LON:密码专栏 | 超强进阶:PLONK VS Groth16(下)_WEGRO

前言

本篇是“PLONKVSGroth16”的下篇,在上篇中我们对PLONK作了简要介绍,分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么,接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异,以及整体上的性能区别。

证明生成

对于程序qeval,prover需要证明自己知道qeval(x)=35的解,即x=3。

defqeval(x):

y=x**3

returnx+y+5

在上篇中我们已经介绍了PLONK的约束形式:门约束与线约束。继续使用之前的例子,约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式,即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案,将答案和计算中的中间参数代入约束表达式,这个组表达式必将是成立的。反之,如果该Prover提供的一组解无法使表达式成立,说明prover并不具备关于该问题解的知识。

Twitter:黑客未获取用户密码 现无需重置:Twitter表示,虽然黑客借助周三的大规模攻击假冒几位著名用户发送了推文,但用户的密码并未在这一过程中被盗。“没有证据显示攻击者获取了密码。”Twitter在周四的更新中写道,“我们目前不认为您有必要重置密码。”过去30天更改过密码的部分用户可能仍然无法访问自己的帐号,但这并不意味着这些帐号遭到入侵。

据此前报道,黑客攻击影响的名人帐号,包括美国民主党总统候选人乔·拜登(Joe Biden)、前总统巴拉克·奥巴马(Barack Obama)和特斯拉CEO埃隆·马斯克(Elon Musk)。黑客入侵这些帐号的目的是进行比特币,他们假冒这些名人要求人们向其捐款,以换取更大金额的回报。[2020/7/17]

这是最朴素的证明验证思路,可以将它看作是“锁”和“钥匙的配对“:该问题约束的构建类似于“打造门锁“,而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然,Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则:Verifier不应该获取到Prover的隐私信息。

声音 | 国家密码管理局李国海:依法推进商用密码创新发展:近期, 国家密码管理局商密办主任李国海就商用密码领域如何贯彻落实密码法做了题为《全面贯彻落实密码法,依法推进商用密码创新发展》专题报告,他指出,密码法依法确立商用密码的工作原则、管理体制、分类方法和基本制度,是商用密码科学管理、产业发展、规范应用、国际合作的根本遵循,是商用密码创新发展的有力保障,对提升密码管理科学化、规范化、法治化水平,促进密码技术进步、产业发展和规范应用,具有重要意义。商用密码工作原则是:统一领导、分级负责,创新发展、服务大局、依法管理、保障安全。商用密码管理模式的重塑,体现了党管密码原则,体现了确保安全与创新发展的统一,体现了党中央、国务院减政放权、放管结合、优化服务的要求,体现标准引领、强化监督的原则。[2019/11/10]

那么有什么方法能在解锁的同时保护隐私信息呢?

这里我们用到一个简单的数学小技巧:减除,对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶:PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述,在此我们不再赘述具体的转化过程,但需要重复的一点是:根据生成时使用的点值对,生成的多项式在这些点处的取值将恒为0。PLONK同理,此处我们给出两种算法的约束系统转化为多项式后的形式。

声音 | “现代密码学之父”Whitfield Diffie:区块链的前景取决于能否为用户创造价值:据深圳侨报消息,近日,在第二届智荟深圳·海外专才深圳行上,“现代密码学之父”Whitfield Diffie表示,没有网络安全就没有稳定的经济、社会的正常运转,就不能保障大众的利益。而如今极为火热的区块链,其背后的核心支撑也正是公钥加密技术。他还指出,区块链在未来将会有更加庞大的用户群,而区块链的前景取决于能否为用户创造价值。同时,区块链的发展从一定程度上推动了加密技术的“复兴”,使区块链重新聚焦于产品的加密层面。[2019/4/18]

Groth16:

PLONK:?我们设门约束多项式为D(X),线约束多项式为L(X),那么PLONK的整个约束多项式将被表示为:

动态 | 巴西密码交换协会向税务局提交提案:据bitcoinnews消息,巴西加密货币交换协会abto(巴西加密经济学协会)、巴西加密货币和区块链协会已经向巴西联邦税务局(RFB)提交了公开咨询建议。巴西最高监管机构最新举措的目的,是允许在加密货币领域运营的个人和企业的所得税交叉信息。RFB想要对整个过程有一个一致的见解,通过投资者和交易员的买卖指令来计算他们的资本收益。[2018/11/23]

可以看到,两者都使用了减除的思路,也就是这里的h(X)和ZH(X),其具体内容取决于构建约束多项式时取的点值。

证明与验证

同样在之前的文章中,我们可以看到Groth16的证明规模极小,只包含三个群元素A,B,C。然而,这样优雅的证明实现依赖于它的非通用可信设置,这也是Groth16的一大痛点。在Groth16中,证明方提供A,B,C,验证方基于可信设置提供的参数,构建一个配对验证等式。在验证过程中包含了三次配对操作,也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。

网站以泄露密码勒索比特币:据BTCMANGER消息,日前一网站匿名开发者制造了著名的“Have I been pwned”密码破解数据库恶意软件翻版。软件起初诱使用户检查其电子邮件地址是否遭到盗窃,随后要挟捐赠10美元价值的比特币来保证密码不被泄露并将删除相关信息,目前可确信该网站已经拥有密码数据库,大约140万用户的密码及账户信息被泄露。[2018/4/14]

Groth16证明:

Groth16验证:

相比之下,PLONK的证明验证将会复杂得多,这也是使用通用可信设置付出的代价。从验证方角度看,由于可信设置参数缺少了包含问题具体内容,从而无法帮助其构建一些制约证明多项式的值。因此,如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。

结合前述的约束多项式,我们可以对t(x)中出现的每一项都构建一个承诺,以实现验证方的验证。PLONK证明的具体内容如下,包含了两个点处的验证:Wz(X)为多个多项式的同点承诺,Wzw(X)则为另一个点处的对z(X)的承诺。

最后,PLONK的验证在原文中也被归纳为一个简洁的公式,实际上就是将上面提到的两个点处的承诺简单相加,具体等式如下所示:

以上就是PLONK和Groth16算法内容的具体对比结果,讲了这么多冗长的公式变换,两者在性能层面的差距究竟如何呢?

性能比较

在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较,Table2则是验证阶段的性能。可以看出,在验证上,两者的差距不大,Groth16比PLONK多了一次配对运算;而在证明方面我们遗憾地发现,Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK,尤其当它工作在fast模式时,所使用的SRS长度是所有算法中最短的。

▲验证阶段性能比较

▲证明阶段性能比较

前置知识

多项式减除

顾名思义,化减为除:若我们需要证明一个多项式f(x)在点a的取值为b,也就是证明f(a)-b=0;那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示:

设多项式f(x)且f(a)=b,则存在一个多项式g(x),使得:f(x)-b=g(x)(x-a)

kate承诺Kate承诺是由Kate,Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式,本文仅介绍PLONK中使用的常用形式,详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x),Kate承诺的具体步骤如下:

1)构造f(x)在点a处的承诺C

C:f(a)

2)选取点z,执行f(z)的opening

gz(x)=f(x)-f(z)/x-z

wz=gz(x)

3)给定f(z),C和Wz,验证Kate承诺

C=wz*(a-z)+f(z)

以上就是“PLONKVSGroth16”的全部内容,如有任何疑问,欢迎添加小助手桔子加入技术交流群,在这里,你想知道的都会得到解答~

A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.

ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-7:872ms