SUKU:技术干货 | 理解零知识证明算法之Bulletproofs：Range Proof I_Proof

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：1.用于rangeproof；2.用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。

Rangeproof

1.?预备知识

aL：表示向量{a1,a2……an}

2n：表示向量{20,21…2n-1}

<a,b>：表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……an*bn}，结果是一个向量

2.?证明

Alice想要证明

v?

=>则，需要证明一个relation得成立，如下所示：

{：V=grhv^v?}

public-x??????????witness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1,a2……an}?{0,1}n，且满足<aL,2n>=v。因此，证明者需要证明以下几个等式相等：

雄帝科技：公司具备央行数字货币支付终端相关技术储备:雄帝科技4月13日在互动平台表示，公司注重于央行数字货币应用场景落地的技术研究，而支付终端需根据央行政策与标准进行研发适配，公司具备相关技术储备。公司会根据央行标准做技术对接与实现，未来会支持所有央行颁布的数字货币的正式应用形态。[2021/4/13 20:13:49]

V=grhv????(1)

<aL,2n>=v???(2)

aLoaR=0n??(3)

aR=aL-1n???(4)

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)(4)确保了a

L元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

3.?2n+1个约束转换成1个约束

=>预备：从Zp中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n。

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

1.验证者随机选取一个数y发送给证明者；

SUKU Chinese Ambassador Kyrie ：SUKU用区块链技术引领供应链变革:据官方消息，2021年06月10日下午，由Gate主办的直播专访节目《酒局币赴》邀请到SUKU Chinese Ambassador Kyrie 直播分享近期最新发展。直播期间Kyrie与Gate立春就SUKU及其相关事项进行了探讨与交流。

Kyrie指出，SUKU 利用去中心化金融 (DeFi) 协议来实现供应链的透明度，并为弱势供应商（例如小农）提供金融工具。 SUKU 帮助品牌方跟踪、验证和证明产品生成的每一步，通过收集到的信息，品牌方可以了解其供应链过程，并且和顾客分享这些经过验证的产品历史记录，这使他们能够更好地打入意识消费（Conscious Consumerism) 市场。此外，SUKU 是我们新推出的 NFT 交易所 INFINITE的基础架构。Kyrie还表示，SUKU 目前有三种不同的产品：1- Suku DeFi；2- Suku Omni；3- Suku Infinite，我们的 SUKU 产品套件可以提供从SU供应商到KU客户一整套供应链解决方案。[2021/6/10 23:28:16]

2.证明者要证明：

<aL,2n>=v(5)

<aL,aRoyn>=0???????(6)

<aL-1n-aR,yn>=0???(7)

观点：区块链等新技术基础设施将成为金融科技赋能实体经济的着力点:金融时报今日发表分析文章《数字化转型成趋势 金融科技重在服务实体经济》。文章中表示，当下，金融科技有望与小微企业数字化转型、工业互联网等领域实现深度融合。随着新型基础设施发展风口来临，以人工智能、云计算、区块链等为代表的新技术基础设施和以数据中心、智能计算中心为代表的算力基础设施也将成为金融科技赋能实体经济的着力点。[2020/7/13]

同理，等式(5)确保了v的范围，等式(6)(7)确保了a

L元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

1.验证者随机选取一个数z发送给证明者：

2.证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：

z2*<aL,2n>+z*<aL-1n-aR,yn>+<aL,aRoyn>=z2*v???(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积

4.?三个点积优化成1个点积

=>z2*<aL,2n>+z*?<aL-1n-aR,yn>+<aL,aRoyn>=z2*v

=><aL,z2*2n>+<aL,z*yn>-<z*1n,yn>-<z*aR,yn>+<aL,aRoyn>=z2*v

现场 | 刘航：区块链是可信的数据技术 必将与大数据融合发展:金色财经现场报道，由中关村科技园区管理委员会、中国信息协会指导，中国信息化发展研究院、中国通信工业协会区块链专委会主办的“区块链&数字经济高峰论坛暨2019第八届中关村大数据日”于12月12日在北京中关村举行。中关村科技园区管理委员会副巡视员刘航发表致辞，他表示本次大会是加强合作，共谋发展的好时机。当今随着人工智能、大数据、物联网、5G，特别是区块链应用的创新，区块链技术快速迈向万物互联，万物上链的规模化阶段，催生了一批新产业新业态新模式。区块链实际上是可信的数据技术，必将与大数据融合发展。中关村率先布局大数据展业，2016年成立中关村区块产业联盟，成立了25家大数据领域的协同创新平台，支持基金超过累计2亿元，大数据企业达到1600余家，产业规模增长达到20%以上，领先全国。[2019/12/12]

=><aL,aRoyn+z*yn+z2*2n>-<z*1n,yn>+<z*1n,ynoaR>=z2*v

=><aL,aRoyn+z*1noyn+z2*2n>-<z*1n,yn+ynoaR>=z2*v

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,yn+ynoaR>=z2*v

=><aL,(aR+z*1n)oyn+z2*2n>-?<z*1n,(aR+z*1n)oyn+z2*2n-z*1n*yn+yn-z2*2n>?=?z2*v

动态 | 奥地利国家旅游局计划利用区块链技术进行数字广告活动:据newswire消息，奥地利国家旅游局（ANTO）正在参与基于以太坊的广告平台Adbank的试点，计划利用区块链技术进行数字广告活动。据悉，Adbank平台旨在减少广告欺诈，以及降低广告技术中间商的费用。[2018/9/27]

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>-<z*1n,-z*1n*yn+yn-z2*2n>=?z2*v

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,-z*1n*yn+yn-z2*2n>

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+<z*1n,(-z*1n+1n)*yn>-<z*1n,?z2*2n>

=>?<aL-z*1n,(aR+z*1n)oyn+z2*2n>=z2*v+(z–z2)*<1n,yn>-z3*<1n,2n>???(9)

=>?令

L=?aL-z*1n

R=?(aR+z*1n)oyn+z2*2n

δ=?(z–z2)*<1n,yn>-z3*<1n,2n>

5.验证：

1.证明者把L/R/V发送给验证者；

2.验证者事先算好δ

3.验证者根据L算出来aL，根据<aL,2n>=v算出v

4.验证者根据L,R,v,δ验证等式<L,R>=z2*v+δ

因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.?一个零知识证明协议

由于L,R包含了v的相关信息，因此，我们需要添加两个盲因子s

L

、s

R来隐藏a

L，a

R。如公式(10)(11)所示：

l(X)=(aL-z*1n)+sL*X)??(10)

r(X)=(aR+z*1n+sR*X)oyn+z2*2n???(11)

此时，定义公式(12)

t(X)=<l(X),r(X)>=t0+t1*X+t2*X2???(12)

可以看出系数t

0是l(x)和r(x)常数项的乘积，即满足：

t0=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

l(x)=(aL-z*1n)+sL*x)

r(x)=(aR+z*1n+sR*x)oyn+z2*2n

需要校验：

P=A*Sx*g(-z)*(h`)z*yn+z^2*2^n

=hαgaLhaR*(hρgsLhsR)x*g(-z)*(h`)z*y^n+z^2*2^n

=hαgaLhaR*?hρxgsL*xhsR*x*g(-z)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*haR+sR*x*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)*(h`)z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x)+z*y^n+z^2*2^n

=hα+ρx*gaL+sL*x–z*1^n*(h`)y^no(aR+sR*x+z*1^n)+z^2*2^n

=?hμgl(h`)r

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0+t1x+t2x2

需要校验：

=>gthτx=?Vz^2*gδ*T1x*T2x^2

=>gthτx=?(hrgv)z^2*gδ*(gt1)x*(hτ1)x*(gt2)x^2*(hτ2)x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gz^2*v+δ+t1*x+t2*x^2

=>gthτx=?hz^2*r+τ1*x+τ2*x^2*gt0+t1*x+t2*x^2

=>t=?t0+t1*x+t2*x2&&τx=?z2*r+τ1*x+τ2*x2

=>当且仅当t和τxwelle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共{

l/r/t/

τ

x

/

μ

/T1/T2/A/S}个元素给验证者，总共2n+3个Z

p元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))

附录

1.Bulletproofs论文：

chrome-extension://cdonnmffkdaoajfknoeeecmchibpmkmg/assets/pdf/web/viewer.html?file=https%3A%2F%2Feprint.iacr.org%2F2017%2F1066.pdf

标签：SUKU区块链PROProofSUKUNA价格区块链游戏Contents Protocol0XPROOF

DOT热门资讯