OKU:零知识证明： Plookup算法介绍

最近有空看了看Plookup的论文。针对对电路描述不友好的操作（比如bit操作），Plookup给出了新的思路和证明方式。给定某个操作的真值表示（lookup table），证明某个操作的输入/输出是在真值表中。这种方式，相对之前的bit计算约束方式，降低约束的个数，提高了电路效率。

Plookup的论文下载地址如下：

https://eprint.iacr.org/2020/315.pdf

基本思想

Plookup尝试解决的问题是，给定两个集合，证明某个集合的元素在另外一个集合中。给定两个集合t和f，s是f排序后的结果。如果t中的元素最少在f中出现过一次。判别f中的元素是否包括在t中，只需要比较元素差的集合：

数据：过去一周零知识区块链上的交易量和投资者存款激增:5月24日消息，DeFi用户正涌向使用“零知识证明”的基于以太坊的区块链，DefiLlama数据显示，zkSync Era、Starknet和Polygon zkEVM的活动在过去一周大幅飙升，这些链上去中心化交易所交易量过去一周分别增长了88%、48%和230%，总锁定价值(Total Value Locked，简称TVL) 过去一周增长分别增长了13%、16%和219%。[2023/5/24 15:22:47]

Aztec Network推出零知识证明语言Noir:10月8日消息，基于ZK Rollup的隐私和扩容解决方案Aztec Network宣布推出零知识证明语言Noir。Noir是一种基于Rust的领域特定语言（DSL），用于创建和验证零知识证明。同时，Aztec Network还发布两个新的Typescript库，分别为NoirJS（可以在浏览器中编译Noir电路）和Barretenberg.js（可以在浏览器中证明和验证这些电路）。[2022/10/8 12:49:18]

举个例子，t是{1，4，8}的集合，元素的差异集合为{3, 4}，分别是4-1，8-4。如果s只有t中的元素组成，并且每个元素最少出现一次，例如{1，1，4，8，8，8}，元素的差异集合也为{3，4}。如果s中的元素并不完全是t中的元素，那即使在元素差异集合一样的情况下，也不能说明s中元素在t的集合中。例如s为{1，5，5，5，8，8}，元素的差异集合也为{3，4}，分别是8-5，5-1。

动态 | 全新零知识证明论文被IEEE学术会议收录 或能抵抗量子计算机:由四位研究人员共同发表的论文透明多项式委托及其在零知识证明中的应用被第 41 届电气电子工程师学会安全隐私学术会议（IEEE S&P 2020）接受，其作者之一的Yupeng Zhang在推特上公开了该消息，他来自于德克萨斯州农工大学，另外三名作者来自于加州大学伯克利分校，分别是Jiaheng Zhang、Tiancheng Xie和Dawn Song （宋晓冬），宋晓冬教授也是区块链隐私计算平台Oasis Labs的创始人。据Yupeng Zhang介绍，该论文提出了一个全新且透明的零知识证明机制，可以提供非常快的验证时间，也不需要可信设置（trusted setup）。论文中介绍到，该零知识证明机制仅使用了轻量级的加密算法比如抗碰撞的哈希函数，所以也可能是量子安全的。[2019/12/26]

论文提出，可以引入一个随机因子，将前后两个元素相加的方法，确定两个集合的依赖关系。

定义多项式

在基本思想的基础上，论文在第三章定义了两个多项式F和G：

如果F和G相互对等，有且如下的条件成立：

f集合属于t

s是(f，t)的并集，并且按照t中的元素排序

如果条件成立，可以推导出两个多项式相等。F多项式可以看成是两部分组成，分别是两个连乘。后面的连乘可以看成是t中的元素连乘。前面的连乘，可以看成是f中元素的连乘。因为f中的元素属于t，则f中的元素的连乘，可以想象成多个相同元素的连乘。反之，因为beta和gamma的随机因子，也能从F和G对等条件推出满足的两个条件。具体的证明过程，可以查看论文的第三章。

在定义多项式的基础上，问题可以转化成两个多项式相等。

Plookup协议

已知f和t，可以排序得到s。因为s由f和t合并而成，s可以由两个函数h1和h2表示。关键在于第4步，定义了Z函数：

Z(g) = 1 - 初始为1

Z(x) 是两种多项式表示的商

Z(g^(n+1)) = 1 - n+1元素的连乘，两种多项式表达式相等

验证者，除了查看Z函数外，额外还要查看h1/h2连续性。

论文进一步将协议推广到更通用的情况，并给出了t中元素是连续情况下的优化协议。感兴趣的小伙伴可以自行查看。

Plookup提出了一种明确输入/输出的情况下，如何证明某个函数的运算正确的协议。输入输出定义成lookup表，计算的输入/结果只要在该lookup表中即表示运算正确。和Plonk采用同样的思路，Plookup定义了问题的多项式表示，证明了Z函数的递归表示和边界。

标签：OKULOOKPLOENGDaikokuten Samalooks币值得买吗PloutozPenguin Finance

芝麻开门交易所下载热门资讯