别。 原文链接:https://mp.weixin.qq.com/s/xrLe4cJVucr_m69cBF8wfQ 证明生成 对于程序qeval, prover需要证明自己知道qeval(x)=35的解,即x=3。 def qeval(x): y
零知识证明(zk-SNARK)- groth16(一)
Amire0x的小乐园
12-28 1241
全称为 Zero-Knowledge Succinct Non-Interactive Argument of Knowledge,简洁非交互式零知识证明,简洁性使得运行该协议时,即便 statement 非常大,它的 proof 大小也仅有几百个bytes,并且验证一个 proof 的时间可以达到毫秒级别。这是一个通用的零知识证明协议,可以用作各种证明,如范围证明。
Sui安全篇|详解零知识证明 (ZKP) Groth16的可塑性
Sui_Network的博客
08-15 1576
理解Groth16证明的重要性质。
零知识证明libSnark中Groth16算法的优劣——可加工性攻击问题
mutourend的博客
06-13 2292
Groth16相比于PGHR13和GM17实现,具有一定的时间和空间优势,具体可参考: libsnark中有对snark的不同实现方法做了性能对比: ZoKrates中采用的是Ethereum支持的ALT_BN128曲线,同时也对这三种方法做了实现,默认采用的是Groth16。同时,在其指导网页中也指出,Groth16算法存在可加工性攻击问题——即攻击者可利用已知的valid proof再加工出...
SNARK超详细解释,从GGPR13到Groth16
AdijeShen的博客
12-31 6258
初学零知识证明,准备从SNARK开始入手,还是自己做个整理会印象深刻一些。 细节我还没有深究,目前看来GGPR13是最先提出SNARK这个框架的工作,而Groth16则是目前效率表现最好的SNARK方案。话说Craig Gentry大佬也太牛了吧,搞不止是全同态加密的鼻祖,这边SNARK的提出原来也有他的关系啊。
说说zk-snark的PGHR13算法和Groth16算法的异同
weixin_43179764的博客
10-23 1269
建议 建议读者在阅读本篇分享时,要具备以下知识储备: 1. 算数环路的基本概念及数学模型 2. QAP的原理 3. 零知识证明的基本思想 4. PGHR13算法的数学原理 5. Groth16算法的数学原理 目的 本篇分享主要针对零知识证明的两个主流算法,PGHR13和Groth16算法进行了相同点和异同点的分析。主要是个人的理解,如有错位,还请热心读者批评指正,先谢过^_^ 对比分析 主要从...
sub-linear
08-27
引中提到了Groth在2009年的论文《Linear Algebra with Sub-linear Zero-Knowledge Arguments》中介绍了sub-linear size的零知识证明,用于证明两个矩阵的乘积和Hadamard乘积。 根据引用,可以使用这种证明方案构建其他sub-linear零知识证明,用于证明一组满足线性代数关系的承诺向量和矩阵。这些证明包括:一个承诺矩阵是上三角或下三角矩阵;一个承诺矩阵是另一个承诺矩阵的逆矩阵;一个承诺矩阵是另一个承诺矩阵的置换矩阵(使用公开的或隐藏的置换);一个承诺域元素是两个承诺向量的点积;一个承诺矩阵是两个其他承诺矩阵的乘积;一个承诺向量是两个其他向量的Hadamard乘积(逐元素相乘);一个承诺矩阵具有特定的迹;计算承诺矩阵的行或列的总和。 因此,sub-linear零知识证明可以应用于证明各种线性代数关系,如乘积、逆矩阵、置换矩阵、点积、Hadamard乘积、迹和总和等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Linear Algebra with Sub-linear Zero-Knowledge Arguments学习笔记](https://blog.csdn.net/mutourend/article/details/107659912)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值