零知識證明已成為解決加密貨幣和其他應用隱私和可擴充套件性問題的主要工具。在很多系統中,每個客戶端下載並驗證每一個新的證明,所以證明的驗證必須是小而便宜的。而來自倫敦大學學院的Mary Maller、Sarah Meiklejohn,愛丁堡大學的Markulf Kohlweiss,以及來自Zcash公司的Sean Bowe,共同提出了一種稱為Sonic的零知識證明協議,其對此前存在的zk-SNARK方案進行了改善,此外,論文中也提到了該方案與其他隱私方案(如防彈證明協議)的對比。
譯者簡單介紹了該論文的背景和大致內容:
最實用的零知識證明方案需要一個可信設定,如(預處理)zk-SNARKs,此外還有不需要可信設定的方案,但其驗證複雜性與關係的複雜性成線性關係(如防彈證明Bulletproofs)。大多數zk-SNARK方案所需的結構化查詢字串,可以用多方計算協議構造,但是結果引數是特定於單個關係的。Groth等人發現了一個具有通用和可更新結構化查詢字串的zk-SNARK協議,但字串按支援關係的大小進行二次方式的擴充套件。
而論文作者們所描述的一種零知識SNARK,它的名字稱為Sonic,其特點在於支援一個通用的、不斷更新的結構化查詢字串,其大小是線性的。Sonic證明的大小是恆定的,而在批次驗證環境中,驗證的邊際成本可與類似方案中最有效的SNARKs相提並論。此外,論文作者還描述了一種通用技術,在這種技術中,非置信的“助手”可計算建議,從而更有效地驗證成批的證明。
零知識證明自被提出以來的幾十年裡,它已被用於支援各種潛在的應用,範圍從可驗證的外包計算到匿名認證,還有很多其他的設定,需要在隱私和完整性之間取得平衡。近年來,加密貨幣成為了一種日益流行的現實世界應用,而像Zcash和以太坊皆部署了常規零知識協議。在加密貨幣設定中,客戶端通常下載並驗證釋出到網路的每筆交易。這意味著,對於零知識協議的實際部署而言,較小的證明大小以及快速驗證時間都是非常重要的。
有幾種實用的方案可供選擇,它們在效能和密碼假設上有很大的權衡空間。目前,最具吸引力的證明系統是一個(預處理)簡潔的非互動知識論證(簡稱zk-SNARK),其證明大小為常數且較小,此外它還有固定時間的驗證成本。文獻中描述的最有效的方案,是由Groth等人提出的zk-SNARK方案,其只包含三組元素。這些方案需要一個可信設定,一個配對友好的橢圓曲線,並依靠強有力的假設。
相反,像防彈證明(Bulletproofs)這樣的證明系統,並不需要可信設定,並依賴較弱的假設。不幸的是,儘管它的證明大小與關係大小成對數比例,但防彈證明驗證時間卻是線性的(即使是應用批處理技術)。因此,防彈證明非常適合較簡單的關係。
儘管zk-SNARKs已部署在能夠容忍更強大假設的應用中,包括Zcash中的隱私支付協議,但可信設定已成為部署這些證明系統的一大障礙。例如,如果設定在Zcash中受到破壞,攻擊者可能會建立偽造的而沒有被發現的Zcash幣。當然,我們可透過執行多方計算(MPC)協議的設定減少這種風險,但是,結果引數是特定於單個關係的,因此每個不同的應用都必須執行自己的設定。應用程式還必須執行每次結構改變時都會有新的設定,即使是小的最佳化或修正錯誤。
Groth等人最近又提出了一個帶有通用結構化查詢字串(SRS) 的zk-SNARK 方案,它允許單個設定,以支援某些有界大小的所有迴路(circuit)。此外,SRS是可更新的,這意味著一組開放的參與者可不定期地為其提供秘密隨機性。雖然這仍然是一個可信設定,但其增加了使用者對引數安全性的信心。但就效率而言,由於Groth等人的設定,它具有常量大小證明和常量時間驗證,它需要一個與所支援的算術迴路中的乘法門數成二次方關係的SRS。此外,更新SRS需要二次群指數,驗證更新則需要線性配對數。最後,雖然驗證者(verifier)和證明者(prover)只需要線性大小的迴路特定字串(而不是整個SRS),從SRS推匯出來需要昂貴的高斯消元運算過程。而在例如Zcash的實際設定當中,其具有2^17數量的乘法門(multiplication gate),SRS的數量約為兆位元組,因此非常昂貴。
而該論文作者提出的新的用於一般算術迴路滿足性的zk-SNARK協議Sonic,它依然需要一個可信設定,但不同於傳統SNARKs的地方,在於結構化查詢字串支援所有迴路(達到給定的大小界限),並且它也是可更新的,這樣它就可以持續強化,這解決了這類設定的很多挑戰和風險問題。
更多數字貨幣資訊:www.qukuaiwang.com.cn/news
