低廉的验证本钱。 非凡环境下，如对机要性的信息举办检讨时，相对较高的验证本钱是可接管的；不然正常环境下，链下计较+链上验证的本钱应该低于纯粹的链上计较本钱。

与 Bulltetproofs 雷同，zk-STARKs 不需要初始化可信配置——因为它利用抗碰撞哈希函数（collision-resistant hash functions）举办更精简的对称加密，而且该算法消除了 zk-SNARKs 中存在的数论假设——后者执行本钱高且易受到量子计较机的进攻。

这一模式涉及到两类脚色：验证者与证明者（Prover），前者位于链上，后者位于链下。 该模式的运作进程同链下计较的根基界说雷同，在此不赘述。

鼓励驱动型链下计较中最知名的办理方案莫过于 TrueBit ，其根基道理为：

链下计较是区块链链下扩容的办理方案之一

新生意业务的产生导致链上的「状态」产生了改变，区块链可以被看作是处理惩罚一个「状态转换」函数的呆板。 链下计较是一种将计较「状态转换」函数的进程由链上转移至链下，尔后相应的功效交由链上验证的模子。

今朝，zk-SNARKs 依赖于证明者和验证者之间的初始化可信配置——这意味着需要一组民众参数来构建 zk-SNARKs，从而建设私有事务。这些参数被编入协议中，是证明生意业务有效性的须要因素之一。 其潜在的问题是，参数凡是由小部门群体拟定，大概存在信任问题。另外，在理论上，假如证明者拥有足够的算力，就可以提交假证据，影响整个系统。 这是为什么量子计较机被认为是这种算法的威胁的原因。

非交互性。 证明者可以或许在一条信息中（即一次链下到链上的传输进程），使验证者信服。交互性强的方案将发生多笔区块链事务，增加区块链网络的承担并举高验证本钱。

这一计较模式基于 TEE。 在该计较模式中，链下计较专门于可信的「飞地」中举办，「飞地」的每一条动静都可以被可信的外部实体认证并出具证明。启动计较时，果真的输入值从区块链上得到，而私密的输入值则由链下节点选择性地插手进去。输出功效的完整性通过链上验证「飞地」的证明举办验证。一旦验证乐成，新的状态会被记入区块链。

对比零常识证明这一「本体」，zk-SNARKs 使得证明者和验证者间互动少少甚至没有，而且其验证本钱较低，计较安详性相对较高。

注：通证畅通市值、Twitter 存眷人数数据停止 2019 年 7 月 20 日

链下安详多方计较的实现结果也是如此，区别之处在于引入了链上、链下的观念：

（1）观念

今朝陈设 zk-SNARKs 算法的知名项目有 Zcash、Loopring 等。 以太坊也有望陈设 zk-SNARKs。 2019 年 1 月份时，以太坊基金会与初创企业 Matter 在以太坊测试网络上，连系宣布了利用 zk-SNARKs 的侧链扩容方案。

在 Enigma 项目中，计较既可在链上执行，也可在单独的链下「飞地」中执行。Enigma 的特定剧本语言答允开拓者将方针项标志为私密的，进而强制要求以链下模式举办计较。

在可验证的链下计较的三种实现中，由于初始化可信配置的存在，zk-SNARKs 的计较本钱相对较高，可是在初始化可信配置完成后，其证明难度与验证的巨大性都很低；zk-STARKs 与 Bulletproofs 两种算法不需要初始化可信配置，计较本钱相应较低，但证明难度与验证巨大性却较高，这是其应用的掣肘地址。

该模式假设参加计较的各方都是理性的经济人（即参加方以最小的价钱最大化本身的好处）。该模式主要涉及到两类脚色： 处理惩罚计较任务的求解者（Solver）、从头计较求解者所处理惩罚过的计较任务并检讨其是否有误的验证者。 但在一些方案中会引入更多的脚色。

「飞地」型链下计较基于 TEE （可信执行情况，用于确保机要性和完整代码执行）。 在该计较模式中，链下计较专门于可信的「飞地」中举办。

相对付用户与求解者而言的第三方——验证者（同样位于链下），可从头运行上述计较并检讨其是否有误 ；如若发明求解者给堕落误功效，则可以提倡挑战，提交到链上仲裁。同样地，验证者需要提供一笔担保金。

3） zk-STARKs

今朝已有较多项目实验利用安详多方计较协议，如 Defi、Enigma 等。

要实现可验证的链下计较模子，有三种算法可以作为路径：

（2）实现环境

链下计较正在进入各大项目标视野，将来将得到进一步的成长和应用。 凭借各类优异的特性，链下计较乐成吸引了各方留意，譬喻 Zcash 和 Menero 别离陈设了 zk-SNARKs 和 Bulletproofs，以太坊焦点开拓者对 zk-SNARKS 在扩容方面的表示暗示认同，将来利用该技能的链下计较扩容方案或将推及整个以太坊。

（2）实现环境

1） zk-SNARKs

通过链上的智能合约，求解者与验证者配合举办一个验证游戏，而用户置于链上的代码则被用于验证求解者、验证者两边谜底的真伪，正确一方获取佣金，另一方则需付出整个验证进程所发生的 gas 用度。

用户提出计较需求并付出佣金，假如某个链下的求解者认为佣金价值切合预期，则举办计较并发布功效。另外，求解者也需要提供一笔担保金。

原文标题：《链下计较，尚在征途的扩容良方——区块链技能引卷之十三》

（2）主要特性

（1）观念

风险提示：技能希望不及预期、链上链下信道安详

要实现可验证的链下计较模子，有三种算法可以作为路径：

（1）观念

与 Enigma 相反，Ekiden 不支持链上计较，区块链仅被用于耐久的状态存储。代码和私有输入值由仅同「飞地」通讯的链下客户端提供，一旦计较完成，「飞地」将功效直接反馈回客户端，与此同时，状态被记录到区块链中。

从安详性方面来看，鼓励驱动型链下计较依赖于系统中至少有一位厚道的参加者的假设，恶意的验证者可以或许用提交织误谜底的方法挑战每一个计较步调，让所有任务颠末链上的「挑战」环节，影响系统整体的速度与安详机能。

今朝，多种链下计较方案已经取得成效或正在落地，如 Monero 乐成陈设 Bulletproofs 后事务体积显著低落；以太坊在测试网利用 zk-SNARKs，TPS 有望到达 500；首个致力于陈设 zk-STARKs 的项目 StarkWare 也已在测试傍边。

安详多方计较可以实此刻各方均不知道完整数据内容的环境下，通过连系它们对各自部门数据的计较功效，获得最终功效（便是操作完整数据举办计较的功效）。

可验证的链下计较涉及到两类脚色： 验证者与证明者 ，前者位于链上，后者位于链下。

该算法由以色列理工学院的 Eli-Ben-Sasson 传授缔造。它是 zk-SNARKs 的替代品，而且被认为是一种更高效的算法，但囿于其难以陈设的近况，将来是否会有更高的性价比尚未可知。

安详多方计较的实现手段一般来说可分为三类：

（1）观念

附注：因一些原因，本文中的一些名词标注并不是十分精准，主要如：通证、数字通证、数字 currency、钱币、token、Crowdsale 等，读者如有疑问，可来电来函配合探讨。

为什么需要引入链上验证的环节呢？因为链下计较「状态转换」函数并提交功效时，大概存在造假可能欺诈的环境，引入链上的验证者（Verifier）则可以有一个校正的 B 打算。

「飞地」型链下计较的缺点是其依赖于 TEE。 如英特尔的 SGX （Software Guard Extensions，软件掩护扩展），一种答允 Inter 处理惩罚器建设一个「小黑匣」作为 TEE 的技能，曾在黑客进攻前失去效用。

安详多方计较可以实此刻各方均不知道完整数据内容的环境下，通过连系它们对各自部门数据的计较功效，获得最终功效。

今朝，多种链下计较方案已经取得希望或正在落地，链下计较作为区块链的扩容方案之一，将来将得到进一步的成长和应用。

当前区块链普遍面对链上数据处理惩罚本领不敷的短板，制约了区块链进一步应用的大概性。 以此为配景，链下计较作为扩容方案之一被提出，其根基思路是将原本置于链上处理惩罚的种种事务，移至链下处理惩罚，而链上仅保存验证的部门，以此间接晋升链上的数据处理惩罚本领。

（2）实现环境

1） 基于 Yao 夹杂电路的结构要领；
2.4 鼓励驱动型链下计较

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。