技术拆解:zk-SNARKs 的数学、协议与实现
1. 数学基础:密码学与代数结构
1.1 同态隐藏(Homomorphic Hiding, HH)
- 定义:允许对加密后的数据执行运算,且解密后结果与对明文运算的结果一致。
- 数学实现:基于椭圆曲线群(如BN254曲线)的离散对数难题。
- 选择一个生成元 ( G ),私钥 ( s ) 生成公钥 ( s \cdot G )。
- 对数据 ( x ) 加密为 ( E(x) = x \cdot G ),满足 ( E(a) + E(b) = E(a + b) )。
1.2 多项式盲验证
- 核心问题:证明者知道一个多项式 ( P(x) ),且满足 ( P(s) = 0 ),但无需透露 ( P(x) ) 的具体系数。
- 构造方法:
- 系数隐藏:将多项式 ( P(x) = a_0 + a_1x + \dots + a_nx^n ) 的每个系数 ( a_i ) 加密为 ( E(a_i) = a_i \cdot G )。
- 随机挑战:验证者选择一个随机数 ( s ),证明者计算 ( E(P(s)) = a_0 \cdot G + a_1 s \cdot G + \dots + a_n s^n \cdot G )。
1.3 椭圆曲线配对(Pairing)
- 双线性映射:对两个椭圆曲线点 ( e: G_1 \times G_2 \rightarrow G_T ),满足:
[ e(a \cdot P, b \cdot Q) = e(P, Q)^{ab} ] - 用途:验证复杂的多项式关系(如 ( P(s) \cdot Q(s) = R(s) ))在加密后的表达。
2. 协议流程:从问题到零知识证明
2.1 问题编码:从程序到电路
- 步骤:
- 算术电路:将待证明的问题(如“我知道x使得f(x)=y”)转换为由加法门和乘法门组成的电路。
- R1CS(Rank-1 Constraint System):
- 每个门对应一个约束方程,例如 ( (a \cdot s) \times (b \cdot s) = (c \cdot s) ),其中 ( s ) 是变量向量。
- QAP(Quadratic Arithmetic Program):
- 将R1CS转化为多项式形式,找到多项式 ( A(x), B(x), C(x) ),使得对某个点 ( z ),有:
[ A(z) \cdot B(z) - C(z) = 0 ] - 构造目标多项式 ( t(x) = (x - z_1)(x - z_2)\dots(x - z_n) ),需证明存在 ( h(x) ) 使得 ( P(x) = h(x) \cdot t(x) )。
- 将R1CS转化为多项式形式,找到多项式 ( A(x), B(x), C(x) ),使得对某个点 ( z ),有:
2.2 可信设置(Trusted Setup)
- 生成公共参数:
- 选择随机数 ( s )(称为“毒性废物”),生成加密后的多项式参数:
[ { s^0 \cdot G, s^1 \cdot G, \dots, s^d \cdot G } ] - 通过多方计算(MPC)降低单点信任风险,例如Zcash的“仪式”中多人贡献随机数。
- 选择随机数 ( s )(称为“毒性废物”),生成加密后的多项式参数:
2.3 生成证明(Prove)
- 多项式承诺:
- 证明者选择随机数 ( \delta ),构造承诺 ( C = E(P(s)) = P(s) \cdot G + \delta \cdot H ),其中 ( H ) 是另一个椭圆曲线生成元。
- 零知识性:
- 加入随机偏移量 ( \delta \cdot t(s) ),使得验证者无法反推原始多项式。
- 构造证明:
- 生成多项式 ( h(x) = \frac{P(x)}{t(x)} ),计算加密后的 ( E(h(s)) )。
2.4 验证证明(Verify)
- 配对验证:
- 验证方程:( e(E(P(s)), G) \stackrel{?}{=} e(E(h(s)), E(t(s))) )。
- 利用双线性配对的性质,无需解密即可验证等式。
- 简洁性:
- 无论原问题多复杂,验证只需常数时间(例如3次配对运算)。
3. 深入技术:QAP与Groth16协议
3.1 QAP的构造
- 拉格朗日插值:
- 对每个电路约束在点 ( z_1, z_2, \dots, z_m ) 处插值多项式 ( A_i(x), B_i(x), C_i(x) )。
- 目标多项式 ( t(x) = \prod_{i=1}^m (x - z_i) )。
3.2 Groth16优化
- 证明长度最短的zk-SNARK:
- 证明仅包含3个椭圆曲线点:( (A, B, C) )。
- 验证方程:
[ e(A, B) = e(G^{\alpha}, H^{\beta}) \cdot e(C, H^{\delta}) ] - 通过巧妙设计多项式约束,减少配对次数。
3.3 非交互式转换(Fiat-Shamir启发式)
- 原理:将交互式协议中的随机挑战替换为哈希函数输出。
- 例如,将当前证明的哈希值作为随机数 ( s )。
- 安全性假设:假设哈希函数是随机预言机(Random Oracle)。
4. 安全性与挑战
4.1 安全假设
- Knowledge Soundness:除非证明者知道秘密输入,否则无法构造有效证明(依赖“知识指数假设”)。
- 椭圆曲线离散对数问题(ECDLP):无法从 ( s \cdot G ) 反推 ( s )。
- 配对友好曲线:需选择特殊椭圆曲线(如BN254、BLS12-381)以支持高效配对运算。
4.2 可信设置的隐患
- 毒性废物问题:若初始随机数 ( s ) 泄露,攻击者可伪造证明。
- 解决方案:
- 多方计算(MPC):多个参与者共同生成 ( s ),只要一人诚实删除随机数,系统即安全。
- 透明设置:如zk-STARKs无需可信设置,但证明尺寸更大。
4.3 量子威胁
- Shor算法:可破解ECDLP和离散对数问题。
- 后量子方案:
- 基于哈希的zk-SNARKs:如zk-STARKs使用抗量子哈希(Merkle树)。
- 格密码:研究中的Lattice-based SNARKs。
5. 实战案例:Zcash的隐私交易
5.1 交易构造
- 输入:证明者拥有私钥 ( sk ),对应公钥 ( pk = sk \cdot G )。
- 证明内容:
- “我知道 ( sk ) 使得 ( pk = sk \cdot G )”。
- “交易金额 ( v ) 满足 ( v_{\text{in}} = v_{\text{out}} )”(平衡验证)。
- 生成证明:使用Groth16协议生成证明 ( \pi )。
5.2 链上验证
- 智能合约:验证者合约存储验证密钥 ( vk )。
- 输入参数:公开的 ( pk )、交易金额哈希 ( h(v) )、证明 ( \pi )。
- 验证方程:检查 ( e(A, B) \stackrel{?}{=} e(G^{\alpha}, H^{\beta}) \cdot e(C, H^{\delta}) )。
5.3 性能数据
- 证明时间:约30秒(普通CPU)。
- 证明大小:约200字节。
- 验证时间:约5毫秒。
6. 扩展阅读:zk-SNARKs的变体
| 协议 | 特点 | 应用场景 |
|---|---|---|
| Groth16 | 最短证明,需可信设置 | Zcash、Filecoin |
| Plonk | 通用可信设置,支持递归证明 | Ethereum L2 |
| Marlin | 快速Prover,线性大小证明 | Aleo |
| Halo2 | 无需可信设置,递归组合 | Zcash未来升级 |
7. 总结
zk-SNARKs是一套融合了椭圆曲线密码学、多项式承诺和零知识交互的复杂协议,其核心是通过数学变换将任意计算问题压缩为一个可在毫秒内验证的密码学证明。尽管面临可信设置和量子威胁等挑战,它仍是当前平衡隐私、效率与通用性的最佳方案之一。理解zk-SNARKs需要跨越密码学、代数与系统编程的鸿沟,但其潜力在区块链、金融与国防等领域无可替代。
扫一扫
1419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
