零知识证明的可信设置是否值得担心?_区块链前沿

零知识证明的可信设置是否值得担心?

树立典礼也许为协调社区和正在完结这些的名目供应时机。它们代表了一个值得拥抱的时机,而不是一个须要克制的需要邪恶。

原文题目:《道之力:我是何如不再担忧并爱上可信树立的》
撰文:Sam Parker and Alex Pruden
翻译:Kurt Pan

自从在 Zerocoin 和 Zerocash 中初次完结此后,零学识解释(ZKP)在加密钱币周围中就有着独特要害的史乘。初期的完结是以广义的秘密为宗旨,ZKP 此刻才刚发端被用于很多除只是做混杂之外更重大的机能。比方,zkRollups 在以太坊上完结了更大的买卖迷糊量,而且诸如 Halo 之类的递归解释结构正用于创造收缩的区块链;诸如「需要处事量解释」 之类的提案运用 zkSNARK 的机能在搜集的共鸣层供应平安性;借助诸如 Zexe 之类的组织,ZKP 使施行链外计划以至是崭新的编程模子形成了能够。

「零学识解释」通俗被动作一个全体援用,但请必须记取,有很多分别表率的 ZKP。老成来讲,ZKP 计划是一种供应「零学识」本质的计划,在该计划中,解释的考证者不得回任何干于要解释的陈说是何如被解释的学识。ZKP 也许是交互式的,个中考证者也许直接与解释者施行交互;也能够利害交互式的,解释者也许自力天生解释。有几类满意该前提的非交互式 ZKP,囊括:

  • 非交互式零学识论证(NIZK)
  • 冗长非交互零学识论证(SNARG)
  • 冗长非交互零学识学识论证(SNARK 或 zkSNARK)

因为 zkSNARK 的冗长性和效益,它与加密钱币最关系。第一个用于损耗境况的 SNARK 是基于首先在 Zcash 中运用的 Pinocchio。厥后,Zcash 和其余几个名目采取了 Jens Groth 在其 2016 年论文「Groth16」 中描写的 zkSNARK。

只管 zkSNARK 颇受欢送,但它有两个首要缺陷。

开始,非通用的 zkSNARK (比方 Groth16)特定于给定的 NP 联络。换句话说,解释是特定于固定举措的,进而局部了该计划的矫捷性。

其次,天生和考证任何 zkSNARK 解释都须要事前天生一个大家参考字符串(CRS)。也许以为此进程是创造惟有体例「显示」的诡秘,任何明白何如天生 CRS 的人都也许中伤解释,是以损坏了切实性。

对于通用 SNARK (比方 Marlin,PLONK 等)的学术钻研已在很大程度上束缚了第一个题目,不过即便这些计划依然须要 CRS。具体是具备不须要 CRS 的零学识解释结构,如 STARKs (可增添通明学识论证)和 Bulletproofs。不过,只管它们都有很好的运用,但从解释巨细和考证速率的角度看,zkSNARK (特别利害通用的 SNARK,比方 Groth16)是没法被超出的。zkSNARK 的考证是常数光阴的,这对加密钱币独特有效。这表示着,不管要解释的语句巨细何如,考证者查看解释所必需告竣的处事量都维持稳定。

是以,zkSNARK 依然是很多面向秘密的区块链运用的首选东西。不过,这些体例的平安性很大程度上归纳为 CRS 天生的平安性。是以,在所谓的「树立典礼(setup ceremonies)」中平安地天生 CRS 的步骤将接续具备要害意旨。自然,以受笃信的齐集式式样天生这些参数是能够的,但与去重心化的宗旨不兼容。到方今为止,zkSNARK 树立典礼中运用的首选岁月是多方计划(MPC)。

MPC 计划试图保证不任何一方恐怕天生或恐怕获得对于 CRS 的底层数学组织的学识。其经历恳求天生进程在尽量多的自力参预者之间同享来完结这一点,惟有小量人(以至是一一面)须要忠实行事,以保证树立平安。2015 年,Eli Ben-Sasson,Alessandro Chiesa,Matthew Green,Eran Tromer 和 Madars Virza 提议了一种鼎新的 MPC 组织,即便除一个参预者除外的一齐参预者都已沉沦,它也都也许天生平安参数。Zcash 运用此计划为 ZCash 的第一个版本「 Sprout」天生 CRS。只管有新奇性,但加入典礼却很烦琐,而且仅限于也许笃信地精确实行典礼的老手。别的,因为参预程度有限,人们遍及以为所需的笃信度依然太高,而且与 zkSNARK 旨在保证平安的去重心化体例的十足相冲突。

从其时起,树立典礼的宗旨从来是最大化也许加入该计划的忠实且自力的参预者的数目。由于倘使有几何自力的参预者,那末从直观上讲,一齐人都不忠实的能够性将下降到也许忽视的程度。是以,岁月革新的宗旨是浮夸这些典礼的手腕,以援助尽量多的参预者。

上述较早计划的一个题目是必需预预言家道参预者的数目。Sean Bowe,Ariel Gabizon 和 Ian Miers 在 2017 年的 MMORPG 论文中描写了 Groth16 树立的 MPC 典礼的一个变体,囊括两个阶段。此刻咱们将第一个阶段称为「Powers of Tau」,它是一齐给定巨细以下的电路的通用树立。第二阶段将 Powers of Tau 阶段的输入更动为特定于联络的 CRS。在该计划中,和好器用于治理参预者之间的动态。这增添了解决过程,从表面上使其恐怕援助数百以至数千名参预者。只管保管和好器,但 MPC 的输入仍也许被自力考证,进而维持了平安性。自从论文首先公布此后,Powers of Tau 典礼已成为行业程序。诸如 Filecoin,Ethereum (Semaphore)和 Zcash (「Sapling」)都运用它来为其体例天生 CRS。图 1 (下图)直觉地描述了 Powers of Tau 典礼。

1622340351-64d39d18f3ce6a9

只管它相对大方,不过 MMORPG 的缺陷是树立依然是一个串行进程。更全部地说,MPC 典礼的单个参预者一次只可加入一个。由于 CRS 与电路的巨细成线性联络,以是单个的奉献(contribution)能够会耗费很万古间,是以,树立典礼不太能够吸引参预者。近来,以太坊基金会的 Justin Drake 提议了一种称为「达观流水线」(optimistic pipelining)的计划。环节的洞察是,奉献也许被同时运用于 CRS 的分别局部,进而使参预者恐怕并动作 MMORPG 典礼奉献。是以,参预者也许同时为给定的一轮做出奉献,而没必要等候轮到本人。咱们将运用此步骤的树立描写为「达观树立」(optimistic setups)。Celo 近来的树立典礼 Plumo 运用了该计划,Aleo 行将运用的树立典礼也运用了该计划。

除纯真的去重心化和平安担心外,团队愈来愈多地将这些典礼自身视为本人的产物。比方,Tornado.cash 运转了一个树立典礼,运用户恐怕直接从 Web 抚玩器中施行奉献,进而到达了创记录的 1114 名参预者。Tornado 树立的胜利表达,与之前的典礼被以为是需要的邪恶比拟,当代树立典礼将用户领会放在首位和居中位置,不只勉励了更多的奉献,并且自身也许视作产物。

这些典礼的职掌变得更加简化。原始的 MMORPG 计划运用焦点“和好器”来治理参预者之间的动态,并对通讯剧本施行安装蚁合。从史乘上看,此脚色是手动实行的。但近来,各团队纷纭对自动化这个进程施行进来(见 Celo 的 Plumo 典礼和 ESPERO)。这不只从人力资源的角度来看使得强度下降,并且因为缩小了堕落的能够性,也使典礼更加平安。相关达观树立处事形式的解说,请参拜图 2 (下图)。

1622340350-6861b296a8449cd

只管很多人辩论说天生 CRS 的恳求是 zkSNARK 的环节毛病,方今却还不行忽略其比其余 ZKP 计划更好的效益上风。这即是为何它们依然是行业程序,也是为何云云浩大的团队和钻研职员将这些典礼滋长和鼎新到今日的起源。因为普及了合同效益,改良了用户领会,并完结了工作(比方和好器)的自动化,此刻比往常任什么时候候都更轻便加入树立典礼,近来的典礼中的参预者人数也反应了这一点。首先的 Zcash 典礼惟有六名参预者,而当代的典礼却能供应多几何倍的援助。并且,因为保证 CRS 的平安唯有求一个忠实的参预者,是以更多的参预者通俗即是更高的平安性,由于每个参加的自力参预者都使得全面的同谋变得更不行设想。

实在,即便经历典礼天生了 CRS,平安性的说明也不行数学化。不过,很多暗码体例都基于有些归纳的假使。比方,咱们有决心以为 SHA-256 是抗碰撞哈希函数,由于还不人找到碰撞,而不是由于任何数学解释(究竟上数学也许让咱们解释相悖的论断:碰撞确定保管)。不过 SHA256 之以是被普遍运用,是由于产生碰撞的概率是云云之低,及至于没需要商讨。

一样,很难(读作:不行能)试图肯定加入树立典礼的每一个参预者忠实运转的平衡几率,进而以数学式样解释天生的体例是平安的。不过,跟着参预者数目的推广,即便与普遍运用的暗码计划和与对于参预者的极其沮丧的假使比拟,这些概率也趋于逐步减小。本质上,参预者的数目宛如于平安参数,其在暗码学表面顶用作可调理参数,为分别的值供应分别的“平安级别”。

使树立典礼更加高效的革新反应出 ZKP 钻研的惊人步调。计划变得愈来愈灵验,使运用变得适用,并勉励进一步的革新和滋长。这致使了宛如摩尔定律的 ZKP 鼎新弧线。此刻以至有所谓的“通明” zkSNARK (比方 Fractal 和 SuperSonic),解除了对可信树立的恳求。只管有这些革新,不过诸如 Groth16 之类的现有 zkSNARK 的高效益表示着它们能够会在改日几年接续运用。树立典礼也许为协调社区和正在完结这些的名目供应时机。是以它们代表了一个值得拥抱的时机,而不是一个须要克制的需要邪恶。

参考

ZeroCash https://ieeexplore.ieee.org/document/6956581

Groth16 https://eprint.iacr.org/2016/260.pdf

Zcash 树立典礼 https://electriccoin.co/blog/the-design-of-the-ceremony/

Zcash 树立(Radiolab)
https://www.wnycstudios.org/podcasts/radiolab/articles/ceremony

针对 CRS 的原始 MPC 提案
http://www.ieee-security.org/TC/SP2015/papers-archived/6949a287.pdf

MPC 的第二项提案 https://eprint.iacr.org/2017/602.pdf

MMORPG https://eprint.iacr.org/2017/1050.pdf

达观流水线 https://ethresear.ch/t/accelerating-powers-of-tau-ceremonies-with-optimistic-pipelining/6870

起源链接:medium.com

免责说明:动作区块链讯息平台,本站所宣告作品仅代表作家一面见解,与链闻 ChainNews 态度无关。作品内的讯息、见识等均仅供参考,并不是动作或被视为本质投资倡导。

零学识解释 可信树立

区块链前沿是一个专业的比特币价格查询&区块链数字货币资讯平台,我们为用户提供关于区块链企业、数字货币币种、数字货币交易平台及区块链人物的相关信息,我们整理发布全球主流比特币交易平台、虚拟数字货币交易平台、区块链应用企业的结构化信息,我们对区块链及数字资产充满热情,立志打造成一个区块链综合门户网站。
区块链前沿 » 零知识证明的可信设置是否值得担心?

发表评论