了解零知识证明的读者,可能都拜读过V神的文章,整个系列由浅入深,很有条理,相对其他文章更容易理解一下。其实V神讲解的算法是PGHR13算法的整体步骤,此算法也被应用于知名项目Zcash中,现在,就让我们去一起探究,在实际项目中,PGHR13算法是具体的什么步骤呢?
在Zcash的Sapling版本升级之前,其采用的零知识证明算法的主体就是PGHR13,并因为效率和安全问题,做了一些改动。算法的具体内容如下图所示:
Public paraments : 素数r,阶为r椭圆曲线群G1,G2,用于非对称双线性配对;非对称双线性配对效率最高Key generator:主要生成CRS(pk,vk) a. 输入算术环路C,其中n为pub_input size,h为witness size,l为output size b. 向量A,B,C,元素为多项式,个数为m + 3个,m为算术环路wire的数量 c. Z为目标多项式 d. 向量A,B,C扩展到m+3的目的是为了保护多项式变量的取值τ e. τ,ρ等随机数都是私有数据,生成完CRS后,要销毁 f. τ是多项式的取值 g. α等主要用来保证多项式A/B/C的valid commitment h. β主要用来保证数据安全,使pkK独立于pkA,pkB,pkC I. γ主要用来保证A,B,C使用同一组系数Prove:生成证据π,7个群1的元素,1个群2的元素 a. s是系数向量,对应算术环路里每条wire所carry的值,元素个数和wire的数量一致 b. pkA和pk`A前n个置0的目的是为了防止明文攻击,通过改变公开的信息,导致证明的等式变化,但是验证也能通过。通俗的讲,就是本来你证明的是x^3 +x +5 = 35,攻击者可以通过修改public input的值,使得证明的等式变成x^3 +x +6 = 36,验证同样会通过 c. δ等值和(2.d)结合,保证τ的安全性 d. c向量,多项式的组合系数向量Verify:证明证据π成立 a. 计算vkx,保证公开信息没有被篡改 b. 校验A,B,C知识承诺的有效性,即A, B, C 是多项式的组合形式,采用d-KCA算法 c. 校验A,B,C使用的是同一组系数,类似于乘法分配律,等式左边是A,B,C单个元素累加再线性组合的结果,右边是A,B,C先线性组合再累加的结果,如相等,在系数相同。 d. 校验等式是否成立。 为了清晰的看到以上几个步骤,向量里元素的变化情况,本人总结了一张图,具体如下图所示: