BulletProofs 详解

ZK Bulletproofs 简介

Bulletproofs 是一种零知识内积论证，它使证明者能够说服验证者他们正确计算了内积。也就是说，证明者有两个向量 $\mathbf{a} = [a_1, a_2, \dots, a_n]$ 和 $\mathbf{b} = [b_1, b_2, \dots, b_n]$，并且他们计算了 $v = \langle\mathbf{a},\mathbf{b}\rangle=a_1b_1+a_2b_2 + \dots +a_nb_n$。证明者可以选择隐藏或揭示向量或内积结果，但仍然能说服验证者他们诚实地进行了计算。

验证者不会接收到向量 $\mathbf{a}$、$\mathbf{b}$ 和标量 $v$，而是接收到这些值的承诺。粗略地说，可以认为验证者接收到一个“哈希” $h$，其中 $h = \mathsf{hash}([a_1, a_2, \dots, a_n],[b_1, b_2, \dots, b_n],v)$，然后接收一个证明（我们称之为 $\pi$），证明该哈希实际上包含两个向量及其内积。换句话说，验证者接收到 $(h, \pi)$，并确信证明者在哈希值上正确执行了内积操作——但无法了解哈希的“内容”。

在执行 Bulletproof 的验证部分时，验证者将重建哈希，从而确信证明者如声称的那样计算了内积。

当然，在不了解输入的情况下不可能重建传统的哈希，因此 Bulletproofs 使用了一种称为“Pedersen 承诺”的特殊哈希，这是本教程第一章的主题。Pedersen 承诺是一种基于椭圆曲线的特殊“哈希”；Pedersen 承诺可以在不了解原始输入的情况下重建。

一些工程师将以 $a_1b_1+a_2b_2 + \dots +a_nb_n$ 的方式组合向量的操作称为“点积”。从技术上讲，点积是指在笛卡尔平面上对向量进行的操作，而内积则是指对任意向量进行的操作。因此，我们将此操作称为内积。我们使用粗体字母如 $\mathbf{a}$ 表示向量，小写字母如 $v$ 表示有限域元素（大致上，模算术中的“标量”），并使用尖括号 $\langle\mathbf{a},\mathbf{b}\rangle$ 表示两个向量的内积，其结果始终是有限域元素。

为了证明零知识，证明者通常需要展示他们知道一个满足电路约束的算术电路的赋值（证人）。然而，SNARKs，尤其是 [Groth16](https://learnblockchain.cn/a...