http://www.7klian.com

多维度较量寒武纪爆炸式成长的零常识证明系统

暗码学证明(CI)规模经验了「寒武纪爆炸」式成长,仅 2019 年就有 Libra、Sonic、SuperSonic、PLONK 等零常识证明系统呈现。

出格是,我们在 StarkWare 制作的 STARKs (好比我们即将陈设的 StarkDEX alpha 版本和 StarkExchange)就属于这一类。人们也可以利用非对称暗码学原语来结构理睬方案,譬喻基于椭圆曲线组上离散对数问题的难度(这是 BulletProof 和 Halo 所回收的要领)以及未知阶假设组(如 DARK 和 SuperSonic 回收的)。利用非对称理睬方案具有前面提到的利益和缺点:证明较短,但计较时间较长,易受量子计较影响,具有较新(且较少研究)的假设,以及在某些环境下会有透明度的损失。

对称 CI 系统可以对任何字段举办算术运算,从而提高效率;

新的差池称假设,对付金融基本设施而言,会是具有更高风险的基本;

这种方案是自然交互的,并且很多方案都是透明的(verifier 生成的所有动静都只是果真的随机 coin)。透明性答允人们通过 Fiat-Shamir 开导式(它将 SHA 2/3 这样的伪随机函数视为提供「民众」随机性的随机预言机)将协议压缩为非交互式协议,可能利用其他随机性民众源(如区块头)。最风行的透明理睬方案是通过 Merkle 树,这种要领看似是后量子安详的,但会导致在很多对称系统中呈现较大的论证长度(因为所有认证路径都需要被展现并附上每个 prover 的谜底)。这是大大都 STARK (如 libSTARK 和简捷 Aurora)以及简捷证明系统(如 ZKBoo、Ligero、Aurora 和 Fractal)利用的要领(纵然这些系统不满意 STARK 的正式可扩展性界说)。

翻译:洒脱喜

大大都已实现的 CI 系统将计较问题简化为算术电路,然后将其转换为一组约束(一般是下面我们将接头的 R1CS 约束)。此要领答允特定于电路的优化,但要求 verifier 或其信任的某个实体执行与正在验证的计较(电路)一样大的计较。对付 Zcash 的 Sapling 电路这样的多用途电路来说,这种算法就足够了。可是,像 libSTARK、简捷 Aurora 和 StarkWare 正在构建的可扩展且透明(没有可信配置)的系统而言,必需要利用简捷的计较暗示,这种暗示雷同于一般的计较机措施,而且其描写要比被验证的计较要小指数级。现有的两种实现:(i) libSTARK、genSTARK 以及 StaskWS 系统所利用代数中间暗示(AIR)要领,以及(ii)简捷 Aurora 的简捷 R1CS,最好被描写为通用计较机措施(与电路相反)的 arithmetization。这些简捷暗示足以捕获非确定性指数时间(NEXP)的巨大类,它比由电路描写的非确定性多项式时间(NP)类更具有指数表示力,也更强大。

然后重申下上面的要点:

图 2:暗码学假设及由它们支撑的经济代价

撰文:Eli Ben-Sasson,StarkWare 公司的连系首创人兼首席科学家

理睬方案(Commitment Scheme)

C. R1CS vs. 一般多项式约束

2.3 Arithmetization

暗码学假设和 LDC 要领的选择,也以三种明明的方法影响 arithmetization 大概性的范畴(见图 4):

结论:非对称电路专用系统(Groth16)最短,它要比所有非对称通用系统和所有对称系统都要短。

[1]. 术语 ZKP 常常被误用来指代所有的 CI 系统,甚至是一些非正式 ZKP 系统。为了制止这种夹杂,我们利用了界说松散的术语「暗码学证明」和「计较完整性(CI)证明」;

B. Alphabet 巨细和范例

所有在代码中实现的 CI 系统,都具有两个配合点:它们都利用被称为 Arithmetization 的对象,而且所有的暗码都强制利用一个称为「低阶顺应性」(LDC)[2] 的观念。

另外,跟着将来新的看法及布局的呈现,以上描写 CI 宇宙扩展及变革的实验很大概会过期。话虽如此,纵观当今的 CI 规模,我们所看到的最大分界限是 (i) 需要非对称暗码假设的系统,它们会导致证明时间更短,但证明本钱更高,它们具有较新的假设,这些假设是易受量子计较影响的,个中有许多是不透明的,以及(ii)只依赖对称假设的系统,这使得它们在计较上是高效、透明,且大概是后量子安详的,而按照 Lindy 效应来看,它们也大概是最经得起将来检验的。

结论:只有对称系统才是公道的后量子安详系统。

D. 论证长度

A. 计较效率

「「I know four polynomials A(X), B(X), C(X), D(X), each of degree less than 1,000, such that this equality holds: A(X)B²(X)-C(X) = (X¹⁰⁰⁰–1)D(X)」」 (我知道四个多项式 A (X),B (X),C (X),D (X),它们每个阶数都小于 1000,所以这个等式创立:A(X)B²(X)-C(X) = (X¹⁰⁰⁰–1)D(X))

当一台具有足够大状态(以量子位丈量)的量子计较机呈现时,当前在 CI-verse 中利用的所有非对称暗码学原语将被有效地粉碎。另一方面,对称暗码学原语好像是后量子安详的。

CI 系统之间的这种对称 / 差池称分别,会带来许多功效,个中包罗:

我们很幸运地经验了计较完整性暗码学证明系统宇宙的惊人寒武纪发作,我们认为系统和创新的扩散,将继承以越来越快的速度举办。

通过类比,我们今朝在计较完整性的暗码学证明(CI)规模也经验了「寒武纪爆炸」,个中一个子集就包罗零常识证明。几年之前,一年的时间里约莫会呈现 1-3 个新的零常识证明系统,而此刻已成长到每个月(甚至有时会是周为单元)就能看到近似数量新系统的呈现。在 2019 年,我们相识到的新零常识证明布局,譬喻有 Libra、Sonic、SuperSonic、PLONK、SLONK、Halo、Marlin、Fractal、Spartan、简捷 Aurora,以及 OpenZKP、Hodor 和 GenSTARK 等实现。哦,好吧,在差不多写完这篇文章的时候,RedShift 以及 AirAssembly 也已经呈现。

STARK

这里的 S 代表可扩展性,这意味着跟着批处理惩罚巨细 n 的增加,证明时间巨细与 n 是呈准线性干系的,同时验证时间巨细与 n 是呈多对数 [8] 干系的。

对比之下,仅依赖对称假设的结构对包括 smooth[5] 子组的任何代数域(环域或有限域)举办算术运算并执行 LDC,包罗很是小的二进制域和 2 个 smooth 素数域(64 位或更少),个中算术运算速度是很快的。

A. NP (电路) vs. NEXP (措施)

图 5:STARK vs. SNARK

Lindy 效应理论提出:

埋没查询(Hiding Queries)

只有对称系统才是公道的后量子安详系统;

图 1:暗码学假设家属树

[4]. 我们出格将基于格的结构解除在接头之外,因为它们还没有代码基本。这种布局长短对称的,并且好像也是后量子安详的,而且凡是利用小(素数)域。

结论:新的差池称暗码学假设,对付金融基本设施而言,会是具有更高风险的基本;

四、总结

图 6: 总结

原文标题:《寒武纪暗码学证明大发作,数十个零常识证明系统该如何选?》(A Cambrian Explosion of Crypto Proofs)

Arithmetization 是指通过证明算法来淘汰计较语句。你可以从这样的观念性告诉开始:

计较完整性证明系统,有助于办理困扰去中心化区块链的两大根基问题:隐私及可扩展性。零常识证明(ZKP)[1] 通过屏蔽计较的某些输入而不损害完整性来提供隐私。而简捷可验证 CI 系统,通过指数级压缩验证大批量生意业务完整性所需的计较劲,以此提供可扩展性。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!