[区块链] zkSnarks：QAP上构造零知识证明

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 区块链 -> zkSnarks：QAP上构造零知识证明 -> 正文阅读

[区块链]zkSnarks：QAP上构造零知识证明

协议一：抽样验证：prover向验证证明它知道一个d阶多项式

verifier：选取随机数s，发送给prover
prover：计算h(x) = P(x)/t(x) ，公开p(s) 、h(s)。
verifier：验证等式p(s) = t(s) h(s)是否成立

该证明了prover知道一个整除t(x)的多项式，但存在以下问题：

prover 知道s，可以计算出t(s), 随机选取h(s) ,并构造p(s) = t(s) h(s)
prover 知道点(s, t? h?), 可以构造经过该点的任意多项式
prover 即使不知道多项式p(x) ,也可以构造多项式p’(x) = t(x) h’(x) 成立

协议二：同态隐藏

verifier
- 选取随机数s，计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ (d为多项式的阶)
- 将 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 发送给prover
prover
- 计算h(x) = P(x)/t(x)
- 使用 $E(s^i)$ 和多项式系数c₀,…,c_d计算 $\prod_{i=0}^{d}{{(g^{s_i})}^{c_i}}$
- 同理计算 $E (h (s))$
- 生成证明{ $E (p (s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E(p(s)) = {(E(h(s)))}^{t(s)}$

该协议解决了随机数s暴露的问题，同时限制了多项式的阶数为d，但无法验证 prover 是否是真的使用了 verifier 提供的值来构造证明

协议三： KCA

verifier
- 选取随机数s， $\alpha$ ，
- 计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 以及 ${E({\alpha}s^i) = g ^{{\alpha}s_i}}_{i=0,...,d}$
- 将 ${E(s^i)，E({\alpha}s^i)}$ 发送给prover
prover
- 计算h(x) = P(x)/t(x)
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $\prod_{i=0}^{d}{{(g^{s_i})}^{c_i}}$ 和 $E({\alpha}p(s)) = \prod_{i=0}^{d}{{(g^{{\alpha}s_i})}^{c_i}}$
- 同理计算 $E (h (s))$
- 生成证明{ $E (p (s))$ ， $E({\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E({\alpha}p(s)) = {(E(p(s)))}^{\alpha}$
- 验证等式 $E(p(s)) = {(E(h(s)))}^{t(s)}$

该协议限制了 prover 必须使用verifier提供的值进行构造，但这个协议没有保护prover的知识

协议四：零知识

verifier
- 选取随机数s， $\alpha$ ，
- 计算 ${E(s^i) = g ^{s_i}}_{i=0,...,d}$ 以及 ${E({\alpha}s^i) = g ^{{\alpha}s_i}}_{i=0,...,d}$
- 将 ${E(s^i)，E({\alpha}s^i)}$ 发送给prover
prover
- 计算h(x) = P(x)/t(x), 选择随机数 $\delta$
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $E({\delta}p(s)) = \prod_{i=0}^{d}{{(g^{s_i})}^{{\delta}c_i}}$ 和 $E({\delta}{\alpha}p(s)) = \prod_{i=0}^{d}{{(g^{{\alpha}s_i})}^{{\delta}c_i}}$
- 同理计算 $E({\delta}h(s))$
- 生成证明{ $E({\delta}p(s))$ ， $E({\delta}{\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 验证等式 $E({\delta}{\alpha}p(s)) = {(E({\delta}p(s)))}^{\alpha}$
- 验证等式 $E({\delta}p(s)) = {(E({\delta}h(s)))}^{t(s)}$

该协议通过引入 $\delta$ 变换实现了prover的零知识，但该证明是一个交互式证明，即该证明只对此verifier有效，要想所有的 verifier 都相信该证明，需要构造一个可以被重复使用，公开，可信，又不会被滥用的秘密参数

协议五：非交互式(多项式的零知识证明)

setup
- 选取随机数s， $\alpha$ ，
- 计算 $^{\alpha}$ 、 ${g^{s^i}\}_{i=1...d}$ 、 $\{g^{{\alpha}s^i}\}_{i=1...d}$
- 生成proving key { ${g^{s^i}\}_{i=1...d}$ ， $\{g^{{\alpha}s^i}\}_{i=1...d}$ }
- 生成verification key { $^{\alpha}$ ， $g ^{t(s)}$ }
prover
- 计算h(x) = P(x)/t(x)，选择随机数 $\delta$
- 使用 ${E(s^i)，E({\alpha}s^i)}$ 和多项式系数c₀,…,c_d计算 $E({\delta}p(s)) = \prod_{i=0}^{d}{{(g^{s_i})}^{{\delta}c_i}}$ 和 $E({\delta}{\alpha}p(s)) = \prod_{i=0}^{d}{{(g^{{\alpha}s_i})}^{{\delta}c_i}}$
- 同理计算 $E({\delta}h(s))$
- 生成证明{ $E({\delta}p(s))$ ， $E({\delta}{\alpha}p(s))$ ， $E (h (s))$ }
verifier
- 证明简写为{ $g^p,g^{p'}, g^h$ }
- 验证等式 $e(g^{p'}, g) = e(g^p, g^{\alpha})$
- 验证等式 $e(g^{p}, g) = e(g^{t(s)}, g^h)$

该协议实现了一个交互式零知识证明，且该证明只对此verifier有效，要想所有的 verifier 都相信该证明，需要构造一个可以被重复使用，公开，可信，又不会被滥用的秘密参数

协议六：扩展到一般运算(即QAP上的零知识证明)

$\sum_{i=0}^{n}\{(v_i*l_i(x))(v_i*r_i(x))-(v_i*o_i(x))\}=t(x)h(x)$

setup
- 选取随机数s， $\alpha$ ，
- 计算 $^{\alpha}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}l_i(s)},g^{{\alpha}r_i(s)},g^{{\alpha}o_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}l_i(s)},g^{{\alpha}r_i(s)},g^{{\alpha}o_i(s)}}\}$
- 生成verification key { $^{\alpha}$ ， $g ^{t(s)}$ }
prover
- 计算h(x) = {L(x)*R(x) -O(x)}/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{{(g^{l_i(s)})}^{v_i}}$ , $g^{{\alpha}L(s)} = \prod_{i=0}^{n}{{(g^{{\alpha}l_i(s)})}^{v_i}}$ 其中v_i为线性组合的解
- 同理计算 $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}R(s)}$ , $g^{{\alpha}O(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}L(s)}$ , $g^{{\alpha}R(s)}$ , $g^{{\alpha}O(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{{\alpha}L}$ , $g^{{\alpha}R}$ , $g^{{\alpha}O}$ }
- 验证等式 $e(g^L,g^{\alpha})=e(g^{{\alpha}L},g)$ , $e(g^R,g^{\alpha})=e(g^{{\alpha}R},g)$ , $e(g^O,g^{\alpha})=e(g^{{\alpha}O},g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议实现了一个简单的QAP证明，存在以下两个问题：

操作数和输出的不可交换性
- L(x)采用R(x)/O(x)的多项式： L′(s) = o?(s) + r?(s) + r?(s) + …
- 输入/输出换位：O(s) * R(s) = L(s)
- 重用：L(s) * L(s) = O(s)
变量一致性: 保证L(x)、R(x)、O(x) 使用的变量（v_i）是相同的

协议七：不可交换性

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ ， ${\alpha}_o$
- 计算 $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)}}\}$
- 生成verification key { $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ ， $g ^{t(s)}$ }
prover
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{{(g^{l_i(s)})}^{v_i}}$ , $g^{{\alpha}_lL(s)} = \prod_{i=0}^{n}{{(g^{{\alpha}_ll_i(s)})}^{v_i}}$ 其中v_i为线性组合的解
- 同理计算 $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_lL(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{{\alpha}_lL}$ , $g^{{\alpha}_rR}$ , $g^{{\alpha}_oO}$ }
- 验证等式 $e(g^L,g^{{\alpha}_l})=e(g^{{\alpha}_lL},g)$ , $e(g^R,g^{{\alpha}_r})=e(g^{{\alpha}_rR},g)$ , $e(g^O,g^{{\alpha}_o})=e(g^{{\alpha}_oO},g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议对l_i(s),r_i(s),o_i(s)使用不同的 ${\alpha}$ 保证了操作数和输出的不可交换性

协议八：变量一致性

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ ， ${\alpha}_o$ ， ${\beta}_l$ ， ${\beta}_r$ ， ${\beta}_o$
- 计算 $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ 、 $^{{\beta}_l}$ 、 $^{{\beta}_r}$ 、 $^{{\beta}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)}}\}_{i=1...n}$
- 计算 $g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)},g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}}\}$
- 生成verification key { $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ ， $g ^{t(s)}$ , $^{{\beta}_l}$ , $^{{\beta}_r}$ , $^{{\beta}_o}$ }
prover
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{{(g^{l_i(s)})}^{v_i}}$ , $g^{{\alpha}_lL(s)} = \prod_{i=0}^{n}{{(g^{{\alpha}_ll_i(s)})}^{v_i}}$ 其中v_i为线性组合的解
- 同理计算 $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)})^{v_i}}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_lL(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$ , $g^{Z_(s)} $ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{{\alpha}_lL}$ , $g^{{\alpha}_rR}$ , $g^{{\alpha}_oO}$ ,$g^{Z} $ }
- 验证等式 $e(g^L,g^{{\alpha}_l})=e(g^{{\alpha}_lL},g)$ , $e(g^R,g^{{\alpha}_r})=e(g^{{\alpha}_rR},g)$ , $e(g^O,g^{{\alpha}_o})=e(g^{{\alpha}_oO},g)$
- 验证等式 $e(g^L,g^{{\beta}_l}) ·e(g^R,g^{{\beta}_r}) ·e(g^O,g^{{\beta}_o})=e(g^Z,g)$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

该协议对l_i(s),r_i(s),o_i(s)使用不同的 ${\beta}$ 保证了变量的一致性；

通过协议七和协议八分别解决了不可交换性和变量的一致性，但仍然以下问题：

多项式的延展性：对于证明中的 $g^{L}$ ，可以计算 $g^{L}·g^{5} = g^{L+5}$ ，由于知道 $^{{\alpha}_l}$ ,可以计算 $g^{{\alpha}_lL}·g^{{\alpha}_l5} = g^{{\alpha}_l(L+5)}$ ,从而 $e(g^{L+5},g^{{\alpha}_l})=e(g^{{\alpha}_l(L+5)},g)$ 验证通过
变量的延展性：同理 $e(g^{L+5},g^{{\beta}_l}) ·e(g^R,g^{{\beta}_r}) ·e(g^O,g^{{\beta}_o})=e(g^Z ·g^{{\beta}_l5},g)$ 可验证通过

协议九：非延展性

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ ， ${\alpha}_o$ ， ${\beta}_l$ ， ${\beta}_r$ ， ${\beta}_o$ ， ${\gamma}$
- 计算 $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ 、 $^{{\beta}_l}$ 、 $^{{\beta}_r}$ 、 $^{{\beta}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)}}\}_{i=1...n}$
- 计算 $g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)},g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)}}\}$
- 生成verification key { $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ ， $g ^{t(s)}$ , $^{{\beta}_l{\gamma}}$ , $^{{\beta}_r{\gamma}}$ , $^{{\beta}_o{\gamma}}$ ， $^{{\gamma}}$ }
prover
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{{(g^{l_i(s)})}^{v_i}}$ , $g^{{\alpha}_lL(s)} = \prod_{i=0}^{n}{{(g^{{\alpha}_ll_i(s)})}^{v_i}}$ 其中v_i为线性组合的解
- 同理计算 $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g^{{\beta}_ll_i(s)+{\beta}_rr_i(s)+{\beta}_oo_i(s)})^{v_i}}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_lL(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$ , $g^{Z_(s)} $ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{{\alpha}_lL}$ , $g^{{\alpha}_rR}$ , $g^{{\alpha}_oO}$ ,$g^{Z} $ }
- 验证等式 $e(g^L,g^{{\alpha}_l})=e(g^{{\alpha}_lL},g)$ , $e(g^R,g^{{\alpha}_r})=e(g^{{\alpha}_rR},g)$ , $e(g^O,g^{{\alpha}_o})=e(g^{{\alpha}_oO},g)$
- 验证等式 $e(g^L,g^{{\beta}_l{\gamma}}) ·e(g^R,g^{{\beta}_r{\gamma}}) ·e(g^O,g^{{\beta}_o{\gamma}})=e(g^Z,g^{\gamma})$
- 验证等式 $e(g^L,g^R)=e(g^t,g^h)e(g^O,g)$

协议十：变量一致性的优化（双线性对运算和verification key的优化）

setup
- 选取随机数s， ${\alpha}_l$ ， ${\alpha}_r$ ， ${\alpha}_o$ ， ${\beta}$ ， ${\gamma}$ ， $p_l,p_r, p_o =p_l·p_r$
- 设置生成元 $g_l= g^{p_l}$ , $g_r= g^{p_r}$ , $g_0= g^{p_o}$
- 计算 $g_l^{{\beta}l_i(s)}$ , $g_r^{{\beta}r_i(s)}$ , $g_o^{{\beta}o_i(s)}$
- 计算 $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ 、 ${g^{s^k}\}_{k=1...d}$
- 计算 $\{{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)}}\}_{i=1...n}$
- 生成proving key $\{g^{s^k},{g^{l_i(s)},g^{r_i(s)},g^{o_i(s)},g^{{\alpha}_ll_i(s)},g^{{\alpha}_rr_i(s)},g^{{\alpha}_oo_i(s)},g_l^{{\beta}l_i(s)}, g_r^{{\beta}r_i(s)},g_o^{{\beta}o_i(s)}}\}$
- 生成verification key { $^{{\alpha}_l}$ 、 $^{{\alpha}_r}$ 、 $^{{\alpha}_o}$ ， $g_o ^{t(s)}$ , $^{{\beta}{\gamma}}$ ， $^{{\gamma}}$ }
prover
- 计算h(x) = (L(x) · R(x) -O(x))/t(x)
- 计算 $g^{L(s)} = \prod_{i=0}^{n}{{(g^{l_i(s)})}^{v_i}}$ , $g^{{\alpha}_lL(s)} = \prod_{i=0}^{n}{{(g^{{\alpha}_ll_i(s)})}^{v_i}}$ 其中v_i为线性组合的解
- 同理计算 $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$
- 利用 $g^{s^k}$ , 计算 $g^{h(s)}$
- 计算 $g^{Z_(s)} = \prod_{i=0}^{n}{(g_l^{{\beta}l_i(s)}·g_r^{{\beta}r_i(s)}·g_o^{{\beta}o_i(s)})^{v_i}}$
- 生成证明 { $g^{h(s)}$ , $g^{L(s)}$ , $g^{R(s)}$ , $g^{O(s)}$ , $g^{{\alpha}_lL(s)}$ , $g^{{\alpha}_rR(s)}$ , $g^{{\alpha}_oO(s)}$ , $g^{Z_(s)} $ }
verifier
- 证明简写为 { $g^{h}$ , $g^{L}$ , $g^{R}$ , $g^{O}$ , $g^{{\alpha}_lL}$ , $g^{{\alpha}_rR}$ , $g^{{\alpha}_oO}$ ,$g^{Z} $ }
- 多项式的不可变换检查： $e(g^L,g^{{\alpha}_l})=e(g^{{\alpha}_lL},g)$ , $e(g^R,g^{{\alpha}_r})=e(g^{{\alpha}_rR},g)$ , $e(g^O,g^{{\alpha}_o})=e(g^{{\alpha}_oO},g)$
- 变量一致性检查 $e(g_l^L·g_r^R·g_o^O,g^{{\beta}{\gamma}}) =e(g^Z,g^{\gamma})$
- 计算有效性检查 $e(g_l^L,g_r^R) =e(g_o^t,g^h)·e(g_o^O,g)$