PRO:如何将交互式证明改造为非交互式？-ODAILY

原文作者：康水跃，FoxTechCEO；孟铉济，FoxTech首席科学家

前言

密码学当中的零知识证明技术在web3世界有着广泛的应用，包括进行隐私计算、zkRollup等等。其中Layer2项目FOX所使用的FOAKS就是一个零知识证明算法。在上述的一系列应用当中，对于零知识证明算法而言，有两方面属性极为重要，那就是算法的效率以及交互性。

算法效率的重要性不言而喻，高效的算法可以明显的降低系统运行时间，从而降低客户端延迟，显著的提高用户体验和效率，这也是FOAKS致力于实现线性证明时间的一个重要原因。

另一方面，从密码学的角度来讲，零知识证明系统的设计往往依赖证明者和验证者的多轮交互。例如在许多介绍零知识证明的科普文章当中都会使用的“零知识洞穴”的故事当中，证明的实现就依赖于阿里巴巴和记者多轮的信息传递交互才能实现。但是事实上，在许多应用场景当中，依赖交互会使得系统不再可用，或者极高的增加延迟。就像在zkRollup系统当中，我们期望证明者能够在本地，不依赖于和验证者交互的情况下就计算出正确的证明值。

从这个角度说，如何将交互式的零知识证明协议改造为非交互式，就是一个很有意义的问题。在这篇文章当中，我们将介绍FOX使用经典的Fiat-Shamir启发式来生成Brakedown中的挑战从而实现非交互式协议的过程。

Robinhood因未恰当披露如何应对高频交易机构而遭到调查:金色财经报道，股票与加密货币投资平台Robinhood因未能恰当地披露如何将客户订单发送给高频交易机构而受到民事欺诈调查。根据报告，这项由美国证券交易委员会（SEC）进行的调查已进入“高级阶段”，可能导致其遭到1000万美元的罚款。[2020/9/3]

零知识证明中的Challenge

零知识证明算法随着应用的铺开而变得异常火爆，近些年也诞生了包括FOAKS、Orion、zk-stark等在内的各种算法。这些算法，以及密码学界早期的sigma协议等的核心证明逻辑都是证明者先将某个值发送给验证者，验证者通过本地随机数产生一个挑战，将这个随机产生的挑战值发给证明者，证明者需要真的有知识才能以大概率做出通过验证者的响应。例如在零知识洞穴当中，记者抛一个硬币，告诉阿里巴巴从左侧出来还是从右侧出来，这里的“左和右”就是对阿里巴巴的挑战，他如果真的知道咒语，就一定可以从要求的方向走出来，否则就有一半的概率失败。

这里我们注意到，Challenge的生成是一个很关键的步骤，它有两个要求，随机和不可被证明者预测。第一点，随机性保证了它的概率属性。第二点，如果证明者可以预测挑战值那就意味着协议的安全性被破坏了，证明者没有知识也可以通过验证，可以继续类比，阿里巴巴如果能预测记者要求他从哪边出来，他即使没有咒语也可以提前进入那一边，结果表现出来一样可以通过协议。

赵锡军：央行数字货币重点在于如何与传统货币进行融合:对于“数字货币研发重点和难点”的看法，中国人民大学财政金融学院副院长赵锡军指出，其中涉及两个问题。一是技术是否成熟。比特币实际上就是数字货币最初的雏形，从技术层面来讲，比特币是有一些缺陷的，一旦支付量变大，就会出现支付困难或者效率下降。另外，比特币出现过被盗等安全问题。而据央行货币研究所所长穆长春的一个内部研讨会指出，央行数字货币，效率是非常高的，支付能力很强，说明已经克服技术方面的问题。二是数字货币被引入后，如何与传统的货币和货币管理运行体系进行融合。数字货币的发行，是基于区块链的基础，它是有上限的，从目前来讲它的发行规模取决于互联网的算力。尽管穆长春所长也提到，央行数字货币现在可以突破区块链的上限限制，但是破获以后，它的发行究竟是怎么样的，是否能够跟我们目前的人民币发行顺利融合，这需要在制度层面有所安排。（澎湃新闻）[2020/4/22]

所以我们需要一种办法，能够让证明者自己本地生成这样一个不可预测的随机数，同时还能够被验证者验证，这样就可以实现非交互式的协议。

哈希函数

哈希函数的名字对我们来说或许并不陌生，无论是在比特币的共识协议POW当中担任挖矿的数学难题，还是压缩数据量，构造消息验证码等等，都有哈希函数的身影。而在上述不同的协议当中，其实是运用了哈希函数的各种不同性质。

币情观察室 | 我是如何在18年4月带群友赚到上千万:4月15日19:00，行情大V 贝吉塔做客《币情观察室》直播间，将分享《我是如何在18年4月带群友赚到上千万》敬请关注，欲观看直播扫描下图二维码即可！[2020/4/15]

具体来讲，安全的哈希函数的性质包括以下几点：

压缩性：确定的哈希函数可以将任意长度的消息压缩成为固定长度。

有效性：给定输入x，计算输出h是容易的。

抗碰撞性：给定一个输入x1，希望找到另一个输入x2，x1x2，h=h，是困难的。

注意，如果哈希函数满足抗碰撞性，那么必然满足单向性，也就是说给定一个输出y，要找出x满足h=y是困难的。在密码学当中，还不能构造出理论上绝对满足单向性的函数，但是哈希函数在实际应用当中可以基本视作单向函数。

这样一来，可以发现上述的几种应用分别对应于哈希函数的几点不同的性质，同时我们说，哈希函数还有一个很重要的作用是提供随机性，虽然密码学理论当中要求的完美的随机数生成器目前也无法构造，但是哈希函数在实际当中同样可以充当这个角色，这就为我们后文介绍的Fiat-Shamir启发式的技巧提供了基础。

Fiat-Shamir启发式

动态 | 各国代表在FATF开会讨论如何监管虚拟资产和虚拟资产服务提供商:金色财经报道，据FATF官网消息，1月9日，各国主管开会讨论了如何监督和管理虚拟资产和虚拟资产服务提供商（VASP）。自金融行动特别工作组（FATF）在2019年6月敲定这些新措施以来，这次会议是主管们首次有机会讨论如何实施这些新措施。 论坛讨论了三个主要领域：1.迄今为止，从那些已经建立VASP监督制度并已经开始监督VASP的国家吸取的经验教训。2.起草VASP法律法规时的常见问题。3.管理者有效监管VASP所需的工具、技能、程序和技术。这次会议确定了需要采取进一步行动的若干领域。这些问题将在FATF全体会议和将于2020年5月举行的监督机构论坛的会议上进一步讨论。据此前报道，2019年6月22日，FATF官网发布《基于风险的角度：监管数字资产和数字资产服务商的章程指南》，该指南将帮助各国和虚拟资产服务提供商了解其反和反恐融资义务，并有效实施FATF适用于该行业的要求。[2020/1/11]

事实上，Fiat-Shamir启发式就是利用哈希函数来对前面生成的脚本进行哈希运算，从而得到一个值，用这个值来充当挑战值。

因为将哈希函数H视作一个随机函数，挑战是均匀随机的被选择，独立于证明者的公开信息和承诺的。安全分析认为Alice不能预测H的输出，只能将其当作一个oracle。在这种情况下，Alice在不遵循协议的情况下做出正确响应的概率(特别是当她不知道必要的秘密时)与H的值域的大小成反比。

动态 | Poloniex回应CLAM“闪崩事件”：无论如何损失将得到解决:Poloniex在推特发布了对于CLAM事件更新:“毫无疑问，我们致力于让受影响的债权人成为一个整体，无论遇到什么样的困境。我们正在努力实现这一目标，包括(但不限于)收回违约借款人欠贷款人的债务。无论如何，损失将得到解决。”据金色财经此前报道，用户考虑起诉Poloniex，指责其处理加密货币CLAM闪崩亏损之举为盗窃。[2019/6/8]

图1:利用Fiat-ShamirHeuristic实现非交互式证明

非交互式FOAKS

在本节，我们具体展示Fiat-Shamir启发式在FOAKS协议当中的应用，主要是用来产生Brakedown部分的挑战，从而实现非交互式的FOAKS。

首先我们看到，在Brakedown生成证明的步骤当中，需要挑战的步骤是“近似性检验”以及MerkleTree的证明部分。对于第一点原本的过程是证明者在这里需要验证者产生的一个随机向量，计算过程如下图所示：

图2:非交互证明FOAKS中的BrakedownChecks

现在我们使用哈希函数，让证明者自己产生这个随机向量。

令γ0=H(C1,R,r0,r1)，对应的，在验证者的验证计算当中，也需要增加这个计算出γ0的步骤。根据这样的构造，可以发现，在生成承诺之前，证明者并不能提前预测挑战值，于是不能提前根据挑战值来对应的“作弊”，也就是对应的生成假的承诺值，同时，根据哈希函数输出的随机性，这个挑战值也满足随机性。

对于第二点，令?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)。

我们使用伪代码给出改造后非交互式的Brakedown多项式承诺当中的证明和验证函数，这也是FOAKS系统当中使用的函数。

functionPC.Commit(?)：

Parsewasak×kmatrix.TheproverlocallycomputesthetensorcodeencodingC1，C2，C1isak×nmatrix，C2isan×nmatrix.

fori∈do

ComputetheMerkletreerootRoott=Merkle.Commit(C2)

ComputeaMerkletreerootR=Merkle.Commit(),andoutputRasthecommitment.

functionPC.Prover(?,X,R)

Theprovergeneratesarandomvectorγ0∈Fkbycomputing:γ0=H(C1,R,r0,r1)

Proximity:

Consistency:

Proversendsc1,y1,cγ0,yγ0totheverifier.

Provercomputesavector?aschallenge,inwhich?=H(C1,R,r0,r1,c1,y1,cγ0,yγ0)

foridx∈?do

ProversendsC1andtheMerkletreeproofofRootidxforC2underRtoverifier

functionPC.VERIFY_EVAL(ΠX,X,y=?(X),R)

Proximity:?idx∈?,Cγ0==<γ0,C1>andEc(yγ0)==Cγ0

Consistency:?idx∈?,C1==<γ0,C1>andEc(y1)==C1

y==<r1,y1>

?idx∈?,Ec(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.

Outputacceptifallconditionsaboveholds.Otherwiseoutputreject.

结语

许多的零知识证明算法在设计之初都依赖证明者和验证者双方的交互，但是这种交互式证明协议不适合用在追求高效，网络通讯开销大的应用场景下，比如链上数据隐私保护和zkRollup等等。通过Fiat-Shamir启发式，可以在不破坏协议安全性的条件下让证明者本地生成随机数“挑战”，并且可以被证明者验证。根据这种方法，FOAKS同样实现了非交互式的证明，并应用在系统当中。

参考文献

1.Fiat,Amos;Shamir,Adi(1987)."HowToProveYourself:PracticalSolutionstoIdentificationandSignatureProblems".AdvancesinCryptology—CRYPTO'86.LectureNotesinComputerScience.SpringerBerlinHeidelberg.263:186–194.doi:10.1007/3-540-47721-7_12.ISBN978-3-540-18047-0.

2.https://www.cnblogs.com/zhuowangy2k/p/12246575.html

标签：PROCOMVERPUTPRO币compound币最新消息CryptoVerificationCoinPUT币

ICP热门资讯