密码学
揭开递归零知识证明的神秘面纱
揭示递归零知识证明的核心技术,实现可扩展的证明压缩和验证优化。
目录
介绍
Demystifying recursive zero-knowledge proofs
> 递归零知识证明是适用于 Anoma 区块链的新型密码学原语。在本文中,我们研究了高效验证区块链电路的可能替代方案。我们的主要兴趣在于评估基于配对构造的效率。
递归零知识证明是适用于 Anoma 区块链的新型密码学原语。在本文中,我们研究了高效验证区块链电路的可能替代方案。我们的主要兴趣在于评估基于配对构造的效率。
引言
动机
区块链共识协议允许不同参与方验证不同区块的有效性。最近,引入了不同的构造来实现不同的属性(例如隐私和匿名性)。
Anoma 区块链通过多资产遮蔽池计算遮蔽交易。每个区块包含与状态转换相关的不同信息,这些信息可以被区块链的所有用户验证。验证当前区块状态的一个基本思路是从创世区块开始重新计算所有状态转换。这种方法的重大缺点是区块链越长,计算成本就越高。
本文介绍了如何使用知识证明来验证状态转换。通过一个不涉及任何密码学的简单示例引入这一概念,本文还描述了从密码学角度获得具体安全证明的不同替代方案。随后,我们介绍了使用递归知识证明对整个区块链进行高效验证的方法。总而言之,从实际角度对可用的不同构造进行了比较。
一个简单示例
知识证明在近几年变得非常著名。本节从一个使用一副扑克牌的非常简单的示例开始。
这个简单的例子表明:
- •爱丽丝不会透露她秘密牌的信息(既不是数字,也不是花色,即❤️或♦️)。我们称这个证明是零知识的。
- •使用这个不可否-认的证明,鲍勃总是被爱丽丝说服。有了这一点,我们称这个证明具有完备性属性。
- •一个抽到红牌的作弊者将无法证明他抽到了黑牌。这被称为证明的可靠性。
在以下部分,我们考虑满足零知识、完整性和可靠性的知识证明。作为一种公钥密码学构造,证明方案基于一个困难的数学问题。我们在此研究的证明的安全性依赖于离散对数问题(DLP)的两种不同情况:有限域和椭圆曲线。在下一节,我们介绍构建知识证明所需的工具。
在本文中,我们假设读者熟悉椭圆曲线和基于配对密码学,以及有限域代数。
证明对算术电路的了解
知识证明提供了对电路解决方案了解的证据。本文考虑的证明具有相似的结构:
- •1. 考虑一个算术电路,
- •2. 将电路用多项式表示(参见下一节,“Plonk 算术化”)
- •3. 使用承诺方案对多项式进行承诺。
---