【零知识证明】通读Tornado Cash白皮书（并演示）

神通广大白居易

已于 2024-09-01 18:56:15 修改

阅读量651

点赞数 13

分类专栏：零知识证明文章标签：零知识证明 tornado 区块链 circom snarkjs

于 2024-09-01 15:10:54 首次发布

本文链接：https://blog.csdn.net/qq_45059937/article/details/141718997

版权

零知识证明专栏收录该内容

5 篇文章 0 订阅

订阅专栏

1 Protocol description

协议描述有以下功能：

1.insert：向智能合约中存入资金，通过固定金额的单笔交易完成，金额由N表示（演示时用1 ETH）

2.remove：从智能合约中提取资金，交易由收款人发起，收款人应该有足够的以太币支付gas费，在这种情况下费用为0（无中继者）

在演示案例中，将实现存款功能和提款功能，无论谁调用提款函数都将是收款人

1.1 Setup（技术设置）

1. $\mathbb{B}= \left \{ 0,1 \right \}$

$\mathbb{B}$ 为在snark证明中使用的配对操作，它定义在素数阶 Q的群上。 $\mathbb{B}= \left \{ 0,1 \right \}$ 为二进制组合0，1。

2. $_{}$ $H_{1}:\mathbb{B}^{^{*}}\rightarrow \mathbb{Z}_{p}$

H1是pederden哈希函数，意味着一系列位，所以是一系列0和1。让这些哈希到素域中的一个整数是pedersen哈希函数。（将一堆位哈希到一个整数）

3. $H_{2}:\left \{ \mathbb{Z}_{p},\mathbb{Z}_{p} \right \}\rightarrow \mathbb{Z}_{p}$

作用是将两个叶子节点值哈希在一起，因此 $H_{2}$ 将一整组 $\mathbb{Z}_{p}$ 哈希到单一的整数 $\mathbb{Z}_{p}$ ，也就是之前实现的MiMC哈希函数。定义为海绵操作模式中Feistel模式下的MiMC置换。

4. $\tau$

$\tau$ 为高度20的merkle树（演示时将高度设置为10），其中，非叶子节点使用 $H_{2}$ 哈希两个叶子节点，该merkle树的叶子节点初始值为一个默认值，这些默认值会逐渐被来自 $\mathbb{Z}_{p}$ 的其他值替换。（因为当你存款时，树内节点的哈希值会变，并且被新的值填充）

5. $O\left ( \tau , l \right )$

$O\left ( \tau , l \right )$ 是索引为 $l$ 的叶子节点的merkle开口， $R$ 为从叶子节点 $l$ 到根节点 $\tau$ 路径上的姐妹节点值集合。（当你想要从某叶子节点 $l$ 构建路径到根节点 $\tau$ 时，你需要这条路径上的姐妹节点的值，来一起哈希，才能得到最终的根哈希值，因此 $R$ 为值集，包含了所有姐妹节点的值。）

6. $k,s\in \mathbb{B}^{256}$ , $A$

$k\in \mathbb{B}^{256}$ ， $k$ 为一串位序列。 $s\in \mathbb{B}^{256}$ ， $s$ 为秘密值，这是你用你的零知识证明和你的存款一起构建承诺哈希提交给torcash的东西。 $A$ 为代币接收者的以太坊地址，也就是接收者地址。

7.零知识证明的目标：

$S\left [ R,h,A \right ]$ 使用一组姐妹节点值集 $R$ ，以及零知识证明 $k$ 的pederden哈希 $h$ ，所以 $h = H_{1}\left ( k \right )$ ，外加接收者地址 $A$

$S\left [ R,h,A \right ] = \left \{ \textrm{I KNOW} k,s \in \mathbb{B}^{256}, O\in Z_{16}^{p}, \textrm{SUCH THAT} \ h = H_{1} ( k ) \textrm{AND O is the opening of } H_{1}(k || s) \ \textrm{at position } l \ \textrm{to} R\right \}$ 零知识证明试图证明：已知一个零知识证明和一个秘密都是256位， $C=H_{1}\left ( k || s \right )$ 被称为承诺commitment，因此零知识证明试图构建这个承诺。接收者地址包含在零知识证明中是为了防止抢跑。

8. $D = (d_{p}, d_{v})$

D是一组密钥， $d_{p}$ 是证明密钥， $d_{v}$ 是验证密钥。 $d_{p}$ 是groth16中生成的zkey， $d_{v}$ 包含在由groth16过程生成的验证器合约中。

9. $P$

$\textrm{Prove}(d_{p},R,k,l,A)\rightarrow P$ 是构造的最后的证明。其中你需要证明： $d_{p},R,k,l,A$ 。你将使用 $d_{p}$ 提交证明给验证器（验证器是之前使用solidity部署在链上的），证明器将验证你的证明。

10. $\mathfrak{C}$ 是智能合约，具有以下功能：

--1.存储最后的 $n=100$ 个历史根植在字典中。对于最新的Merkel树 $\tau$ ，合约还存储从最后一个添加的叶到根的路径上节点的值，这些值是计算下一个根所必需的。（一旦构建新的哈希路径，将保存每一层的哈希值给合约，当未来某一时刻存款人想用自己的存款检索姐妹节点哈希值时，可以只要求智能合约从内存中给出）

--2.它接受用数据 $C\in\mathbb{Z}_{p}$ 为1ETH 进行的支付，其中 $C$ 是承诺。将值 $C$ 添加到 Merkle 树中，（注意：此承诺添加到叶子节点）。重新计算从最后添加的值到最新根的路径，并将上一个根值添加到历史数组中。

--3.针对所提供的证明 $P$ ，验证提交公共值 $(R,h,A)$ 。如果验证成功，合约会向地址 $A$ 发送1ETH.

--4.验证代币之前是否被提取，通过检查证明中的零知识证明哈希 $h$ 以前是否出现过。如果该零知识证明哈希 $h$ 以前从未出现过，则将其添加到零知识证明哈希列表中。这意味着，每次提交有效证明并提取以太时，零知识证明的哈希 $h$ 都将被存储，并且不能再次花费，因此只能花费一次。

1.2 Deposit

要存入一枚代币，用户需按照如下方式进行：

1.生成两个随机数 $(k,s)$ 零知识证明k和密码s，是256位的数，并使用pederden哈希计算承诺 $C = H_{1}(k || s)$ （可以简单的理解为将这两个序列切割在一起后给pedersen）

2.发送一以太和数据 $C$ （也就是承诺 $C$ ）的交易给合约 $\mathfrak{C}$ ，如果Merkel树没有满，合约将接受交易并将承诺 $C$ 添加到树中作为一个新的非零叶子节点。（演示时设定树的高度为10，则叶子节点就有2^9个叶子节点）

1.3 Withdrawal

要从树中位置为 $l$ 的地方提取一枚代币，用户需要按照如下方式进行：

1.选择接收的地址 $A$ 。

2.在合约中存储的根中选择一个根 $R^{*}$ ，计算以 $R^{*}$ 结尾的开口 $0(l)$ 。 $s$

3.计算零知识证明的pedersen哈希 $h=H_{1}(k)$ ，nullifier hash。

4.通过在 $d_{p}$ （密钥）上调用Prove来计算证明 $P$ 。

5.采用下列方式进行取款:
发送一个以太坊交易到合同 $\mathfrak{C}$ ，在交易数据中提供 $R^{*}$ （根植）， $h$ （零知识证明哈希）， $A$ （接收者地址）， $P$ （证明）。

该合约验证证明P和零知识证明哈希 $h$ 的唯一性，在成功的情况下，它发送给 $A$ ，并把 $h$ 添加到无效哈希列表中（已花费零知识证明哈希列表）。

2 Implementation

链下使用的加密函数在cricom库中实现。Merkel树、存款和取款逻辑以及MiMC由Solidity 实现。SNARK 密钥对和 Solidity 验证器代码使用 SnarkJs 生成。

3 Security claims

Tornado声称具有以下安全特性:
1.只有存入合约的代币才能提取；
2.任何代币不得提取两次；
3.任何代币如果参数 $\left ( k,s \right )$ 是已知的，则可以提取一次，除非已存放并提取了具有相同k的代币；
4.如果 $k$ 或 $s$ 未知，则无法提取代币。如果攻击者不知道 $k$ ，则无法阻止知道 $\left ( k,s \right )$ 的人提取代币(这包括所有抢先交易的情况) 。

4 Planning

整体分为前端和后端两部分，前端使用JavaScript，后端使用solidity。

4.1 前端

前端使用JavaScript

1.存款人存款时需要提供一个256位的 $k$ 和秘密 $s$ 。 $(k,s \in \mathbb{B}^{256})$

2.计算 $k$ 和 $s$ 的承诺哈希 $C$ 。 $C = H_{1}\left ( k || s \right )$

3.调用存款函数，携带1ETH和承诺哈希 $C$ 。合约将承诺 $C$ 添加到Merkel树的叶子节点，并根据合约提供的重新计算根节点。

4.新计算的根节点 $R^{*}$ 和姐妹节点值集 $R$ 将会作为一个事件发出，存款人可以这些将信息提供给取款人，以构建证明。

4.2 后端

后端使用solidity

1.提款人提款时需要构建证明。构建证明需要 $k$ 值、秘密 $s$ 、存款时生成的新根植 $R^{*}$ 、姐妹节点值集 $R$ 以及接收者地址 $A$ 。 $\left ( k,s,R^{*},R,A \right )$

2.计算证明 $P$ 。 $P=\left ( d_{p},k,s,R^{*},R,A \right )$

3.计算 $k$ 值的pedersen哈希。 $h=H_{1}(k)$

4.提款函数需要：证明 $P$ 、存款时生成的新根植 $R^{*}$ 、 $k$ 值的哈希 $h$ 以及接收者地址 $A$

5.后端将证明 $P$ 提供给验证器合约，查看是否有效。若有效，将把零知识证明哈希添加到已花费的零知识证明哈希中，然后合约将以太发送回来。

神通广大白居易

关注

13
点赞
踩
8

收藏

觉得还不错? 一键收藏
打赏
0
评论
【零知识证明】通读Tornado Cash白皮书（并演示）

协议描述有以下功能：1.insert：向智能合约中存入资金，通过固定金额的单笔交易完成，金额由N表示（演示时用1 ETH）2.remove：从智能合约中提取资金，交易由收款人发起，收款人应该有足够的以太币支付gas费，在这种情况下费用为0（无中继者）在演示案例中，将实现存款功能和提款功能，无论谁调用提款函数都将是收款人。
复制链接

扫一扫