DAOrayakiDAO研究奖金池:
资助地址:DAOrayaki.eth
投票进展:DAOCommittee?2/0通過
赏金总量:60USDC
研究种类:BlockchainZeroKnowledgeProofs
原文作者:KobiGurkan
zkSNARKs是一种创建零知识证明的方法。具体来说,是简洁的、非交互式的创建零知识证明的方法。
zkSNARKs到底是什么可以参考以下内容
1.zkSNARKs在Zcash中是如何构建的--由Zcash团队提供。
https://z.cash/technology/zksnarks/
2.私人数据的无信任计算—QED-it的首席密码学家DanielBenarroch和AvivZohar
法律专家:Friend.tech可能会引起SEC的注意:金色财经报道,去中心化社交媒体平台Friend.tech在周末热度颇高,该平台在24小时内收入超过100万美元,Mitchell Silberberg & Knupp合伙人Mark Hiraide表示,这可能会引起SEC的注意。Friend.tech交易需支付两笔5%的费用。一笔进入Friend.tech的金库,另一笔进入股票交易的账户持有人。理论上,用户还可以通过投资股票价值增加的账户来获利,专家表示,该模型看起来与股票市场类似,正如上市公司股东可以获得股息一样,有影响力的人可以选择与买家分享费用,许多人已经提供了这种福利,以提高交易量和价格,Hiraide表示,这为该应用程序提供了潜在的实用性,如果在第三方交易所上市,也将使得这些资产与传统证券的区分变得更加困难,因此,该平台可能会引起证券监管机构的注意,面临被归类为未注册的证券产品的风险。[2023/8/22 18:14:19]
教授的博文。
北京市经信局公布北京市通用人工智能产业创新伙伴计划成员名单:5月19日消息,北京市经信局公布北京市通用人工智能产业创新伙伴计划成员名单(第一批)。第一批伙伴成员共有39家,其中算力伙伴2家,分别为阿里云计算有限公司、北京超级云计算中心;数据伙伴9家,模型伙伴7家,分别为北京智源人工智能研究院、北京百度网讯科技有限公司、北京智谱华章科技有限公司、阿里巴巴达摩院(北京)科技有限公司、第四范式(北京)技术有限公司、昆仑万维科技股份有限公司、北京奇虎科技有限公司等。[2023/5/19 15:13:59]
https://qed-it.com/trustless-computing-on-private-data/
3.证明,区块链。ZKPinAction-一个解释ZKP和如何为数独创建一个的会议
视频。
https://qed-it.com/2017/07/04/zkp-in-action/
加密托管机构Aegis将增加Lido的Token衍生品的覆盖范围:金色财经报道,加密托管机构Aegis将为DeFi协议Lido发行的流动性股权衍生品提供托管。Aegis表示,它在香港和美国拥有信托牌照,为链上交易提供托管服务,而Lido是总价值锁定的最大的DeFi应用程序。这一合作伙伴关系的出现,是因为人们对流动性股权衍生品的兴趣增加,部分原因是合并:以太坊向股权证明(PoS)共识机制的过渡。[2023/1/27 11:32:01]
4.不可思议的机器--QED-it首席科学家AvivZohar教授的博文,解释了可信的设置。
https://qed-it.com/2017-12-20-the-incredible-machine/
5.猎杀SNARK-一系列的谜语,用于实验ZKPs。
https://qed-it.com/2017/07/11/the-hunting-of-the-snark/
在QED-it,我们使用zkSNARKs和其他工具,为企业创建零知识区块链。
最为人所知的zkSNARKs的生产部署可能是ZCash--一种具有不可链接的交易和隐藏金额的加密货币。ZCash,以及其他一些利用zkSNARKs的产品,都是基于一种叫做Pinnochio的结构,尽管更具体的是BCTV14a。这是一项了不起的技术,正如你可能怀疑的那样。这种结构有一个明显的缺点:可信的设置。
受信任设置
设置是一个生成CRS的过程,或者更公开地称为一对证明和验证密钥。这些"密钥"被证明者和验证者用来分别生成和验证特定问题的证明。
在这个过程中,有一些随机的元素被抽样,但必须保密。因为如果验证者知道这些,他们将能够创造出被成功验证的证明,而在证明过程中不使用问题的实际解决方案。换句话说,就是要伪造证明,破坏健全性。这种随机性也被称为"有废料"。有一些方法可以避免这种担忧,不把信任放在单一实体上。对于公共电路来说,这些方法通常涉及多方计算,在这个过程中,多个参与者捐出自己的随机性,之后再将其销毁。有趣的是,只要有一个参与者是诚实的,并且销毁了他们的随机性,整个过程就会很安全。
使用MPC做可信设置的一些值得注意的例子仍旧是:ZCash。
1."TheCeremony"播客
https://www.wnycstudios.org/podcasts/radiolab/articles/ceremony
2.Tau的幂
https://z.cash.foundation/blog/powers-of-tau/
你可能会注意到这里冒出来的这个"Tau"...Tau的保密性非常重要。一旦Tau被证明人知道,就很容易伪造证明。
创建一个证明
让我们快速看一下BCTV14a中提出的建设。
这是一个数学问题,所以让我们挑出与本篇文章有关的细节部分:
1.Tau是在设置过程中随机抽取的有限场中的一个点,是"有废料"中的一部分。
2.在证明过程中,验证者会计算一些多项式--A(z),B(z)和C(z),它们来自约束系统和公共及私人输入的解决方案。本质上,这些多项式代表了"a*b=c"形式的约束,或者等同于"a*b-c=0"。
3.验证人还计算H(z)=(A(z)B(z)-C(z))/Z(z),其中Z(z)是一个公开的多项式,在代表约束系统的点上为零。请注意,由于A、B和C考虑了验证者的输入,只有当分子也在相同的点上归零时才能计算出H,证明验证者实际上知道问题的一个解决方案,即产生A*B-C=0。重要的部分现在发生了--验证者在不知道Tau的情况下,可以计算出在Tau处求值的"指数内"H(z)--H(Tau)。
我们为什么要这样做?因为通过在随机点Tau上求值,证明者有很高的概率表明方程H=(A*B-C)/Z对所有Z都成立。从同一问题的不同角度来看,在不知道Tau的情况下,证明者以高概率,将无法产生一个在该点得到完全相同的值的多项式。
我们如何在技术上做到这一点呢?有这样一个事实:设置过程的一部分产生了包含Tau所有相关幂的元素隐藏在指数中,以pk_Hi的形式给出。如果我们有H的系数,我们可以将这些结合起来并创建H。
更具体地说
验证者计算的H(z)
取自证明的钥匙,在设置过程中计算出来的
对H(Tau)进行“指数内”评估
验证者在收到证明后,可以再次在指数中检查验证者是否确实提供了满足H=(A*BC)/Z关系的H的系数,这只有在验证者确实知道一个解决方案时才能做到。
伪造证明
现在让我们做个假设,如果Tau被知道了会怎样?如果由于某种原因,它在设置过程中被暴露出来,并且被恶意验证者知道了。
显然,伪造一个证明是非常容易的。因为H=(A*B-C)/Z的等价检查是在特定的点Tau进行的,我们可以利用我们对Tau的了解来创建一个完全满足的多项式。也就是说,创建一个常数多项式H(z),它只是一直返回/Z(Tau)。
核查员的检查会通过,而且没有人知道。这听起来很难...
其实一点也不。我们非常欢迎你查看这段概念验证代码,它基于HowardWu的libsnarktutorial,自己看看对代码所做的修改。
1.该程序设置了一个用于比特分解的电路,尽管它是C。
2.设置过程恶意地将Tau保存到磁盘。
3.验证者从磁盘上加载Tau,并使用错误的输入进行证明。验证者知道Tau,生成常数多项式,不考虑输入。
然后验证者成功地验证了证明!
结论
我希望这篇文章提供了一些见解,让我们了解什么是大家一直在谈论的关于zkSNARKs的"有废物",以及为什么它的暴露会导致容易被攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。