云中「秘密」:构建非交互式零知识证明---探索零知识证明系列(五)

最新推荐文章于 2023-03-11 21:08:54 发布
VIP文章 最新推荐文章于 2023-03-11 21:08:54 发布
阅读量1.6k 收藏 10
点赞数 5
分类专栏: 安全技术 文章标签: 区块链 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secbit/article/details/103924967
版权

本文作者:郭宇

Once exposed, a secret loses all its power. 一旦泄露,秘密就失去了全部威力 ― Ann
Aguirre

这已经是本系列的第五篇文章了,这一篇继续深入非交互式零知识证明。 本文约 12,000 字。

系列一:初识「零知识」与「证明」

系列二:理解「模拟」

系列三:寻找「知识」

系列四:随机「挑战」

追到这里的读者想必已对零知识证明有了一个大概的认识。你是否想过这个问题:零知识证明为何可行?这里请大家思考一下(比如系列一 中的地图三染色问题的流程) …… (此处停留三分钟)下面两个要素 似乎 必不可少:

  1. 「交互」:验证者通过多次反复挑战,把证明者作弊概率降低到一个极小的值
  2. 「隐藏随机性」:验证者产生让证明者无法预测的随机数进行挑战

然而对于非交互式零知识证明—— NIZK 来说,如何实现上面两点?在 系列四 我们介绍了如何采用「随机预言机」来扮演一个虚拟的「第三方」角色,实现虚拟的「交互」与「随机挑战」。本文将深入讲述另一种方法,如何通过一段共享的字符串去除「交互」与「隐藏随机性」。这个字符串必须事先由「第三方」来随机产生,这就是传说中的「公共参考串」(Common Reference String,简称 CRS)。

CRS 的前世今生

假如我们不借助任何其它手段,限定证明者 Prover 和验证者 Verifier 只能进行「一次交互」来实现「零知识证明」,那么他们只能证明「平凡」问题,也就是计算复杂类 BPP(Bounded-error Probabilistic Polynomial time),而这个复杂度类大家一般猜想可能等价于 P(但还悬而未决,没有被证明!BPP 可以理解为 P + Randomness)。

注:如果 Prover 与 Verifier 只做一次交互,在这样的 NIZK 系统中,我们很容易能构造一个 Decision Procedure —— Verify(x, Sim(x)),来证明和证伪定理,因此只能证明平凡问题 BPP。

平凡问题虽然也可以零知识证明,但没有意义!怎么理解呢?因为验证者直接可以在多项式时间内根据「输出」求解出「秘密输入」,虽然验证者能够求解,但是「证明」本身并没有额外为验证者提供更多的「知识」。换句话说,不需要证明者出示证明,验证者就知道命题为真,于是证明过程也是零知识的。

因此,当我们讨论「零知识证明」时,要考虑带「知识」的 NP 类问题。大家都知道,P 问题是「确定性图灵机」多项式时间内可以求解的复杂类,它的执行路径对于输入 x是一个线性的状态转移。而 NP 问题是「不确定性图灵机」多项式时间可以求解的问题类。所谓的不确定性图灵机,就是它每次往前走一步是不确定的,有很多个选择,只要任何一个执行路径能到达终止状态,就表示它解决了该问题 x。换句话说,它的执行轨迹是一棵树。那么如果我们把不确定性图灵机每一步的路径选择记录下来(这个执行路径的记录叫做 witness,也就是我们反复提到的「知识」),那么把(x, witness)交给一个确定性图灵机,那么它也能在多项式时间内解决掉 x 问题。

再强调一下,「知识」能提高图灵机的解决问题的能力。

NP 问题中存在着不想「泄露」给验证者的知识 witness,这时,在一个交互式证明系统中,证明者和验证者在「知识」的掌握程度上是不对等的。

为了保证证明过程的「零知识」,我们需要保证:模拟器与验证者的不对等。可是,模拟器没有 witness啊,怎么能让他们不对等呢?上一篇我们介绍了「随机预言机」,我们通过允许让模拟器可以绑架「随机预言精灵」的方式制造不平等。本篇将讲述如何利用 CRS 来制造不平等。

CRS 是一个在证明之前就已经公开的,并且在证明者与验证者之间共享的,随机字符串。我们怎么来使用 CRS 呢?直觉上,一串双方都「知道」的信息,并不会增加「知识」不对等的情况。

首先大家会想,能不能直接用 CRS 作为随机挑战数呢?可不可以让 CRS 来代替「随机预言精灵」的角色?答案是不行!

为什么?这是因为 CRS 是在证明之前就已经产生了,如果证明者 Prover 提前知道了所有的随机挑战数,那么很显然这个随机挑战也就失去了意义。

注:请大家回想下「随机预言机」是如何保证证明者无法提前预测「随机挑战数」的?没想明白的你,请重读系列(四)。

CRS 的使命就是让「模拟器」与「验证者」不平等。怎么做呢?隐藏一些「秘密」进去。

如果进一步追问,隐藏了「秘密」有什么用呢?当然有用啦,在「理想世界」中,模拟器与抽取器才能很开心地玩耍起来(获取某些超能力) ……

1988年,Manuel Blum,Paul Feldman 和 Silvio Micali 三位先驱发表的论文 「Non-Interactive Zero-Knowledge and Its Applications」(『非交互式零知识证明及其应用』[BFM88])展示了「交互」与「隐藏随机性」的不必要性。他们给出了一个地图三染色问题的 NIZK 证明系统,在一段共享的随机产生的字符串(即CRS)的帮助下。

不过,……,我不会告诉你这个方案需要共享大概 n^4 超长的 CRS,其中 n是要证明的「命题」的长度。

1990 年,Uriel Feige,Dror Lapidot 与 Adi Shamir 三人提出了另一种构造 NP 语言的 NIZK 方案 [FLS90]。与 [BFM88] 不一样的是,这个 NIZK 方案不再基于特定的数论假设,而是基于一个密码学工具 Trapdoor Permutation。在这个方案中,FLS 提出了「隐藏比特」(Hidden Bits)的概念,然后把 Hidden Bits 藏入了 CRS。对于模拟器而言,就可以通过修改 CRS 中的 Hidden Bits 来达到模拟的效果,从而体现出对验证者 Verifier 的优越性。不过,这个方案需要共享更长的 CRS,超过 k * n^5,这里 k 是安全参数。

此后,Hidden Bits 的思路被很多人采用,值得一提的是,Kilian 与 Petrank 采用了一种更巧妙的方法来使用 Hidden Bits [KP98](这里空间太小,写不下:),成功地把 CRS 的长度缩减到了 k * n^2。后来 J. Groth 继续优化 ,把 CRS 的长度缩小到了大约 k*n[Groth10a]。

除了 Hidden Bits,J. Groth,R. Ostrovsky 与 A. Sahai [GOS06] 使用了同态加密方案 Boneh-Goh-Nissim [BGN05] 或 Boneh-Boyen-Shacham 来实现 NIZK,他们把加密方案的「公钥」当做是 CRS,同时 Prover 加密作为证明,然后利用同态性质来证明另一个 NP-Complete 问题——布尔电路的可满足性问题。这个方案的最大优点,就是 CRS 长度是固定的,因为只是一个密钥而已,长度只有 k。对于模拟器而言,它可以通过超能力,拿到这个公钥所对应的陷门,从而能够实现密封任何信息,但得到相同的密文;对于抽取器而言,它可以用超能力拿到公钥对应的私钥,从而能够解密证明得到「知识」。

Jens Groth 在 2010 年基于 KEA(Knowledge of Exponent Assumption) 假设与 Pairing 提出了一种新的 NIZK Arguments 方案[Gorth10b],这也是后续许许多多 zkSNARKs 方案的起点。这里的 CRS 由一对对的 (gxn, g⍺xn) 构成,被用来实现「知识承诺」。其中 x 与 ⍺ 是两个随机数,在产生完 CRS 之后,必须被「遗忘」。有些人把这部分需要遗忘的随机数叫做「Toxic Wastes」,这容易误导读者。他们不仅无毒无害,而且非常有用。他们是被藏入 CRS 的「秘密」,是模拟器的武器。如果模拟器得到了 x 与 ⍺,就能伪造证明,从而保证证明的零知识。而对于抽取器,他能直接通过 KEA 假设内建的抽取函数来抽取知识。

最新的 Sonic 方案[MBK+19]又在 [Groth10b] 的基础上实现了 Updateable CRS。如果任何人担心 CRS 中的秘密已经被泄露了,他就可以在原有 CRS 基础上打一个补丁,继续往里藏一个秘密,这样就能保证 CRS 的安全性。这里的 CRS 还是「Universal 全局」 的,即 CRS 只需要生成一次,就可以应付所有的命题证明。 这个方案后续被最新的 Plonk[GWC19],Marlin[CHMMVW19] 等方案采用。

接下来,我们就从一个简单的例子开始,理解如何基于 CRS 来构造 NIZK。在这之前,我们需要介绍一个 NP-Complete 问题——哈密尔顿环路问题。

哈密尔顿环路问题

想象出一个地图中有若干个城市,城市与城市间可以有公路。

假如给你一副地图,让你找出一条路径,不重复地走遍所有的公路(假设每条公路都是风景美如明信片的 Parkway,或许你想不重复地吃遍每条公路边上的麦当劳,出于某种情怀)。相信你会马上兴奋起来,这不就是小时候学过的「一笔画」么?判断一个地图能否一笔画,这是小学生做的数学题,我们可以计算每个城市连接的公路个数,根据奇偶性分成「奇点」与「偶点」。如果一个地图中存在两个奇点城市,那么你只能从一个奇点城市出发,遍历所有的公路,并且最终到达另一个奇点城市。这条路径就被称为「欧拉路径」(Euler’s Path)。

如果一个地图中所有的城市都是偶点,那么你可以从任意一个城市出发,轻松地找出一条路径,不重复地遍历所有的公路,并且回到起点。这个环路被称为「欧拉环路」(Euler’s Circuit)。

而如果地图存在超过2个以上的奇点,那么就不存在欧拉回路,比如著名的哥德斯堡七桥问题。

著名的哥德斯堡七桥问题就是这么描述,如果不重复地穿过下面七座桥。

在这里插入图片描述

哥德斯堡七桥地图显然存在多个奇点,不存在欧拉路径。如果给定任何一个地图,是否存在一个欧拉环路,这是一个 P 问题,也就是一个计算机可以在 poly(n) 多项式时间内寻找。

注:欧拉环路的寻找算法被称为 Fleury算法。

对于这样一个 P 问题, 如果一个证明者 Prover 证明他知道一个欧拉回路,那么他可以直接发送回路的明文,然后验证者 Verifier 验证回路正确与否。请注意,这个过程仍然是零知识的。因为,Verifier 并没有通过 Prover 发送的信息获得任何 额外的知识。换

最低0.47元/天 解锁文章
安比实验室SECBIT
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零知识证明系列概述—从初探到 zk-SNARK 入门【9】
smilejiasmile的博客
01-24 1411
一、初探零知识证明 前言 区块链的发展可谓是日新月异,分布式账本,哈希函数,merkle tree,公钥算法,p2p网络,共识机制,智能合约等等很高大上的名词相信大家一定都不会很陌生。区块链像一个有机体,融合了各种不同的理论技术。零知识证明构建信任的重要技术,也是区块链这个有机体中不可缺少的一环。 抛砖引玉的小故事 大家一定对数独游戏不陌生。数独游戏就是有一个9×9的盘面。我们要根据盘面上的已知数字,推理出所有剩余空格的数字,并满足每一行、每一列、每一个粗线宫(33)内的数字均含1-9,不能重复。
PlonK Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge学习笔记-1
火火火的博客
06-07 310
PLONK 课程 1. plonk的基本原理 1.将数学运算化为多项式,之后再化为电路。 2.多项式承诺(手上的一堆多项式,满足一定的关系:证明方发送给验证者,承诺发出后,多项式不可以再改变)。 零知识证明基本原理: 证明R(x,w) = 1. x :是数学问题,w是问题的解。证明方P找到了解w,向验证方V证明拥有w。 电路中门的分类:加法门、乘法门和常数门。 2. plonk 处理门的方案: ​QL∗a+QR∗b+QO∗c+QM∗a∗b+QC=0Q_L*a + Q_R*b + Q_O*c + Q_M
CompreFace:Exadel的免费开源人脸识别系统-开源
04-29
CompreFace是一款用于人脸识别的免费应用程序,可以集成为独立服务器或部署在云中,并且无需机器学习知识即可进行设置和使用。 我们使用了基于深度神经网络的最受欢迎的面部识别方法之一,并提供了便捷的API用于面部采集训练和面部识别。 我们还提供了一个方便的角色系统,您可以使用它轻松控制谁可以访问Face Collection。 CompreFace的优点是:1.开源代码和完全本地的(数据安全性)2.使用一个docker命令快速启动3.无需机器学习知识即可设置和使用4. CompreFace使用最受欢迎的一种具有高精度人脸识别的人脸识别方法5.具有访问控制角色的UI面板官方网站:https://exadel.com/solutions/compreface/ Github链接:https://github.com/exadel-inc/CompreFace
datahub-dine:数据中心交互式教育(DINE)是一个演示内容,显示了如何使用SAP数据中心的功能
05-26
DataHub互动教育(DINE) 概述 数据中心交互式教育(DINE)是的教育内容。 我们的动手练习旨在向您展示如何使用SAP Data Hub功能。 SAP Data Hub允许您连接到不同的数据源,例如SAP HANA,SAP ERP,SAP BW,Oracle DB2,SQL Server等,并且可以处理各种数据类型。 使用Kafka,流引擎,文本和图像分析等进行结构化,半结构化和结构化。SAP Data Hub可以将所有数据整合在一起,因此您可以无缝地跨它们工作。 您可以在SAP Data Hub上快速开发原型,并且由于SAP Data Hub负责执行,编排,调度和监视,因此可以轻松地将结果转换为生产级系统。 SAP Data Hub是在Kubernetes上开发的,因此可以在内部或云中部署。 它运行在分布式执行引擎上,并通过证明对大数据格局中的元数据的理解而设计用于大数据世界
Discount:在Apache Spark上进行分布式k-mer计数和最小化器分析
03-17
内容 概述 Discount是一个基于Spark的工具,用于k-mer计数和最小化器顺序分析。 它能够分析大型宏基因组规模的数据集,而占用的内存却很小。 该软件包括UF Petrillo等[1]的 。 我们还包括了由 [2]生成的紧凑型通用击中集。 有关详细的背景和说明,请参阅[3]的论文。 基本 是可选的。 如果您不想自己编译Discount,则可以从“页面下载预构建的版本。 跑步折扣 Spark应用程序(例如Discount)可以在笔记本电脑,群集或云中本地运行。 在Google Cloud中,我们已经在Dataproc映像版本1.4(Debian 9,Hadoop 2.9,Spark 2.4)上进行了测试。 但是,Discount应该在可以运行Spark和Hadoop任何平台上运行。 要在本地运行,请首先安装并配置Spark( )。 Discount已在带有Scala 2.1
论文笔记:Mystique: Efficient Conversions for Zero-Knowledge Proofs with Applications to Machine Learnin
weixin_44062177的博客
03-11 251
Mystique: Efficient Conversions for Zero-Knowledge Proofs with Applications to Machine Learning 探索ZK算法在Machine Learning的应用和一系列优化工作
【新书速递】实用安全多方计算导论
华章IT官方博客
07-19 2162
安全多方计算(MPC)是解决数据安全与隐私保护问题的关键安全数据交换技术,近年来发展迅速,但由于MPC涉及复杂的密码学和工程实现技术,行业长期缺乏同时具备MPC研究、应用和实现能力的综合性...
PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge 学习笔记
mutourend的博客
02-06 1460
1. 引言 Gabizon等人2019年论文《PLONK: permutations over lagrange-bases for oecumenical noninteractive arguments of knowledge》。 相关代码实现有: https://github.com/dusk-network/plonk https://github.com/barryWhiteHat/plonk_tutorial https://github.com/mir-protocol/plonky ht
零知识证明: 抛砖引玉
跨链技术践行者
05-12 1万+
当今密码学世界中最酷炫的一件事,莫过于那些优美又神秘的专有名词。我们可以自由的以这些术语给朋克乐队或Tumbirs博客起名字,像是“硬核谓词(hard-core predicate)”、“陷门函数(trapdoor function)”,或“不可差分密码分析(impossible differential cryptanalysis)”等热词都受到追捧。 当然,我今天要提到的这个术语热度绝不亚...
PlonK Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge学习笔记-3
火火火的博客
06-08 247
3. plonk 零知识证明 视频来源:https://www.bilibili.com/video/BV1XZ4y1A7bU?p=3&share_source=copy_web 3.1 多项式承诺 多项式承诺:当我有一mmm,我发给V,发送后就不可以改变。前面讲到了用指数函数完成: 对于 FP={0,1,2,..,p−1}F_P =\lbrace 0,1,2,..,p-1 \rbraceFP​={0,1,2,..,p−1}, 存在映射到 G={e,g,...,gp−1}G = \lbrace e
try-puppeteer:在云中运行Puppeteer代码
02-02
云中运行脚本。 试试看: : 开发安装: yarn ; yarn install-backend# or npm i后端后端是一个Docker容器,该容器安装了可在Linux上与Puppeteer一起使用的最新Chrome程序包。 注意:在尝试本节中的每个步骤之前,...
URLShortener:使用Flask构建的简单URL缩短器-https
04-06
使用和构建的简单URL缩短器。 可以在查看已部署的版本。 截屏 入门 使用Docker 先决条件 跑步 在终端/命令提示符下运行: docker-compose up 然后将浏览器指向 。 没有Docker 安装要求 (可选)安装和并创建一个...
PlonK Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge学习笔记-2
火火火的博客
06-07 187
多项式与黑盒模拟prove 1.域: 有限域:FP=ZP={0,1,...,p−1}F_P=Z_P=\lbrace 0,1,...,p-1\rbraceFP​=ZP​={0,1,...,p−1} ,p个元素,满足加减乘除运算。 有限域的乘法群:Fp=Zp∗={1,2,...,p−1}F_p = Z_p^* = \lbrace 1,2,...,p-1\rbraceFp​=Zp∗​={1,2,...,p−1}, p-1个元素,满足乘除运算。 例如: ​ p =2,3,5,7, ​ 当p=2:F2={0,
陷门函数Trapdoor Function
小熊划水博
07-04 9093
陷门函数:正向计算是很容易的,但若要有效的执行反向计算则必须要知道一些secret/key/knowledge/trapdoor(知识?),也称为伪随机置换,可用于构造公钥密码系统。 若 f 为陷门函数,则 y = f (x) 是很容易计算的,但若要计算 x = f(-1) (y) 则是困难的, 若已知一些额外的knowledge(trapdoor/key) k , 则计算  x = f(-1...
浅谈零知识证明
热门推荐
jambeau的博客
11-06 2万+
零知识证明是实现隐私保护的密码学方案。曾被称为密码学领域的一颗皇冠,用于在不泄露具体秘密情况下对问题一种正确证明方法。尤其是在金融领域实现数据隐私保护方面的创新业务场景里实现落地应用。 我们今天就从零知识证明的基本概念、研究进展、实现原理方面做一些简单阐述。 一、零知识证明概述 零知识证明(Zero-Knowledge Proof, ZKP)是现代密码学中的一类经典协议,用于在不泄露关于某个命题任何信息的情况下证明该命题的正确性。近年来,随着区块链等新兴技术的发展以及隐私计算需求的兴起,零知识证明技术再次成
亚瑟王的「随机」挑战:从交互到交互式零知识证明——探索零知识证明系列(四)
SECBIT区块链安全实验室
11-01 3894
本文作者:郭宇 本文已更新至Github https://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/4/zkp-rom.md “Challenges are at times an indication of Lord's trust in you.” 挑战,有时是上天信任你的一种表现。― D. Todd Christ...
零知识证明ZK基础
weixin_51591328的博客
01-09 140
一种特殊的3轮零知识证明协议。
交互式零知识证明】(上)
qq_45764888的博客
10-04 4836
简单来说,零知识证明就是:证明者(`prover`)能够在不向验证者(`verifier`)提供任何有用的信息的情况下,使验证者(`verifier`)相信某个论断是正确的。所谓零知识,通俗的来讲,就是既证明了自己想证明的事情,同时透露给验证者的信息为“零”。零知识证明可以分为交互式交互式两种。
ERC20智能合约的approve千万别这样写
SECBIT区块链安全实验室
06-15 7094
作者:安比(SECBIT)实验室 最近智能合约安全事件频发,从BEC到SMT,从HXG到FXE等,最近这几个智能合约出的问题,大都是由于整数溢出漏洞导致的。大家对整数溢出是不是都杯弓蛇影了?我们是不是应该在所有的地方都加上安全检查,确保我们的代码没有问题呢?可是这样真的好吗? 我们先来看看这段代码: function approve(address _spender, uint _amou...
nodered-node-wol
最新发布
01-11
根据提供的引用内容,我找到了两个与nodered-node-wol相关的资源。下面是它们的介绍和演示: 1. nodered-node-wol仓库:您可以在以下链接中找到nodered-node-wol的仓库:https://github.com/thomasmauerer/hassio-addons。该仓库提供了一个Node-RED节点,用于发送Wake-on-LAN(WOL)魔术包,以唤醒远程设备。您可以通过克隆或下载该仓库来获取该节点,并将其安装到您的Node-RED实例中。 2. Xiaomi-cloud-tokens-extractor:您可以在以下链接中找到Xiaomi-cloud-tokens-extractor的代码:https://github.com/PiotrMachowski/Xiaomi-cloud-tokens-extractor/blob/master/token_extractor.py。这是一个Python脚本,用于从小米云中提取设备的访问令牌。尽管这个资源与nodered-node-wol没有直接关联,但您可能会在使用nodered-node-wol时需要使用小米设备的访问令牌。您可以按照该代码的说明来提取令牌,并在Node-RED中使用它们。 希望这些资源对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值