ZK-SNARKS | 创建第一个零知识snark电路

最新推荐文章于 2024-01-26 14:54:59 发布
最新推荐文章于 2024-01-26 14:54:59 发布
阅读量2.2k 收藏 14
点赞数 2
分类专栏: 去爱上科研 文章标签: zksnark 零知识证明 groth16
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/simmel_92/article/details/119514688
版权

前言:本文我们使用两个公开库circom、snarkjs尝试构建一个简单的零知识证明。其中,circom库用于构建和编译代数电路,snarkjs库是zk-snarks协议的独立实现。本文使用的方法主要参考的是snarkjs库0.4.6官方教程(英文)和博文circom与snarkjs经典教程(中文)。感谢这两篇文献的作者。

另,github上面也给出了一个较为完整的英文版的tutorial,感兴趣的盆友可以点击链接​​​​​​​学习。

目录

准备:安装Node.js

1. 安装circom&snarkjs

2. 可信设置

3.  构建电路 

4. 生成groth16算法密钥 

5. 计算见证(witness)

6. 证明与验证

准备:安装Node.js

具体方法参考我的另一篇博文

1. 安装circom&snarkjs

在终端输入如下安装命令:

npm install -g circom
npm install -g snarkjs

在执行第二条命令时出现git报错:

  上网搜索发现可能原因是(1) ipv6,(2) 之前开了网络代理,git默认走代理通道,导致现在关掉代理之后用不了了。

方法1:在终端输入如下命令禁用ipv6:

networksetup -setv6off Wi-Fi

方法2: 首先查看git配置,在终端输入“git config --global --list ”,若发现返回内容中包含http.https或者https.https字样,说明设置了网络代理。输入如下命令撤掉代理即可:

git config --global --unset http.proxy
git config --global --unset https.proxy

我遇到的是问题(1),使用方法1解决了。

2. 可信设置

2.1 创建一个新文件夹,用于包含后续所有文件:

mkdir factor
cd factor

2.2 执行new命令:

snarkjs powersoftau new bn128 12 pot12_0000.ptau -v

* 解释:

[new]:用于开启一个新的 powers of tau ceremony (该叫法摘自snarkjs库0.4.6官方教程

[bn128]:选择bn128曲线(可选的还有bls12-381曲线,bn和bls的简介见后面“补充”部分)

[12]:规定了我们接下来要构建的电路的两个限制。限制1:电路中constraints(稍后会解释)的数量不能多于2^{12}= 4096个;限制2:电路中parameter的数量不能多于2^{28}\approx 268\times 10^{6}个。

* 效果:

此条命令会创建一个pot12_0000.ptau文件,执行命令后会打印以下字段:

 * 补充

参考博文zk-SNARK零知识证明曲线选择Electric Coin Co. 官网的相关内容,Barreto-Naehrig (BN) 和Barreto-Lynn-Scott (BLS)都是pairing-friendly椭圆曲线。不同之处在于,BN曲线若想要达到128-bit的安全性,需要q≈2384,相应的BN曲线的阶数r也会提高到2384量级,r值的增大会影响multi-exponentiation、FFT等运算性能,从而影响zk-SNARK以及安全多方计算的执行效率,同时也会影响key文件不必要的增大。 而对于BLS曲线,当q≈2384 且 embedding degree k=12时,具有128-bit的安全性,而相应的阶数r≈2256,远小于BN曲线的2384量级。

2.3 执行contribute命令

snarkjs powersoftau contribute pot12_0000.ptau pot12_0001.ptau --name="First contribution" -v

* 解释:

[contribute] 该命令将上一步创建的pot12_0000.ptau文件作为输入,并输出一个新的ptau文件pot12_0001.ptau。ptau文件包含所有已经进行过的challenge和response计算。

[name] 这一字段内你可以任意填入一些内容。在后面执行验证(第6步)的时候这个内容会被打印出来。

* 效果:

执行此条命令,会被要求输入一些随机内容,输入后打印如下内容:

2.4 第二次contribute

snarkjs powersoftau contribute pot12_0001.ptau pot12_0002.ptau --name="Second contribution" -v -e="some random text"

* 解释:

此条命令与上一条功能相同,不同点在于,加入了[-e]命令,直接输入了一些随机值(上一步是交互式地输入随机值,这一步直接将随机值写入了命令中)。

* 效果:

2.5 第三次contribute(第三方contribute)

snarkjs powersoftau export challenge pot12_0002.ptau challenge_0003
snarkjs powersoftau challenge contribute bn128 challenge_0003 response_0003 -e="some random text"
snarkjs powersoftau import response pot12_0002.ptau response_0003 pot12_0003.ptau -n="Third contribution name"

 不太确定这步跟上两步的异同,但是执行完成后会生成pot12_0003.ptau文件:

2.6 验证

snarkjs powersoftau verify pot12_0003.ptau

如果验证通过,在打印信息的第一行会显示“[INFO] snarkJS: Powers Of tau file OK!” :

2.7 引入random beacon

snarkjs powersoftau beacon pot12_0003.ptau pot12_beacon.ptau 0102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f 10 -n="Final Beacon"

 此条命令会生成一个pot12_beacon.ptau文件。

2.8 生成公开信息

snarkjs powersoftau prepare phase2 pot12_beacon.ptau pot12_final.ptau -v

* 解释:

[prepare phase2]:生成多项式在点\tau、点\alpha \cdot \tau、点\beta \cdot \tau的值的密文。

此命令将pot12_beacon.ptau文件作为输入,生成一个新文件pot12_final.ptau。

2.9 最终验证

snarkjs powersoftau verify pot12_final.ptau

* 解释:

在开始下一步(构建电路)之前,执行一个最终验证。

* 效果:

执行此条命令,部分打印信息如下:

3.  构建电路 

我们准备证明的问题是:我们知道数字a和b(秘密),它们相乘得到c(公开值)。

3.1 创建一个circom文件:

vim circuit.circom

文件内容如下:

1. template Multiplier() {
2.    signal private input a;
3.    signal private input b;
4.    signal output c;
5.    c <== a*b;
6. }
7. 
8. component main = Multiplier();

* 解释:

2-4行:这个电路有两个private输入信号,即a和b;有一个输出信号,即c。

第5行:输入和输出使用<==运算符进行关联。 在circom中,<==运算符做两件事。 首先是连接信号。 第二个是施加约束。在本例中,我们使用<==c连接到ab,同时将c约束为a * b的值,即电路做的事情是让强制信号 c 为 a*b的值。

第8行:在声明 Multiplier 模板之后, 我们使用名为main的组件实例化它。编译电路时,必须始终有一个名为main的组件。

(对第5行和第8行的解释摘自博文circom与snarkjs经典教程

3.2 编译电路

circom circuit.circom --r1cs --wasm --sym -v

3.3 用snarkjs查看编译后的电路

snarkjs r1cs info circuit.r1cs

获得如下输出:

3.4 打印constraints

snarkjs r1cs print circuit.r1cs circuit.sym

打印信息如下:

3.5 将电路输出成json格式

snarkjs r1cs export json circuit.r1cs circuit.r1cs.json
cat circuit.r1cs.json

执行这两条语句后会打印json字符串。

4. 生成groth16算法密钥 

** 步骤4.2--4.7类似于上文步骤2.3--2.7, 2.9

4.1 设置

snarkjs groth16 setup circuit.r1cs pot12_final.ptau circuit_0000.zkey

* 解释:

此命令生成zkey,即零知识证明密钥,包含证明密钥(proving key)和验证密钥(verification key)。每个电路都单独生成一个zkey,我们可以验证一个zkey是否属于某个电路。

Note that circuit_0000.zkey (the output of the zkey command above) does not include any contributions yet, so it cannot be used in a final circuit.

——摘自snarkjs库0.4.6官方教程

4.2 zkey Contribute

snarkjs zkey contribute circuit_0000.zkey circuit_0001.zkey --name="1st Contributor Name" -v

此命令会生成一个新的circuit_0001.zkey文件,里面包含了一个contribution。这一步会要求输入一些随机内容,如下:

4.3 第二次contribute

snarkjs zkey contribute circuit_0001.zkey circuit_0002.zkey --name="Second contribution Name" -v -e="Another random entropy"

4.4 第三次contribution(第三方contribute)

snarkjs zkey export bellman circuit_0002.zkey  challenge_phase2_0003
snarkjs zkey bellman contribute bn128 challenge_phase2_0003 response_phase2_0003 -e="some random text"
snarkjs zkey import bellman circuit_0002.zkey response_phase2_0003 circuit_0003.zkey -n="Third contribution name"

4.5 验证

snarkjs zkey verify circuit.r1cs pot12_final.ptau circuit_0003.zkey

4.6 引入random beacon

snarkjs zkey beacon circuit_0003.zkey circuit_final.zkey 0102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d1e1f 10 -n="Final Beacon phase2"

4.7 验证最终zkey

snarkjs zkey verify circuit.r1cs pot12_final.ptau circuit_final.zkey

4.8 输出验证密钥

snarkjs zkey export verificationkey circuit_final.zkey verification_key.json

5. 计算见证(witness)

witness中包含与已知电路所有constraints相匹配的信号,可以理解为问题的答案。在我们的例子中,一个见证包含a、b、c。我们先生成witness,然后再用witness生成零知识证明。

5.1 创建input文件

创建一个json文件:

vim input.json

在json文件中写入如下内容并保存:

{"a": 3, "b": 11}

5.2 运行计算命令

snarkjs wtns calculate circuit.wasm input.json witness.wtns

5.3 检查witness计算有无错误

snarkjs wtns debug circuit.wasm input.json witness.wtns circuit.sym --trigger --get --set

* 效果:

此命令会打印我们输入的a、b以及相应的输出c:

6. 证明与验证

6.1 构建零知识证明

snarkjs groth16 prove circuit_final.zkey witness.wtns proof.json public.json

* 解释:

这一命令生成文件proof.json和public.json,前者包含证明,后者包含公开输入和公开输出。

* 注:

第5步(计算witness)和第6.1步(生成证明)可以合并为一条语句:

snarkjs groth16 fullprove input.json circuit.wasm circuit_final.zkey proof.json public.json

6.2 验证

snarkjs groth16 verify verification_key.json public.json proof.json

* 效果:

若验证成功将打印“OK!”:

simmel_
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
libsnark-tutorial:zkSNARK教程和开发环境
03-05
libsnark教程 在这个库中,我们将使用创建一个简单的zkSNARK应用程序,这是一个用于zkSNARK证明的C ++库。 zkSNARKs使证明者可以简洁地说服任何验证者对给定语句的有效性,而无需透露除语句有效性以外的任何信息。 这项技术已经为诸如协议奠定了基础, 是一种为用户及其交易提供匿名的加密货币。 本教程将指导您安装libsnark ,设置开发环境以及构建简单的zkSNARK应用程序。 可以扩展该库以支持测试框架,性能分析基础结构等。 目录 介绍 Shafi Goldwasser,Silvio Micali和Charles Rackoff首次引入了零知识证明零知识证明可以使一方(证明方)说服另一方(检验方)给定的陈述是真实的,而不会透露陈述本身的有效性以外的任何信息。 zkSNARK零知识证明的一种变体,它使证明者可以简洁地说服任何验证者给定语句的有效性,并实现计算
零知识证明zk-SNARK)- groth16(二)
Amire0x的小乐园
12-28 1217
本部分就是将计算难题转换为多项式,然后使用zk-SNARK。(注:以下用 P,V 替代 Prover,Verifier) R1CS(Rank-1 Constraint System)是一种能够将算数电路统一成约束向量的方式,一组向量构成一组满足特定形式的式子。 我们知道一般的计算可以拆解为 左操作数 操作符 右操作数 = 输出(如 a×b=ca\times b = ca×b=c)这样的格式,更复杂的计算则是由一系列简单的计算组合而成的。那么多个操作符应该如何如何表示呢?多个操作符就需要将其拆分成单个操作符组
什么是zk-SNARK
热门推荐
跨链技术践行者
04-20 2万+
什么是zk-SNARK? Zcash是zk-SNARKs第一个广泛应用,zk-SNARKs是一种新颖的知识密码学形式。Zcash的强大隐私保证源于Zcash中的屏蔽事务可以在区块链上完全加密,但仍然可以通过使用zk-SNARK证明在网络共识规则下验证为有效。 首字母缩略词zk-SNARK代表“知识简洁非交互式知识论证”,并且指的是一种证据构造,其中人们可以证明拥有某些信息,例如秘密密钥,...
zk-SNARKs-Explainer:漫画格式解释的零知识证明示例(zk-SNARK
03-09
笔译
zkSNARK.wasm:zkSNARK电路编译器
04-11
wasm-pack-template 用于使用启动Rust和WebAssembly项目的模板。 | 内置 :crab: :spider_web: 由 关于 该模板用于将Rust库编译到WebAssembly中,并将结果包发布到NPM。 一定要检查出为其他模板和用法wasm-pack 。 :person_biking: 用法 :ewe: 使用cargo generate来克隆此模板 cargo generate --git https://github.com/rustwasm/wasm-pack-template.git --name my-project cd my-project :hammer_and_wrench: 使用wasm-pack build wasm-pack build :microscope: 使用wasm-pack test在无头浏览器中进行wasm-pack test wasm-pack test --headless --firefox :wrapped_gift: 使用wa
Recursive SNARKs总览
mutourend的博客
03-31 1655
1. 引言 参考文献 [1] 微软团队2021年论文 Nova: Recursive Zero-Knowledge Arguments from Folding Schemes [2] 2021年7月视频 An Overview of Recursive SNARKs [3] 2021年斯坦福课件 Recursive SNARKs [4] 2020年Mina在zkproof的博客Inductive Proof Systems and Recursive SNARKs .........
zk-SNARKs的原理简介
mutourend的博客
01-28 6853
【主要参看了 V神博客 An approximate introduction to how zk-SNARKs are possible】 1. 引言 最近十年最强大的密码学技术可能就是: 通用简洁的零知识证明,又称为zk-SNARKs,全称为"zero knowledge succinct arguments of knowledge"。 所谓zk-SNARK,是指: 可为生成特定输出的计算提供相应的proof证明,使得验证proof的速度远远快于执行相应计算的速度。 而ZK (zero knowled
浅谈零知识证明协议——zk-SNARK
qq_28925345的博客
12-04 3829
一、介绍 简洁非交互式零知识证明(zero-knowledge succinct non-interactive argument of knowledge,以下简称zk-SNARKs)是一种新颖的知识密码学形式,它指的是一种证据构造,在不泄露机密信息的情况下,人们可以证明自己拥有某些信息,能够满足一些预设的条件,同时在证明者和验证者之间无需任何交互。 二、zk-SNARKs概述及定义...
零知识证明ZK-SNARKs的Circom 电路Snarks (翻译)
ChainingBlocks
04-08 1682
前言:在翻译这篇博文之前,本人在本地电脑按照其步骤一一试过了,所以,文章的内容是可行的。下面是一张图片是本人在Remix上的执行结果。 什么是 ZKsnarks,它们是如何工作的? ZKSnarks 也被称为:Zero Knowledge Succinct Non-interactive Arguments of Knowledge,是快速计算的零知识证明,允许您在不提供任何信息甚至不需要证明者和验证者之间的交互的情况下演示事物。 让我们看一个例子。 Bob 想向 Alex 证明他知道.
ZK-SNARKS | 安装Node.js
Welcome to Simmel's Garden
08-08 543
本文为使用circom和snarkjs的预备步骤,即安装Node.js或将Node.js升级至最新稳定版本。 1. 查看本地是否已经安装Node.js以及安装版本 打开终端 => 输入命令“node -v”,如下图: 可以看到目前安装的版本是v10.15.0。若想更新版本请看2,若想下载安装请看3. 2. 使用npm更新Node.js版本 更新Node.js(简称node)需要用到npm工具。安装node时可能已经默认安装了npm,所以我们首先查看本地是否安装了npm。.
源码:zk-SNARKs实战:使用circom和snarkjs实现简单版的Tornado
04-12
该源代码对应本人博文《zk-SNARKs实战:使用circom和snarkjs实现简单版的Tornado(含源码)》,如要看该文章,可直接在百度中根据题目搜索
pysnark:直接在Python中对zk-SNARKs进行编程的库
03-28
y蛇 最近的新闻: 2020年3月11日:更新到最新的snarkjs (这是对PySNARK原始版本的重写,仍可。) PySNARK允许您直接在Python 3中编程zk-SNARK(又名可验证计算)。例如,以下代码运行SNARK程序以计算数字的立方,生成键材料,生成证明并验证它: import sys from pysnark.runtime import snark @snark def cube(x): return x*x*x print("The cube of", sys.argv[1], "is", cube(int(sys.argv[1]))) PySNARK可以使用或作为后端。 对于使用pysnark提供的PubVal数据类型(或使用@snark装饰器)执行的任何计算,该库都会跟踪该计算的Rank-1约束系统。 计算完成后,将生成(或重复使用)用于计算的关
bellman:TensorFlow中基于模型的强化学习
05-01
贝尔曼 | | 贝尔曼做什么? Bellman是使用在Python中基于模型的强化学习(MBRL)的软件包,并在无模型的强化学习软件包的基础上构建。 Bellman提供了一个框架,可以灵活地组合基于模型的强化学习算法。 它提供了两大类算法:决策时间计划和背景计划算法。 在每堂课中,可以轻松地使用任何一种监督学习方法来学习环境的某些组成部分。 Bellman在设计时就考虑了模块化-可以灵活地组合重要组件,例如决策时间计划方法的类型(例如,交叉熵方法或随机射击方法)和状态转换模型的类型(例如,概率神经网络或神经网络)。神经网络的集合)。 Bellman还提供了几种流行的最新MBRL算法的实现,例如PETS,MBPO和METRPO。 包含更多详细信息。 Bellman需要使用Python 3.7及更高版本,并使用来运行计算,从而可以在GPU上快速执行。 维护者 贝尔曼最初是由(按字母
简洁非交互式零知识证明参数(zk-SNARKS),本文系统介绍了zk-SNARKS的数学理论,需要有一定的数学功底的人进行阅读
03-28
我们构建了一个系统,为冯·诺依曼RISC体系结构上的程序执行提供简洁的非交互式零知识证明zk SNARKs)。该系统由两部分组成:一个用于验证算术电路可满足性的密码验证系统,以及一个用于将程序执行转换为此类电路...
Succinct Arguments、Randomized Algorithms、Universal zk-SNARKs
02-25
In this paper, we first present a new zk-SNARK system that is well-suited for randomized algorithms—in particular it does not encode randomness generation within the arith- metic circuit allowing for...
探析零知识证明高能发展路径:走向更安全、私密且可扩展的 Web3 新时代
TinTinCommunity的博客
01-26 1833
2023 年吸引投资超 4 亿美元,零知识证明究竟有什么魔法?
名人档案(辛弃疾、李清照)(1).docx
04-23
名人档案(辛弃疾、李清照)(1).docx
._moood UI KitAdobeXD源码下载设计素材UI设计.xd
04-23
._moood UI KitAdobeXD源码下载设计素材UI设计
full_circle_appAdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
full_circle_appAdobeXD源码下载设计素材UI设计

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值