技术的突破是推动区块链行业前进的引擎,币安中国区块链研究院与链闻ChainNews同为密切关注区块链与密码学等领域技术发展前沿的组织,故而联合推出「他山之石」专栏,向中文世界读者介绍全球范围最值得关注的区块链技术进展,以及在金融等产业最新的应用分析与动态,以期为中国的区块链行业「攻玉」提供借鉴和思考。
本文从技术视角介绍一种「Kate多项式承诺」的密码学方案,此方案正用于研究实现无状态以太坊。
原文标题:《Kate多项式承诺》撰文:DankradFeist,以太坊基金会研究员编译:币安中国区块链研究院
本文已取得作者授权,并由链闻和币安中国区块链研究院获得中文地区翻译首发权
在本文拟介绍Kate、Zaverucha和Goldberg所提出的承诺方案1。但作为一篇介绍性文章,本文无意做严谨、完整的数学或密码学论述。
该方案通常被称作「Kate多项式承诺方案」,是多项式承诺方案的一种。它支持验证人计算对多项式的承诺,可通过其属性在任意后续位置开启此承诺:验证人需要证明多项式在某位置上的值均等于声明值。
验证人一旦将承诺值发给了校验人,便无法再更改相应的多项式,因此得名「承诺」。校验人只能提供多项式的有效证明;若尝试作弊,要么无法得出证明,要么证明会被校验人拒绝。
预备知识
强烈推荐不熟悉有限域、椭圆曲线与配对的读者提前阅读VitalikButerin有关椭圆曲线配对的文章。
与默克尔树的对比
若读者熟悉默克尔树,本人希望可以更直观地呈现默克尔树与Kate承诺之间的差别。用密码学家的话来说,默克尔树是一种向量承诺:你可以使用一个深度为d的默克尔树,计算出对向量
的承诺。你也可以运用默克尔证明,借助d散列,证明位于i处的元素ai是该向量的一部分。
Filecoin网络近24小时产出34.33万枚FIL:据IPFS100报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为1132897,全网有效算力为11.242EiB,总质押量约为1.1272亿枚FIL,活跃矿工数为3261个,每区块奖励为23.8752FIL,近24小时产出343334枚FIL,24小时平均挖矿收益为0.0292FIL/TiB,目前FIL流通量为173500177。当前销毁28113944枚FIL。当前FIL最新价格为70.99美元。目前有效算力排名前三的分别为:f0688165(MetaverseInfrastructure)以145.44PiB位居第一,f0127595(MetaverseInfrast)以132.70PiB暂居第二,f0142720(RRM-雅典娜)以126.22PiB位居第三。
注:根据Filecoin官方释放规则,Filecoin将于2021年10月15号迎来第二次减产。[2021/9/22 16:57:55]
实际上,我们可以通过默克尔树得出多项式承诺:次数为n的多项式p(X)只是一个函数
其中pi是多项式的系数。
通过设置ai=pi并计算其系数的默克尔根,可以很容易地得出次数为n=2d-1时的多项式。证明求值指的是验证人想要告诉校验人:对于某个z,p(z)=y。对此,验证人可以把所有的pi值都发给校验人,然后校验人计算得出p(z)确实等于y。
当然,这是一个非常低级的多项式承诺,但能帮助我们理解其具有哪些优势。观察下面这些属性:
1.承诺大小是一个单散列。一个足够安全的加密散列通常需要256个位元,即32个字节。2.要想证明一个求值,验证人需要把所有的pi发出去,以此证明大小与多项式的次数呈线性关系,校验人需要进行线性运算(通过计算
求出多项式在位置z处的值)。
FIL突破70美元关口 日内涨幅为3.47%:火币全球站数据显示,FIL短线上涨,突破70美元关口,现报70.668美元,日内涨幅达到3.47%,行情波动较大,请做好风险控制。[2021/8/20 22:27:06]
3.此方案未对多项式进行隐藏——验证人以非隐藏方式发送完整的多项式,及其每一个系数。
下面,我们探讨一下Kate方案以此类指标可以实现怎样的效果。
承诺大小是一个椭圆群的群元素,该群支持配对。例如,BLS12_381有48个字节。证明大小不受多项式大小的影响,也是一个群元素。校验多项式次数和大小的影响,始终需要一次两群相乘和两辆配对。该方案基本实现了对多项式隐藏——实际上,将会出现无数多项式Kate承诺完全相同的情况。但是,完全隐藏仍未实现:如能猜出多项式,就能找出承诺多项式。另外,也可以把任意求值的证明合并到一个群元素中。正是这些属性使Kate方案通行于PLONK、SONIC等零知识证明系统,也使之可以作为向量承诺适用于一般情况。下文将予以详述。
椭圆曲线与配对
如上所述,本人强烈推荐VitalikButerin有关椭圆曲线配对的文章,其中介绍了理解本文所需的所有预备知识,尤其是有限域、椭圆曲线与配对等方面。
假设G1和G2为带有配对e的两条椭圆曲线:G1×G2→GT。G1和G2的阶数均为p,生成元分别为G和H。用简化符号分别记作
1=xG∈G1和2=xH∈G2
任意x∈Fp。
可信设置
假设完成了可信设置,则在某个秘密点s上,验证人和校验人均能获得i=0、……n-1时的1和2元素。
你可以这样理解这种秘密设置:用一台气隙计算机计算随机数s,计算所有的群元素x,然后用有线方式只把这些元素发出去,最后把这台计算机销毁。当然,这种方案不够完美,因为你必须信任计算机操作员不会通过秘密通信通道获取到秘密点s的值。
BW.io开通FIL-USDT支持5倍杠杆:据官方消息, BW已于4月2日香港时间17:00开通FIL-USDT支持5倍杠杆,同步举行“首周FILUSDT杠杆交易免手续费活动”活动期间交易FIL-USDT,杠杆手续费全免。
Filecoin是IPFS上的一个代币,而Filecoin就是通过贡献闲置的硬盘来作为奖励矿工的一种方式。Filecoin采用了一种全新的算法(工作量证明)。BW携手Bridge Oracle举办的BRG交易大赛已在3月29日20:00上线!参与即可瓜分50,000 BRG。 详情请查看BW.io官方公告。[2021/4/2 19:41:03]
在实践中,这通常是通过安全的多方计算来实现的,此方法允许由一组计算机创建此类群元素,从而杜绝任何计算机获取秘密点s的值,而要想获取到s,需要所有的计算机联手才能做到。
注意,不会出现以下情况:即仅通过选择某个随机群元素1,计算出其他的群元素,最后得出s。在s未知的情况下,无法计算出1。
现在,椭圆曲线加密基本上说明了不可能通过可信设置的群元素得出s的实际值。s是Fp中的一个数,但是验证人不可能找出这个数的实际值。验证人只能根据提供给他们的元素执行特定的计算。因此,验证人可以通过椭圆曲线乘法运算,很容易地计算出c1=csiG=1等,且由于可以加上椭圆曲线点,还可以计算出c1d1=(csidsj)G=1等。实际上,如果
是多项式,验证人可以计算出:
有趣的是,几乎每个人都能使用这种可信设置在s未知的情况下,求出多项式在秘密点s处的值。除非他们没有得到自然数输出,而是只得到椭圆曲线点1=p(s)G,但是这就已经非常强大了。
Kate承诺
在Kate承诺方案中,元素C=1是对多项式p(X)的承诺。
或许你会问:验证人能否找到另一个具有相同承诺的多项式q(X)≠p(X),即1=1?假设存在这种情况。那将意味着1=1,说明p(s)-q(s)=0。
Ren Protocol已支持Filecoin、DOGE等资产跨链:据官方消息,去中心化资产桥接项目 Ren Protocol 表示已经支持 Filecoin、DigiByte、DOGE 代币跨链。目前,renFIL、renDGB、renDOGE 已上线以太坊网络。[2021/3/3 18:09:54]
现在,r(X)=p(X)-q(X)本身就是一个多项式。我们知道因为p(X)≠q(X),所以其并非常数。众所周知,任何次数为n的非常数多项式最多可以有n个零:因为如果r(z)=0,则r(X)可被线性因子X-z整除;因为我们可以将每个零除以一个线性因子,并且每除一次会使次数减一,所以次数不会超过n。^2
由于验证人不知道s,因此实现p(s)-q(s)=0的唯一方法是在尽可能多的位置上实现p(X)-q(X)=0。但是,正如以上证明,由于验证人最多可以选n个位置,所以成功的可能性不高:由于n值远小于曲线p的次数,因此他们不太可能选择s点来使p(X)=q(X)。为了感受此概率,假设采用当前可实现的最大可信设置,其中n=228,并将其与曲线阶数p≈2^256进行比较:即便攻击者通过精心设计,使多项式q(X)在最多n=228个点上等于p(X),使这个多项式得出相同承诺的概率也只有228/2256=2^28-2^56≈2·10-69。概率极低。这其实就意味着攻击者无法实现其意图。
多项式相乘
到现在,我们已经证明了能够求出多项式在秘密点s处的值,这使得我们能够对一个唯一的多项式做出承诺——在某种意义上,尽管具有相同承诺C=1的多项式不止一个,但在实际中是无法计算出来的)。
不过,在不将多项式完整地发送给校验人的情况下,我们仍无法「开启」承诺。而要「开启」承诺,我们需要用到配对。如上所述,我们可以用秘密元素进行某些线性运算;例如,我们可以把1计算为对p(X)的承诺,也可以把p(X)和q(X)的两个承诺相加,得出合并承诺p(X)q(X):11=1。
Filecoin网络将于未来几周升级至v1.5.0版本:2月2日,Filecoin官方人员Jennifer近日在slack频道发布消息称,Filecoin网络将在未来几周进行强制性的升级,此次升级会将Filecoin网络强制更新到v1.5.0版本,并包含两个FIP提案,FIP-0007和FIP-0010。FIP-0007提案创建于2020年11月27日,由3个较小的独立提案组成,能够从性能和安全性方面改进Filecoin HAMT和AMT。FIP-0010提案核心特点则是采用链下WindowPoSt验证,即WindowPoSt无需接受验证即可上链,稍后链下验证者可调用DisputeWindowedPoSt进行验证。FIP-0010提案通过“链下”验证的方式缓解拥堵现状,提升Filecoin网络的TPS。对于矿工而言,既能降低gas费,减少被惩罚的概率,又能更好地维持原有的算力,维护算力的稳定,稳稳地获取区块奖励。[2021/2/2 18:43:16]
现在我们无法将两个多项式相乘。否则,就能使用多项式的某些属性实现目标。尽管椭圆曲线本身做不到,但所幸,我们可以通过配对来实现:我们知道:
其中引入了新符号T=e(G,H)x。因此,虽然我们不能把椭圆曲线里的两个域元素简单地相乘,然后将其乘积当作一个椭圆曲线元素的属性之一;而椭圆形曲线仅是加法同态的),但是,如果在两个不同的曲线中对它们进行承诺,并且输出是一个G元素的话,我们就能把两个域元素相乘。
这时就触及到了Kate证明的核心:还记得我们之前提到了线性因子么:如果多项式在z处为零,则多项式可被X-z整除。显然,反过来也是如此——如果多项式可被X-z整除,那么多项式在z处显然为零:被Xz整除意味着:我们可以得出某些多项式q(X)的p(X)=(X-z)-q(X),且多项式在X=z处显然为零。
现在要证明p(z)=y。我们接着使用多项式p(X)-y——由于该多项式在z处显然为零,因此我们可以运用线性因子的相关知识。使q(X)等于多项式p(X)-y,被线性因子X-z整除,即
即等同于q(X)(X-z)=p(X)-y。
Kate证明
现在,将p(z)=y求值的Kate证明定义为π=1。对多项式p(X)的承诺被定义为C=1。
校验人使用以下公式检查此证明:
注意,校验人可以计算出2,因为2只是来自可信设置的元素2与z的组合,且z是多项式的求值点。同样,把y当作声明值p(z),便可以计算出1。那么,为什么此检查能使校验人相信p(z)=y;更准确地说,是使校验人相信由C所承诺的多项式在z处求出的值为y?
我们需要评估两个属性:正确性和可靠性。正确性指验证人执行我们定义的步骤,可以得出能通过核验的证明。这一点一般不难。可靠性指校验人无法得出「不正确」的证明,即无法使校验人相信当y'≠y时,p(z)=y′。
首先,写出配对群中的方程式:
其正确性现在应该很明显了,即在未知随机点s上需要求值的方程q(X)(X-z)=p(X)-y。
那么,我们怎么证明其可靠性以及验证人无法创建假证明呢?我们要用多项式思路来思考这个问题。如果验证人按我们的方法来构造证明,就必须以某种方式使p(X)-y′被X-z整除。但是p(z)-y′不为零,因此无法进行多项式除法运算,因为总会有余数。所以,这种方法显然行不通。
至此,就要尝试椭圆群:如果能计算出某些承诺C的椭圆群元素,结果又会怎样?
很显然,如果做到了这一点,就能证明一切。凭直觉来看,这一点很难实现,因为必须将与s相关的某些值指数化,但是s是未知的。出于证明的周密性考虑,需要提出配对的密码学假设,即所谓的q-SDH假设3。
多值证明
现在,我们已经演示了如何证明多项式在一个点上的求值。注意,这已经非常了不起了:通过仅发送一个单群元素,就能证明某个具有任意个次数的多项式在某个点上包含了某个值。在将默克尔树当作多项式承诺的小例子中,需要发送228个元素——多项式的所有系数。
现在,我们要更进一步,证明可以在任意数量的点上求出多项式的值,且仍然只使用一个群元素即可。为此,我们需要引入另一个概念:插值多项式。假设有一系列的k值(z0,y0)、(z1,y1)……(zk-1,yk-1):然后,总是能找到一个次数小于k的多项式能通过所有这些点。实现方法之一是使用拉格朗日插值法,此方法为该多项式I(X)提供了一个明确的公式:
现在,假设已知p(X)通过了所有点。则多项式p(X)-I(X)在z0、z1……、zk-1处均明显为零。这意味着它可以被所有线性因子、……整除。我们把所有因子都合并到所谓的零多项式中
就可以计算商数了
注意,这是可行的,因为p(X)-I(X)可被Z(X)中的所有线性因子整除,因此它可被整个Z(X)整除。
我们现在可以给求值(z0,y0)、(z1,y1)……(zk-1,yk-1):π=1定义Kate多值证明——注意,这里仍然只有一个群元素。
现在,要进行检查,校验人还必须计算插值多项式I(X)和零多项式Z(X)。借此,他们可以计算2和1,从而校验配对方程式
通过写出配对群中的方程,可以轻松地校验其能否以与单点Kate证明相同的方式进行验证:
其效果惊人:只需提供一个群元素,就可以证明任何数量的求值达一百万次!仅48字节即可证明所有求值!
用作向量承诺的Kate承诺
虽然Kate承诺方案被设计成了一种多项式承诺,但实际上也能成为非常好的向量承诺。向量承诺对向量a0……an-1进行承诺,为证明自己对某个i承诺了ai提供了方法。可以使用Kate承诺方案来进行重现:使p(X)为所有i均取为p(i)=ai的多项式。我们现在得到了这样一个多项式,可以用拉格朗日插值法来计算它:
利用这个多项式,我们可以仅使用一个群元素就能证明向量中任意数量的元素!这种方法的效率要比默克尔树高得多:仅证明一个元素,一次默克尔证明会消耗logn个散列!
延伸阅读
我们目前正在研究如何利用Kate承诺打造出无状态版的以太坊。因此,本人强烈建议在ethresearch论坛中搜索Kate,查找与当前研究相关的话题。
除本文外,Vitalik对PLONK的介绍也非常精彩,其中大量使用了多项式承诺,并采用了Kate方案作为主要示例。
1.https://www.iacr.org/archive/asiacrypt2010/6477178/6477178.pdf
2.此结果常被错误地引用做代数基本定理。而代数基本定理刚好相反,在复杂的数值中,每一个次数为n的多项式都有n个线性因子。但是,尽管此处简化结果对于代数学有重要意义,但还缺少一个简洁、朗朗上口的名称。
3.https://www.cs.cmu.edu/~goyal/ibe.pdf
来源链接:dankradfeist.de
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
币安
币安
币安Binance区块链数字资产交易平台,引领币币交易创新模式,为用户提供更加安全、便捷的数字货币兑换服务,聚合全球优质数字货币,致力于打造世界级的区块链资产交易平台。提供比特币、以太坊、莱特币、币安币等主流加密数字货币交易。公司几乎所有的资产,包括对于交易收取的费用及拿到的融资,都以加密数字货币形式保存。币安BinanceBNBBinanceChainBinanceLabsBinanceLabs币安慈善币安慈善基金会币安孵化器BinanceDEX币安宝币安研报币安研究院BinanceResearch币安美国BinanceFuturesBinanceLaunchpad币安云BinanceCloudBinanceCardBinance.US币安Launchpad币安LaunchpoolBinancePay查看更多以太坊
标签:binanceNAN区块链数字货币Binance CrunchKlayFi Financevp币区块链价格数字货币被过程聊天记录
尊敬的用户: 因NULS节点维护升级,币虎即刻起暂停NULS充提币服务,升级期间不影响正常交易。恢复时间另行通知.
一、 据深链财经消息,12月15日,推特账号HighStakesCapital爆料称,Facebook创始人兼CEO马克·扎克伯格已通过CandyCapital购买了价值30亿美元的比特币.
顺势而为,敢为天下先!当有人还在高位做空时,早盘我已经提示大家做多了,当行情回调震荡时,就是我们多单再次进场的机会!炎王在币圈这一条路上八年余载.
Gate.io双周报为您囊括平台周期热点,助您快速掌握平台动态,状态持续“在线”。本周期Gate.io福利中心正式上线;合约实盘约上线双向开仓功能;智能量化策略支持VIP折扣;参与Gate.io.
按照目前不断宣布的好消息来看,我们有理由相信,Filecoin上线后能成为所有区块链项目和互联网的基础设施,那么,Filecoin上线,所面对的将是巨大的商业应用市场.
很多年之前,我还在北京创业,曾受邀去深圳做一场演讲,受众是券商、银行、保险等传统金融从业人员,演讲的主题是比特币.