密碼專欄 | 超強進階：PLONK VS Groth16（下）_LON

前言

本篇是“PLONKVSGroth16”的下篇，在上篇中我們對PLONK作了簡要介紹，分析了PLONK和Groth16算法在「可信驗證」和「約束構建」上的異同。那么，接下來讓我們一起看看在后續的「證明生成」和「驗證階段」兩者將有怎樣的差異，以及整體上的性能區別。

證明生成

對于程序qeval,prover需要證明自己知道qeval(x)=35的解，即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我們已經介紹了PLONK的約束形式：門約束與線約束。繼續使用之前的例子，約束意味著零知識證明系統將這個問題約束成了一組格式固定的數學表達式，即問題描述等價于約束描述。而如果證明者真的知道這個問題的答案，將答案和計算中的中間參數代入約束表達式，這個組表達式必將是成立的。反之，如果該Prover提供的一組解無法使表達式成立，說明prover并不具備關于該問題解的知識。

北京豐臺：提高加密等數字貨幣關鍵密碼技術研發，探索數字金融沙盒實驗:金色財經報道，北京市豐臺區人民政府印發《“十四五”時期豐臺區高精尖產業發展規劃》，在金融科技（數字金融）方面，支持中國人民銀行數字貨幣研究所加強技術研發投入，穩妥推進數字人民幣試點應用場景建設，提高對稱、非對稱密碼算法、認證和加密等數字貨幣關鍵密碼技術研發能力，支持數字貨幣及相關底層平臺軟硬件系統的架構設計和開發。加強區塊鏈等技術發展，研究網絡模型、分布式存儲、零知識證明、鏈上鏈下協同、監管科技等技術，以應用場景開放推動區塊鏈技術在更大規模的商業場景中落地。探索數字金融沙盒實驗等業務監管新模式。[2022/2/19 10:02:38]

這是最樸素的證明驗證思路，可以將它看作是“鎖”和“鑰匙的配對“：該問題約束的構建類似于“打造門鎖“，而針對該問題提供的一組解信息就是”一把開啟門鎖的鑰匙“。顯然，Prover可以舉著自己的解交給驗證者來驗證。可是這違背了我們的零知識原則：Verifier不應該獲取到Prover的隱私信息。

密碼學家發現MetaMask存在可致用戶IP地址泄露的漏洞:金色財經報道，OMNIA協議的聯合創始人、安全分析師和密碼學家Alexandru Lupascu稱MetaMask錢包存在漏洞風險，惡意攻擊者可以簡單地創建一個NFT，并通過轉移該NFT的免費所有權來獲取用戶的IP地址，黑客只需花費50美元就能攻擊他人的隱私。

Lupascu表示，他在2021年12月14日發現了這個安全漏洞，并向MetaMask團隊提出了解決方案，但他們忽視了這個問題，并表示將在2022年第二季度之前解決。

在這項研究向公眾展示之后，MetaMask的創始人Daniel Finlay承認了這一事件：“我認為這個問題已經被大眾廣泛知曉很久了，所以我認為披露期并不適用。”Finlay補充說：“Lupascu說我們沒有盡早解決這個問題，他說得沒錯。我們現在就開始著手解決這一問題。謝謝你的提醒。”（BeInCrypto）[2022/1/23 9:07:16]

那么有什么方法能在解鎖的同時保護隱私信息呢？

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日，Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄，同時，Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具，標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會（Eurocrypt）是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一，在CCF推薦列表和 CACR列表中均為A類會議，密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議，首次在線上舉行。[2020/5/18]

這里我們用到一個簡單的數學小技巧：減除，對此不太了解的讀者可查閱文章最后的前置知識。在前文《超強進階：PLONKVSGroth16》我們已經對從約束系統轉化到多項式進行了詳細的描述，在此我們不再贅述具體的轉化過程，但需要重復的一點是：根據生成時使用的點值對，生成的多項式在這些點處的取值將恒為0。PLONK同理，此處我們給出兩種算法的約束系統轉化為多項式后的形式。

政策 | 密碼法表決通過：將自2020年1月1日起施行:十三屆全國人大常委會第十四次會議26日下午表決通過密碼法，將自2020年1月1日起施行。密碼法，旨在規范密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規范化、法治化水平，是我國密碼領域的綜合性、基礎性法律。據了解，密碼法草案一審稿將密碼分為核心密碼、普通密碼和商用密碼，并對密碼進行分類管理。核心密碼、普通密碼屬于國家秘密，核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級。商用密碼用于保護不屬于國家秘密的信息。此外，隨著密碼法出臺漸趨漸近，整個密碼行業也將迎來規范化。據悉，密碼的主要功能有兩個：一個是加密保護，另一個是安全認證。國家密碼管理局局長李兆宗表示，“密碼在我國各個歷史時期，都發揮了不可替代的重要作用。密碼工作面臨著許多新的機遇和挑戰，擔負著更加繁重的保障和管理任務，制定一部密碼領域綜合性、基礎性法律，十分必要。” （新華視點）[2019/10/26]

Groth16:

聲音 | 現代密碼學之父：密碼學將有三大機會 分別是同態加密、區塊鏈和公共密鑰技術:據中國新聞網消息，現代密碼學之父、圖靈獎得主惠特菲爾德·迪菲表示，密碼學將有三大機會。一是同態加密，也就是可以在云端進行加密，而這個云卻不知道數據已加密；二是區塊鏈，主要推動力就是比特幣，比特幣取得了巨大的成功，但它需要巨大的工作量；三是新的公共密鑰技術。[2019/8/26]

PLONK:?我們設門約束多項式為D(X)，線約束多項式為L(X)，那么PLONK的整個約束多項式將被表示為：

可以看到，兩者都使用了減除的思路，也就是這里的h(X)和ZH(X)，其具體內容取決于構建約束多項式時取的點值。

證明與驗證

同樣在之前的文章中，我們可以看到Groth16的證明規模極小，只包含三個群元素A,B,C。然而，這樣優雅的證明實現依賴于它的非通用可信設置，這也是Groth16的一大痛點。在Groth16中，證明方提供A，B，C，驗證方基于可信設置提供的參數，構建一個配對驗證等式。在驗證過程中包含了三次配對操作，也就是對驗證性能影響較大的耗時運算。Groth16的具體證明驗證如下所示。

Groth16證明：

Groth16驗證：

相比之下，PLONK的證明驗證將會復雜得多，這也是使用通用可信設置付出的代價。從驗證方角度看，由于可信設置參數缺少了包含問題具體內容，從而無法幫助其構建一些制約證明多項式的值。因此，如何固定住證明多項式的內容成為一個難題。PLONK使用的一個思路是引入Kate承諾。

結合前述的約束多項式，我們可以對t(x)中出現的每一項都構建一個承諾，以實現驗證方的驗證。PLONK證明的具體內容如下，包含了兩個點處的驗證：Wz(X)為多個多項式的同點承諾，Wzw(X)則為另一個點處的對z(X)的承諾。

最后，PLONK的驗證在原文中也被歸納為一個簡潔的公式，實際上就是將上面提到的兩個點處的承諾簡單相加，具體等式如下所示：

以上就是PLONK和Groth16算法內容的具體對比結果，講了這么多冗長的公式變換，兩者在性能層面的差距究竟如何呢？

性能比較

在這里我們給出的是PLONK論文中的結論。Table1是在證明階段的一個性能比較，Table2則是驗證階段的性能。可以看出，在驗證上，兩者的差距不大，Groth16比PLONK多了一次配對運算；而在證明方面我們遺憾地發現，Groth16不論在證明的工作量還是證明長度上仍然保持著最優的性能。但需要指出的是PLONK，尤其當它工作在fast模式時，所使用的SRS長度是所有算法中最短的。

▲驗證階段性能比較

▲證明階段性能比較

前置知識

多項式減除

顧名思義，化減為除：若我們需要證明一個多項式f(x)在點a的取值為b，也就是證明f(a)-b=0；那么我們可以將其轉換為證明多項式f(x)-b可以整除(x-a)。其數學表示：

設多項式f(x)且f(a)=b，則存在一個多項式g(x)，使得：f(x)-b=g(x)(x-a)

kate承諾Kate承諾是由Kate，Zaverucha和Goldberg在2010年提出的一種多項式承諾方案。Kate承諾有多種形式，本文僅介紹PLONK中使用的常用形式，詳細可參考其paper中的相應內容。其常用形式可以概括為對多項式的隱藏和部分打開驗證。針對多項式f(x)，Kate承諾的具體步驟如下：

1）構造f(x)在點a處的承諾C

C：f(a)

2）選取點z，執行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3）給定f(z),C和Wz，驗證Kate承諾

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部內容，如有任何疑問，歡迎添加小助手桔子加入技術交流群，在這里，你想知道的都會得到解答～

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

Tags：LONPLOGROROTelon幣騙局Xplosive EthereumgROOT價格Amaurot

歐易交易所app官網下載