ROO:ZKSwap团队解读零知识证明算法之Bulletproofs：Range Proof（1）

前言

Bulletproofs，又一个有意思的零知识证明算法，相信读者已经很熟悉它了。和zk-snark相比，它不需要可信设置；和zk-stark算法相比，它具有较小的proofsize。根据论文，它有两个方面的应用：

用于rangeproof；用于一般算术电路的零知识证明。下面，让我们先看一下Bulletproofs是如何高效的实现第一点。Rangeproof

1.预备知识

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量内积∑ai*bi，结果是一个值

aob：向量对应位相乘，{a1*b1……anbn}，结果是一个向量

数据：Uniswap占DEX市场64.6%的份额:金色财经报道，coingecko发布研究表明，Uniswap是最大的去中心化加密货币交易所（DEX），占据DEX市场64.6%的份额。2023年6月，其交易量降至295亿美元，环比下降-10.5%，而2023年5月则为329亿美元。Curve是第二大DEX，拥有11.5%的市场份额，2023年6月现货交易量为52亿美元。环比增长73.9%。

PancakeSwap和Dodo分别创下30亿美元的记录，位列第三和第四最大的DEX，分别占据9.5%和7.2%的市场份额。2023年6月，它们的现货交易量分别为43亿美元和33亿美元，环比增长-29.2%和63.3%，而5月分别录得61亿美元和20亿美元。[2023/8/13 16:23:42]

2.证明

Fireblocks与Capital Trust Group合作发行数字债券:金色财经报道，加密托管技术提供商Fireblocks与Capital Trust Group合作，帮助后者称为新西兰第一家在公共区块链平台 Polygon 上以证券代币形式推出数字债券的投资管理公司。该数字债券名为“Private Jet Residence Securities Token（PJST）”，主要用于支持超豪华私人飞机和高尔夫球场项目，Fireblocks在该项目中主要负责安全铸造、销毁、自我托管并将债券分发给投资者，一旦投资者完成购买，债券的所有权将记录在区块链上。此外，Capital Trust Group还宣布与Power-All Networks Ltd. (PAN)达成合作，旨在将实物资产数字化并为传统业务带来创新。（digitaljournal）[2023/2/12 12:02:24]

Alice想要证明?v??=>则，需要证明一个relation得成立，如下所示：

比特币MVRV Z-Score上升至7个月的高点:金色财经报道，Glassnode发推称，比特币MVRV Z-Score（标准分数）急剧上升至0.239，刚刚达到7个月的高点。[2023/1/22 11:25:18]

{：V=?grhv?^v??}

public-xwitness-wrelation-R

即，对于公开信息x，Alice有隐私信息w，使得关系R成立。

令aL为金额v的在范围内的二进制形式，则aL={a1、a2……an}?{0,1}n，且满足<aL,2n?>=v。因此，证明者需要证明以下几个等式相等：

等式(1)确保了承诺V和金额v的绑定关系，等式(2)确保了v的范围，等式(3)、(4)确保了aL?元素只属于{0,1}。等式(2)/(3)/(4)总共包含了2n+1个约束，其中公式(2)1个，公式(3)(4)各n个。接下来，为了效率，我们需要把2n+1个约束转换成1个约束。

虽然整体NFT交易和买家都在下降，但上周NFT销售额小幅增涨:金色财经报道，上周NFT销售额比前一周增长1.9%，7天内NFT销售额达到8500万美元。然而，NFT买家数量下滑12.63%，NFT交易数量在2022年10月23日下降了19.19%。[2022/10/24 16:36:39]

3.2n+1个约束转换成1个约束

=>预备：从Zp?中任意选择一个数y，则b=0n是等式<b,yn>=0成立的充分条件；因为当b!=0n，等式成立的概率仅有n/p，p是有限域，远大于n。因此，如果有<b,yn>=0，那么验证者愿意相信b!=0n?。

利用这个理论，我们把等式(2)/(3)/(4)做以下转换：

验证者随机选取一个数y发送给证明者证明者要证明：

同理，等式(5)确保了v的范围，等式(6)(7)确保了aL?元素只属于{0,1}。此时2n+1个约束转换成3个约束，接下来，还需要做进一步的处理：

验证者随机选取一个数z发送给证明者证明者利用z对公式(5)(6)(7)进行线性组合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我们已经把2n+1个约束转换成1个约束。下面我们对公式(8)做进一步的优化，把三个点积优化成1个点积。

4.三个点积优化成1个点积

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.验证：

证明者把L/R/V发送给验证者；验证者事先算好δ验证者根据L算出来aL，根据<aL,2n?>=v算出v验证者根据L、R、v、δ验证等式<L,R>=z2?*v+δ因为y，z都是验证者提供，因此如果验证者如果能验证公式(9)成立，则相信等式(5)(6)(7)成立，则相信等式(2)(3)(4)成立，则相信v满足关系v?。

但是，可以看到上述过程，泄露了v的信息，因此需要一个零知识证明协议。

6.一个零知识证明协议

由于L、R包含了v的相关信息，因此，我们需要添加两个盲因子sL、sR来隐藏aL，aR。如公式(10)(11)所示：

此时，定义公式(12)

可以看出系数t0是l(x)和r(x)常数项的乘积，即满足：

t0?=<L,R>=z2*v+δ

因此，问题由证明：

<L,R>=z2*v+δ

转化成了，在任意一点x，验证者验证多项式值l(x),r(x),t(x)满足关系：

<l(x),r(x)>=t(x)

多项式值l(x),r(x),t(x)由证明者提供，为了保证l(x)，r(x)well-formed，即：

需要校验：

=>当且仅当l/rwell-formed，等式成立

为了保证t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校验：

=>?当且仅当t和τx?welle-formed，等式成立

具体的协议流程图如下图所示：

总结

从上述流程可以看出，一次rangeproof，证明者需要发送总共**{l/r/t/τx?/μ/T1?/T2/A/S}**个元素给验证者，总共2n+3个Zp元素，4个G元素。下一篇文章将细讲，Bulletproofs如何将交互复杂度降低到对数级O(log(n))。

附录

Bulletproofs论文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

标签：ROOProofPRONFTROOK币Proof Of DegenCBase ProtocolNFTFundArt

POL币最新价格热门资讯