GRO:密码专栏 | 超强进阶：PLONK VS Groth16（下）_PLO价格

前言

本篇是“PLONKVSGroth16”的下篇，在上篇中我们对PLONK作了简要介绍，分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么，接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异，以及整体上的性能区别。

证明生成

对于程序qeval,prover需要证明自己知道qeval(x)=35的解，即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我们已经介绍了PLONK的约束形式：门约束与线约束。继续使用之前的例子，约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式，即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案，将答案和计算中的中间参数代入约束表达式，这个组表达式必将是成立的。反之，如果该Prover提供的一组解无法使表达式成立，说明prover并不具备关于该问题解的知识。

CZ：密码管理器LastPass遭遇泄露，用户需要确保已启用2FA双因子验证:金色财经报道，据币安首席执行官CZ在社交媒体透露密码管理器LastPass遭遇泄露问题，CZ称自己曾在博客文章中推荐过这个密码管理器。据LastPass称本次问题对客户密码没有影响，因为客户需要自己在客户端加密，但黑客目前已经拥有了用户信息，包括未加密的电子邮件地址和网站URL。尽管LastPass随后提供了更新，但CZ仍提示如果重复使用主密码的密码或主密码较弱，则黑客有可能获得所有凭据，另外用户需要确保已启用2FA双因子验证。据此前报道，LastPass于今年八月部分源码泄露。[2022/12/24 22:04:28]

这是最朴素的证明验证思路，可以将它看作是“锁”和“钥匙的配对“：该问题约束的构建类似于“打造门锁“，而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然，Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则：Verifier不应该获取到Prover的隐私信息。

声音 | 中国科学院院士：深入贯彻落实密码法 推动商用密码标准制定与产业发展:中国科学院院士王小云针对深入贯彻落实密码法、推动商用密码标准制定与产业发展有以下几点认识：1.密码法准确界定了密码的定义与内涵；2.加快推进商用密码产业发展、顶层设计并完善商用密码检测认证体系；3.加大密码核心关键技术的自主创新能力与标准制定，贡献中国密码的智慧与方案；4.加快雄安新区同步规划与建设密码防护体系；5.加快推进以密码技术为支撑的区块链技术研发以及试点工程，加快区块链行业标准、国家标准以及国际标准制定进程；6.动密码专业建设与学科发展，加大规模化密码人才培养力度。（经济参考报）[2019/11/21]

那么有什么方法能在解锁的同时保护隐私信息呢？

这里我们用到一个简单的数学小技巧：减除，对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶：PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述，在此我们不再赘述具体的转化过程，但需要重复的一点是：根据生成时使用的点值对，生成的多项式在这些点处的取值将恒为0。PLONK同理，此处我们给出两种算法的约束系统转化为多项式后的形式。

声音 | 国家密码管理局李国海：依法推进商用密码创新发展:近期， 国家密码管理局商密办主任李国海就商用密码领域如何贯彻落实密码法做了题为《全面贯彻落实密码法，依法推进商用密码创新发展》专题报告，他指出，密码法依法确立商用密码的工作原则、管理体制、分类方法和基本制度，是商用密码科学管理、产业发展、规范应用、国际合作的根本遵循，是商用密码创新发展的有力保障，对提升密码管理科学化、规范化、法治化水平，促进密码技术进步、产业发展和规范应用，具有重要意义。商用密码工作原则是：统一领导、分级负责，创新发展、服务大局、依法管理、保障安全。商用密码管理模式的重塑，体现了党管密码原则，体现了确保安全与创新发展的统一，体现了党中央、国务院减政放权、放管结合、优化服务的要求，体现标准引领、强化监督的原则。[2019/11/10]

Groth16:

动态 | Seele元一密码学黄皮书正式公开:今日，Seele元一全球首发的密码学领域黄皮书“多重椭圆曲线的数字签名方法”已被提交至全球预印本资料库资料库资料库arxiv.org发表，并随后于Seele元一官网Seele.pro全文公开。该黄皮书通过椭圆曲线数量和六个参数的动态调整，实现了适用于不同应用场景和安全需求的动态签名机制。Seele元一首席科学家毕伟博士表示：“新签名算法和独特的运行机制，为主网上线提供了更加坚实的安全技术保障。[2018/8/10]

PLONK:?我们设门约束多项式为D(X)，线约束多项式为L(X)，那么PLONK的整个约束多项式将被表示为：

可以看到，两者都使用了减除的思路，也就是这里的h(X)和ZH(X)，其具体内容取决于构建约束多项式时取的点值。

红烧肉在上海交大的密码学及计算机安全实验室发布了抗量子攻击纲要:红烧肉（HSR）在上海交大的密码学及计算机安全实验室发布了抗量子攻击纲要 。[2017/12/19]

证明与验证

同样在之前的文章中，我们可以看到Groth16的证明规模极小，只包含三个群元素A,B,C。然而，这样优雅的证明实现依赖于它的非通用可信设置，这也是Groth16的一大痛点。在Groth16中，证明方提供A，B，C，验证方基于可信设置提供的参数，构建一个配对验证等式。在验证过程中包含了三次配对操作，也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。

Groth16证明：

Groth16验证：

相比之下，PLONK的证明验证将会复杂得多，这也是使用通用可信设置付出的代价。从验证方角度看，由于可信设置参数缺少了包含问题具体内容，从而无法帮助其构建一些制约证明多项式的值。因此，如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。

结合前述的约束多项式，我们可以对t(x)中出现的每一项都构建一个承诺，以实现验证方的验证。PLONK证明的具体内容如下，包含了两个点处的验证：Wz(X)为多个多项式的同点承诺，Wzw(X)则为另一个点处的对z(X)的承诺。

最后，PLONK的验证在原文中也被归纳为一个简洁的公式，实际上就是将上面提到的两个点处的承诺简单相加，具体等式如下所示：

以上就是PLONK和Groth16算法内容的具体对比结果，讲了这么多冗长的公式变换，两者在性能层面的差距究竟如何呢？

性能比较

在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较，Table2则是验证阶段的性能。可以看出，在验证上，两者的差距不大，Groth16比PLONK多了一次配对运算；而在证明方面我们遗憾地发现，Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK，尤其当它工作在fast模式时，所使用的SRS长度是所有算法中最短的。

▲验证阶段性能比较

▲证明阶段性能比较

前置知识

多项式减除

顾名思义，化减为除：若我们需要证明一个多项式f(x)在点a的取值为b，也就是证明f(a)-b=0；那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示：

设多项式f(x)且f(a)=b，则存在一个多项式g(x)，使得：f(x)-b=g(x)(x-a)

kate承诺Kate承诺是由Kate，Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式，本文仅介绍PLONK中使用的常用形式，详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x)，Kate承诺的具体步骤如下：

1）构造f(x)在点a处的承诺C

C：f(a)

2）选取点z，执行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3）给定f(z),C和Wz，验证Kate承诺

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部内容，如有任何疑问，欢迎添加小助手桔子加入技术交流群，在这里，你想知道的都会得到解答～

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

标签：LONPLOGROROTelon币会燃烧多少PLO价格Grow Export PlatformRatio Protocol

MANA热门资讯