BulletProofs 详解
- RareSkills
- 发布于 2024-10-26 11:37
- 阅读 907
该文章深入探讨了Zero Knowledge Bulletproofs的概念,详细介绍了其原理、实现及应用。文章结构清晰,搭配丰富的数学公式和代码块,适合希望了解零知识证明的开发者和研究者。
ZK Bulletproofs 简介
Bulletproofs 是一种零知识内积论证,它使证明者能够说服验证者他们正确计算了内积。也就是说,证明者有两个向量 $\mathbf{a} = [a_1, a_2, \dots, a_n]$ 和 $\mathbf{b} = [b_1, b_2, \dots, b_n]$,并且他们计算了 $v = \langle\mathbf{a},\mathbf{b}\rangle=a_1b_1+a_2b_2 + \dots +a_nb_n$。证明者可以选择隐藏或揭示向量或内积结果,但仍然能说服验证者他们诚实地进行了计算。
验证者不会接收到向量 $\mathbf{a}$、$\mathbf{b}$ 和标量 $v$,而是接收到这些值的承诺。粗略地说,可以认为验证者接收到一个“哈希” $h$,其中 $h = \mathsf{hash}([a_1, a_2, \dots, a_n],[b_1, b_2, \dots, b_n],v)$,然后接收一个证明(我们称之为 $\pi$),证明该哈希实际上包含两个向量及其内积。换句话说,验证者接收到 $(h, \pi)$,并确信证明者在哈希值上正确执行了内积操作——但无法了解哈希的“内容”。
在执行 Bulletproof 的验证部分时,验证者将重建哈希,从而确信证明者如声称的那样计算了内积。
当然,在不了解输入的情况下不可能重建传统的哈希,因此 Bulletproofs 使用了一种称为“Pedersen 承诺”的特殊哈希,这是本教程第一章的主题。Pedersen 承诺是一种基于椭圆曲线的特殊“哈希”;Pedersen 承诺可以在不了解原始输入的情况下重建。
一些工程师将以 $a_1b_1+a_2b_2 + \dots +a_nb_n$ 的方式组合向量的操作称为“点积”。从技术上讲,点积是指在笛卡尔平面上对向量进行的操作,而内积则是指对任意向量进行的操作。因此,我们将此操作称为内积。我们使用粗体字母如 $\mathbf{a}$ 表示向量,小写字母如 $v$ 表示有限域元素(大致上,模算术中的“标量”),并使用尖括号 $\langle\mathbf{a},\mathbf{b}\rangle$ 表示两个向量的内积,其结果始终是有限域元素。
为了证明零知识,证明者通常需要展示他们知道一个满足电路约束的算术电路的赋值(证人)。然而,SNARKs,尤其是 [Groth16](https://learnblockchain.cn/a...
