全部 通识 以太坊 比特币 Solana 公链 Solidity Web3应用 编程语言 安全 密码学 AI 存储 其他

STARKs工作原理(五) - STARKs证明的折叠过程,FRI协议的核心

STARKs证明的第五部分介绍证明的折叠过程:通过数学压缩(类似FFT)将长序列反复折叠为更短序列,同时验证证明有效性。折叠后,有效证明的最终数字全部相等,而恶意Prover无法伪造一致结果,从而暴露错误。该过程是FRI协议的核心,能大幅缩小证明尺寸。
STARKs  证明折叠  FRI  多项式  零知识证明  验证 

STARKs工作原理(第四部分)

本文继续解释STARK证明的工作原理。在前几步(注册交易步骤、扩展数据放大错误)之后,本文讨论对扩展后的数据(检查数字)施加更多约束。通过数学检查,如总和约束,可以验证大量交易的整体一致性。如果存在任何错误,错误会通过检查数字的约束传播并放大,使作弊者难以修改所有相关数据来保持一致。文章还提到了Reed-Solomon纠错码和信息论的应用。
STARK证明  检查数字  约束  Reed-Solomon码  信息论  错误放大 

面向去信任代理的匿名凭证(ACTA):隐私

ACTA 为 ERC-8004 链上代理经济提供隐私层,使用匿名凭证让代理在不泄露交互图的情况下证明资质、声誉和合规性。文章介绍了 ACTA 的组件(凭证锚定、策略注册、谓词验证、无效器注册、ZK 声誉累积器)、协议流程、七个链上用例如 DeFi 代理委托、抗审查声誉、人证凭证等,并讨论了匿名集大小、委托授权、发行者中心化等开放问题。目标是成为 ERC-8004 的可组合扩展,推动隐私保护的代理经济。
匿名凭证  零知识证明  ERC-8004  代理经济  隐私保护  去中心化金融 

STARK工作原理(三):数据扩展与错误放大

本文是STARK证明系列第三部分,介绍了在生成证明时如何通过扩展数据和放大错误来确保交易执行步骤的有效性。通过类比校验数字(如ISBN)的方法,解释了如何添加多种检查模式(如总和、间隔和、奇偶和等)来暴露违规步骤。这种方法使错误更易被检测,为下一阶段的数学验证奠定基础。
STARK证明  错误放大  校验数字  数据扩展  零知识证明  错误纠正码 

Funbenius 的幂次

本文分析了一个在 Rust 实现的 Limbo 零知识证明协议中的单字符 bug:代码中本应计算多项式 f(r) = Σ e_i·r^i,但由于将 r *= challenge 误写为 r *= r,导致实际计算的是 Σ e_i·r^{2^i}。
bug分析  Frobenius自同态  二进制域  MPC-in-the-Head  零知识证明  安全漏洞 

手动计算INTT算法

本文详细讲解了逆数论变换(INTT)的手工计算方法。通过将多项式插值重新解释为对另一个多项式的评估,利用快速算法(类似NTT)避免矩阵乘法,将时间复杂度从O(k²)降至O(k log k)。文章以4阶多项式为例,展示了如何通过分组奇偶项和利用单位根性质进行递归计算,并验证了与范德蒙矩阵方法的一致性。最后推广至任意2的幂次阶多项式。
逆数论变换  数论变换  插值  评估  快速算法  有限域 

Poseidon1 证明详解

本文详细解释了Poseidon arity-1 (t=2) 哈希函数在BN254曲线上的soundness和completeness形式化证明。
Poseidon哈希  bn254  形式化验证  Lean  Soundness  Completeness 

在Clean中验证Poseidon:为何最后的'sorry'是关于素性证明

本文介绍了使用Lean形式化验证工具对Circomlib中优化的Poseidon哈希函数(arity 1)进行正确性证明的过程。
Poseidon哈希  Lean证明  形式化验证  circom  bn254  素性证明 

证明范德蒙德矩阵的逆是另一个范德蒙德矩阵

本文证明了一个关键性质:对于由本原k次单位根ω生成的范德蒙德矩阵V(ω),其逆矩阵是1/k乘以另一个范德蒙德矩阵V(ω⁻¹)。通过两种方式证明:1) 直接矩阵乘法,利用单位根的正交性得到单位矩阵;2) 通过系数向量与多项式求值的变换,验证两次变换后恢复原系数。该性质是数论变换(NTT)逆变换的基础。
范德蒙德矩阵  逆矩阵  单位根  数论变换  正交性  Kronecker delta 

VEIL:为基于哈希的证明系统添加零知识属性

VEIL是一种编译器,为基于哈希的证明系统添加零知识属性,仅增加约3%的证明者时间、22%的验证者时间和12%的证明大小。它通过解耦哈希操作与代数运算,对哈希部分进行轻量级盲化,并用内部零知识证明保护小规模代数交互,避免了完整证明系统重写或昂贵的封装方法。VEIL完全基于哈希,使得结果协议在底层系统后量子安全的前提下具备后量子安全性。文章以SP1为例,展示了VEIL如何替代现有的Groth16封装,消除椭圆曲线依赖,推动证明系统迈向完全后量子安全。
零知识证明  基于哈希的证明系统  后量子安全  VEIL编译器  SP1  简洁性 

PACTs:保护你的比特币免受量子日落威胁

本文探讨了量子计算机对比特币的潜在威胁,特别是对暴露公钥地址的数百亿美元比特币的威胁。作者提出了一种名为PACT(可证明地址控制时间戳)的协议,允许比特币持有者在不公开移动币的情况下,通过时间戳证明他们在量子计算机能够破解之前就已拥有私钥。该协议利用OpenTimestamps和零知识证明,使得未来协议升级后可以安全地转移这些币,而不需要在链上公开行动。文章分析了PACT的实现步骤、优点和风险,并强调了它为长期持有者(包括中本聪)提供了一种保护隐私和资产安全的路径。
量子计算  比特币  PACT  零知识证明  OpenTimestamps  地址控制证明 

直观理解Groth16

本文以直观的方式解释了Groth16零知识证明系统的工作原理。
Groth16  零知识证明  R1CS  QAP  双线性配对  可信设置 

在Plonky3中构建默克尔树AIR脚本的教程 - HashCloak

本文是一篇关于在Plonky3框架中构建Merkle树AIR脚本的教程。作者首先介绍了Merkle树的基本概念和验证过程,然后详细讲解了如何定义AIR脚本的内存布局、约束条件(如哈希输入顺序、布尔标志、根匹配等),并通过SubAirBuilder集成Poseidon2哈希AIR。最后展示了如何生成证明迹并配置ZK系统。文章包含清晰的代码示例和图表,适合对零知识证明和STARK有基础了解的开发者。
默克尔树  AIR  Plonky3  Poseidon2  零知识证明  约束 

使用NTT友好环的LaBRADOR实现存在可靠性缺陷

本文分析了LaBRADOR后量子证明系统的多种实现中,因环参数选择不当导致的可靠性漏洞。
LaBRADOR  后量子密码  格密码  零知识证明  环签名  声音性漏洞 

软件开发的最终形态

本文提出了一种软件开发的新范式:使用AI代理直接编写RISC-V汇编代码,并在Lean证明助手中进行形式化验证,确保zkVM的guest程序无bug。作者认为,由于RISC-V汇编易于推理,且AI代理能自动编写代码和证明,这种方法比使用Rust、C等高级语言更可靠,避免了编译器优化带来的不确定性和未定义行为。文章比较了CompCert、CakeML、Rust等方案,并指出汇编+Lean是范畴论意义上的最终形式。
RISC-V  Lean  zkVM  形式化验证  汇编代码  AI代理 

逆数论变换

本文是《零知识书》中关于逆数论变换(INTT)的章节,详细解释了如何将多项式从点值形式(单位根上的求值)转换回系数形式(插值)。通过Vandermonde矩阵和其逆矩阵的乘法进行推导,以四次单位根为例,验证了逆矩阵的正确性,并推广到一般k次单位根的情形。
逆数论变换  插值  Vandermonde矩阵  单位根  快速傅里叶变换  零知识证明 

区块链量子风险实用指南

文章深入探讨了量子计算对当前区块链加密体系(如ECDSA)的威胁。核心风险在于“现在收集,以后解密”(HNDL),即攻击者可先存储公开的公钥数据,待量子计算机成熟后破解。研究显示,破解256位椭圆曲线所需的量子资源正在减少,且顶级智能合约的管理员权限也面临风险。目前NIST已发布ML-KEM等后量子加密(PQC)标准,比特币和以太坊正推进迁移方案。作者建议开发者应尽早进行加密资产普查,减少公钥暴露,并测试混合加密方案以应对长期的量子挑战。
量子计算  后量子加密  Shor算法  ECDSA  NIST标准  HNDL威胁 

KalmarCTF 2026 密码学题解

文章复盘了 KalmarCTF 2026 两道高难密码学题。第一题利用 SageMath 在扩域上生成随机矩阵时对 Mersenne Twister 的调用方式,结合拒绝采样与 MT 内部递推关系,构造仅依赖偶数偏移输出的三元关系,逐步恢复 PRNG 状态。第二题基于短位数 RSA 模数与 LCG 更新指数,先因式分解模数,再按分支将高次稀疏指数方程转化为低度代数系统,借助 LLL 寻找指数模 p-1 的短关系,并用结果式消元得到关于明文的单变量多项式,从而恢复消息。
Mersenne Twister  拒绝采样  SageMath  LLL算法  结果式  线性同余发生器 

ZK编年史:内积论证

本文介绍了内积论证(IPA)这一类证明系统的核心思想:把向量内积关系作为可验证陈述,通过递归“折叠”将大规模问题逐步缩小到可直接检查的单元素验证。文章先解释内积与多项式求值的等价关系,再以 Bulletproofs 为例说明如何在无需可信设置的前提下,用公开挑战和交叉项构造对数规模证明;随后对比 Dory,展示其基于配对的内积/内配对积思路,以及通过对“承诺的承诺”进行预处理来同步折叠的方式。整体强调了 IPA 作为证明系统设计模式的价值,并为后续零知识性质讨论做铺垫。
内积论证  Bulletproofs  Dory  多项式承诺  配对  递归折叠 

金融上链:为什么抗威胁隐私是持续增长之路

文章探讨了链上金融发展的核心瓶颈——隐私问题。作者指出,完全透明阻碍了企业入场,而绝对隐私则会助长犯罪。为此,作者提出了“抗威胁隐私”概念,即在保障日常交易隐私的同时,通过密码学手段保留对异常事件的可审计性。文章分析了隐私、可用性与抗威胁性之间的三难困境,并介绍了 Inco 和 Miden 等新兴隐私基础设施。最后强调,利用零知识证明实现“基于证明的合规”是未来监管与技术融合的关键路径,社会共识的达成将决定链上金融能否真正取代传统体系。
链上金融  抗威胁隐私  隐私三难困境  零知识证明  可审计性  合规性 
  • Wei Dai
  • 发布于 2026-04-22
  • 阅读 ( 183 )
  • ( 9 )