从「模拟」理解零知识证明:平行宇宙与时光倒流—— 探索零知识证明系列(二)

最新推荐文章于 2020-11-16 14:59:50 发布
VIP文章 最新推荐文章于 2020-11-16 14:59:50 发布
阅读量934 收藏 9
点赞数 2
分类专栏: 安全技术 文章标签: 零知识证明 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secbit/article/details/98593548
版权

本文作者:郭宇

本文已更新至Github

https://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/2/zkp-simu.md

I know that I know nothing —— 苏格拉底

相信很多人都听说过零知识证明,但是只有极少数人听说过模拟,然而模拟是理解零知识的关键。

我们在第一篇文章『初识「零知识」与「证明」』[1]中介绍了一个简单的零知识交互系统:地图三染色问题。那么这个系统真的是零知识的吗?我们为什么要相信这个结论呢?有证明吗?在 Alice 与 Bob 的对话过程中,如果不零知识,Alice就被坑了。交互式系统的设计者「我」需要让 Alice 确信,这个对话确实是零知识的。

如果从直觉主义角度解释,要证明一个交互系统中存在信息泄露,那么你只需要指证:第几个 bit 导致信息泄露即可;但如果要证明不存在信息泄露,那么你要对着所有信息流中的所有 bit 说,这从1,2,3,4,5,…… 编号的 bit 都没泄露任何信息。看官们,这是不是很难?

本文约八千字,略微烧脑。

安全的定义与不可区分性

首先,一个交互式系统,也就是一个对话,它的「零知识」需要证明。毕竟,现代密码学是建立在严格的形式化系统之上。在证明之前,还需要明确「安全假设」到底有哪些。所谓安全假设,比如我们说一个系统的权限隔离做得无比精确,每一个用户只能看到被授权的信息,但是这基于一个安全假设:管理员账号没有被破解。又比如在手机银行软件里,只能通过短信认证码,才能完成转账功能,这也基于一个安全假设:你的手机 SIM 卡没有被克隆。如果我们深入地分析每一个我们感觉安全的系统,都存在大量的似乎不那么稳固的安全假设。比特币私钥安全吗?比特币账户的安全假设也不少:首先你的助记词不能让别人知道,手机钱包里私钥保存加密算法足够强,密钥派生算法正规,你不能忘记助记词,等等等。

脱离安全假设来谈安全都是在耍流氓。一切安全都有前提的。只有经过数学证明之后,大家才能够确信这个 算法/方案 的安全性基于一些非常明确的「安全假设」。

在证明之前,还缺少一个东西,那就是「安全定义」。在多数人的认知系统中,安全就是一个框,什么都可以往里装。大家应该好好提醒下自己,当谈论安全二字的时候,有没有想过到底什么是安全?怎么算安全?

「安全」需要有一个数学意义上的严格定义

伟大的科学家香农(Claude Shannon)从信息论的角度给出了一个非常靠谱的安全性定义[2]:

完美安全:假设你是一个攻击者,你通过密文获取不到任何有价值的信息,破解的唯一手段就是靠瞎蒙。

大家想一想,这个定义很有趣,通过密文获取不到信息,这就意味着你没有获得任何额外的计算能力,能够帮助让你以更短的时间来计算出明文。

但是这个定义太完美,以至于使用的加密算法都很难满足这个安全性定义。后来 Goldwasser 与 Micali 等人写了另一篇载入史册的经典『概率加密』[2]。
在这里插入图片描述
在这篇论文中定义了这样一个概念:语义安全。所谓语义安全在完美安全的定义上放松了些要求。

语义安全:假设你是一个攻击者,你通过密文在多项式时间内计算不出来任何有价值的信息。

好了,这个看起来靠谱多了。接下来一个问题就是,怎么理解「计算不出来信息」这个概念?这看来要对信息进行度量,信息的定义又是什么呢?

我们又引入一个概念——「不可区分性」,来重新表述加密算法的安全性:假设你是一个攻击者,而我有一个加密算法:

  1. 你随机产生两段等长的明文,m1=「白日依山尽,黄河入海流」,m2=「烫烫烫烫烫,烫烫烫烫烫」
  2. 你把这两段明文,m1 与 m2 交给我
  3. 我随机挑选一个明文,不告诉你是哪一个,然后进行加密,产生一个密文 c
  4. 我把密文 c 出示给你看,让你猜这个c 究竟是由唐诗加密产生,还是乱码加密产生
  5. 如果你用一台计算机来破解c,在多项式时间内破解不出来,也就是说你没办法区分c的来源,那么就说明加密算法是语义安全的

OK,理解完「不可区分性」,我们再回到「零知识」,如何证明一个交互式系统是「零知识」呢?首先我们要定义下零知识这个概念。

注:不可区分性是概率意义上的不可区分;在学术上,它可以分为「完全不可区分」,「统计不可区分」,还有「计算不可区分」。在本文中,我们暂时不需要理解这些概念的差别。

遇见模拟器

先开个脑洞,设想在平行宇宙中,有两个平行的世界,一个叫做「理想世界」(Ideal World),另一个叫做「现实世界」(Real World)。我们每一个个体可以在两个平行世界中愉快地玩耍,但是两个世界的普通人无法互相感知,也无法互相沟通。

假设「你」是一个很厉害的密码破解者,而且「你」不是普通人,具备在平行宇宙之间穿梭的能力。而 Alice 有一个地图三染色的答案,你的目的是通过和 Alice 对话来获取地图三染色的答案,会话的过程参考上一篇文章的「地图三染色问题」协议。

继续脑洞,Alice 只存在「现实世界」中;在「理想世界」,Alice 被「替换」成了一个长相与声音一模一样的个体,我们称替身为 Zlice。下一步,把「你」同时放入两个世界中,但不让你知道是你当前位于哪一个世界。你的两个分身所面对的都是一个 “Alice”模样的人。

再重复一遍,在「现实世界」中, 与你对话的是一个真实的,并且诚实的 Alic

最低0.47元/天 解锁文章
安比实验室SECBIT
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【隐私计算笔谈】零知识证明系列专题():一个个人化的视角:零知识、模拟与归约
Matrix_element的博客
08-29 1111
> 你或许已经坐在了历史上最好的观景台上。眼下的密码算法与协议——如零知识证明与安全多方计算等——正在深刻地改变社会个体/组织之间信任的来源和它的成本。密码技术可能会远远超出一个技术的范畴,最终对社会变革产生深远的影响。或许,我们将要看到的景象要远比Michael Lewis「在金融业即将迎来变革的戏剧性时刻坐在位置最好的观景台前」所看到的更加波澜壮阔。——邓燚 文 | 邓燚 本文承接:【隐私计算笔谈】零知识证明系列专题(一):零知识证明与重置模拟 文章目录Feige-Shamir:优雅的证据
零知识证明从0到1,ZK简介
AdijeShen的博客
12-21 1万+
梳理了ZK的基本概念,给出了Completeness,Soundness,Zero-knowledgeness的定义和证明方法。整理SNARK的框框;BulletProof、SNARK、STARK的区别;ZK如何给区块链做扩容。
初识零知识证明
流年亦梦啦啦啦
11-16 289
问题引入:假设你的手里有红绿两个小球,假如你有一个对颜色不敏感的朋友,你不能告诉他你两个球分别是什么颜色,但是却要让他相信那是两个不同颜色的球?这时你该如何做呢? 解决办法:先将红绿两个球分别放在他的两只手中,并记住初始状态左右手中的颜色;让他将手放背后,随机决定是否在背后交换手中的球,然后将手中的球展示给你并让你判断他是否在背后交换了手中的球,这时,你通过对比他手中球的颜色来回答他的问题。 实验结果:由于你能分辨出两个球的颜色,自然根据颜色是否交换你就能判断出他是否在背后交换了两个球。而他知道自己是否交换
一个数独引发的惨案:零知识证明(Zero-Knowledge Proof)
omnispace的博客
04-05 2221
这篇文章大部分译自:https://medium.com/qed-it/the-incredible-machine-4d1270d7363a 原文的作者是著名的Ghost和Spectre 这两个协议的创始团队的领队Aviv Zohar。原文作者说他的这篇原文又是引用了以下这两篇学术论文:How to Explain Zero Knowledge Protocols to Your Childre...
虚拟存储管理中页面置换算法模拟_零知识,模拟与归约:一个个人化的视角
weixin_39875832的博客
11-11 192
你或许已经坐在了历史上最好的观景台上。眼下的密码算法与协议--如零知识证明与多方安全计算等--正在深刻地改变社会个体/组织之间信任的来源和它的成本。密码技术可能会远远超出一个技术的范畴,最终对社会变革产生深远的影响。或许,我们将要看到的景象要远比Michael Lewis "在金融业即将迎来变革的戏剧性时刻坐在位置最好的观景台前" 所看到的更加波澜壮阔。0. 我开始研究密码学和零知识证明的时候当然...
weathertaker:高飞游戏中时光倒流应用
03-09
weathertaker:高飞游戏中时光倒流应用
游戏中时光倒流:使用opencv从网络摄像头的游戏中时光倒流图像
02-28
游戏中时光倒流 使用opencv从网络摄像头拍摄的python间隔拍摄图像 从teknynja处( 抓取并改编为cv2 videomaker.py:来自带有opencv图像的快速而肮脏的视频
游戏中时光倒流:简单的游戏中时光倒流系统
02-16
物联网延时摄影机 物联网Timelapse相机系统使用天蓝色。 安装: 本指南将帮助您在几分钟内设置缩时摄影机。 您需要将USB或树莓派本机摄像头连接到设备上。 大多数步骤已自动化。 在要制作缩时摄影机的设备上执行...
时光倒流的女孩》读后感:时光不会倒流.pdf
09-12
时光倒流的女孩》读后感:时光不会倒流.pdf
timelapse:游戏中时光倒流视图
05-02
支持各种外部工具以与当前版本一起使用; 例如打开beycond比较作为文件夹比较视图或打开各种thg工具: 使用简单的lis视图显示文件更改集 在后台线程中启动多个hg进程以保持UI响应。 使用 UI的ocornut / imgui ...
零知识证明学习资源汇总
SECBIT区块链安全实验室
11-08 3155
摘要:本文收集整理了关于零知识证明的一些学习资料,希望能对大家有所帮助。
零知识证明: 抛砖引玉
热门推荐
跨链技术践行者
05-12 1万+
当今密码学世界中最酷炫的一件事,莫过于那些优美又神秘的专有名词。我们可以自由的以这些术语给朋克乐队或Tumbirs博客起名字,像是“硬核谓词(hard-core predicate)”、“陷门函数(trapdoor function)”,或“不可差分密码分析(impossible differential cryptanalysis)”等热词都受到追捧。 当然,我今天要提到的这个术语热度绝不亚...
详解零知识证明的四大基础技术,如何与以太坊发生反应
omnispace的博客
01-23 4717
zkSNARKs 的成功实现让我们印象深刻,因为你可以在不执行,甚至不知道执行的具体内容是什么的情况下确定某个计算的结果是否正确 -- 而你唯一知道的信息就是它正确的完成了。但是不幸的是,大多数关于 zkSNARKs 的解释都浮于表面,而且他们往往会遗留下一些『魔法』,并暗示只有最聪明的人才能懂得 zkSNARKs 是如何工作的。实际上,zkSNARKs 可以总结为 4 个简单的技术,本篇博客将会
零知识证明 Learn by Coding:libsnark 入门篇
SECBIT区块链安全实验室
01-03 2399
本文作者:p0n1@安比实验室 libsnark 是目前实现 zk-SNARKs 电路最重要的框架,在众多私密交易或隐私计算相关项目间广泛应用,其中最著名当然要数 Zcash。Zcash 在 Sapling 版本升级前一直使用 libsnark 来实现电路(之后才替换为 bellman)。毫不夸张地说,libsnark 支撑并促进了 zk-SNARKs 技术的首次大规模应用,填补了零知识证明技术从...
零知识证明学习笔记:背景与起源
SECBIT区块链安全实验室
12-23 1081
副标题:斯坦福学霸的零知识证明学习笔记(一) 本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学,本系列文章来源于作者在斯坦福著名的课程《CS 251: Cryptocurrencies and blockchain technologies》上的学习笔记,该课程授课老师是密码学大拿 Dan Boneh。 上个学期在斯坦福跟着Dan Boneh学习了区块链和数字货币相关的...
读心术:从零知识证明中提取「知识」——探索零知识证明系列(三)
SECBIT区块链安全实验室
08-28 1292
本文已更新至Githubhttps://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/3/zkp-pok.md 导言:有些理论非常有趣,零知识证明便是其中之一,摸索了许久,想写点什么,与大家一起讨论。本文是『探索零知识证明系列的第三篇。全文约 7,000 字,少量数学公式。 And what, Socrates, is the fo...
浅谈零知识证明:简短无交互证明(SNARK)
SECBIT区块链安全实验室
12-31 2105
本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学,本系列文章来源于作者在斯坦福著名的课程《CS 251: Cryptocurrencies and blockchain technologies》上的学习笔记,该课程授课老师是密码学大拿 Dan Boneh。 上一期文章发表之后,非常惊讶有那么多小伙伴读完了表示喜欢。那么我们接着这期继续吧!这次,我们专注的聊一聊SNAR...
初识「零知识」与「证明」
SECBIT区块链安全实验室
07-31 1119
副标题:探索零知识证明系列(一) 作者:郭宇 本文已更新至Github: https://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/1/zkp-back.md 引言: 我认为区块链很难称为一个“技术”。它更像是一个领域,包罗万象。或者形而上地说,区块链更像一个有机体,融合了各种不同的理论技术。 零知识证明是构建信任的重要技术,也是区...
云中「秘密」:构建非交互式零知识证明---探索零知识证明系列(五)
SECBIT区块链安全实验室
01-10 1652
本文作者:郭宇 Once exposed, a secret loses all its power. 一旦泄露,秘密就失去了全部威力 ― Ann Aguirre 这已经是本系列的第五篇文章了,这一篇继续深入非交互式零知识证明。 本文约 12,000 字。 系列一:初识「零知识」与「证明」 系列理解模拟系列三:寻找「知识」 系列四:随机「挑战」 提纲 CRS 的前世今生 哈密尔...
外部中断控制LED倒流水灯实验小结
最新发布
06-11
外部中断控制LED倒流水灯实验是一项基础的电路实验,旨在让学生了解外部中断的原理和应用。在实验过程中,我们通过按下按键,触发外部中断,从而控制LED倒流水灯的亮灭。 实验中,我们需要使用Arduino开发板、面包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值