前言
本篇是“PLONKVSGroth16”的下篇,在上篇中我们对PLONK作了简要介绍,分析了PLONK和Groth16算法在「可信验证」和「约束构建」上的异同。那么,接下来让我们一起看看在后续的「证明生成」和「验证阶段」两者将有怎样的差异,以及整体上的性能区别。
证明生成
对于程序qeval,prover需要证明自己知道qeval(x)=35的解,即x=3。
defqeval(x):
y=x**3
returnx+y+5
在上篇中我们已经介绍了PLONK的约束形式:门约束与线约束。继续使用之前的例子,约束意味着零知识证明系统将这个问题约束成了一组格式固定的数学表达式,即问题描述等价于约束描述。而如果证明者真的知道这个问题的答案,将答案和计算中的中间参数代入约束表达式,这个组表达式必将是成立的。反之,如果该Prover提供的一组解无法使表达式成立,说明prover并不具备关于该问题解的知识。
多链NFT市场my NFT完成700万美元A轮融资:5月30日消息,多链NFT市场my NFT完成700万美元A轮融资,Scytale Ventures领投,参投方包括Seven X Ventures、Future Perfect Ventures、Signum GrowthCapital等,个人投资者包括RMRK创始人Bruno Skvorc、KR1联合创始人George McDonaugh等。MyNFT将于2022年6月推出其第一个版本。(Cointelegraph)[2022/5/30 3:50:58]
这是最朴素的证明验证思路,可以将它看作是“锁”和“钥匙的配对“:该问题约束的构建类似于“打造门锁“,而针对该问题提供的一组解信息就是”一把开启门锁的钥匙“。显然,Prover可以举着自己的解交给验证者来验证。可是这违背了我们的零知识原则:Verifier不应该获取到Prover的隐私信息。
那么有什么方法能在解锁的同时保护隐私信息呢?
ConsenSys完成4.5亿美元融资,淡马锡、微软等参投:3月15日消息,以太坊基础设施开发公司ConsenSys完成4.5亿美元D轮融资,估值达到70亿美元,ParaFiCapital领投,新投资包括淡马锡、软银愿景基金二期、微软、AnthosCapital、SoundVentures和CVentures,ThirdPoint、MarshallWace、TRUE Capital Management和UTAVC等原有投资参投。
ConsenSys表示,该轮融资的收益将转换为ETH,以根据ConsenSys的资金策略重新平衡ETH与美元等价物的比率。据介绍,ConsenSys是为Web3创建基础软件的先驱,其使命是通过使DAO、NFT和DeFi普遍易于使用、访问和构建来释放社区的协作能力。[2022/3/15 13:58:27]
这里我们用到一个简单的数学小技巧:减除,对此不太了解的读者可查阅文章最后的前置知识。在前文《超强进阶:PLONKVSGroth16》我们已经对从约束系统转化到多项式进行了详细的描述,在此我们不再赘述具体的转化过程,但需要重复的一点是:根据生成时使用的点值对,生成的多项式在这些点处的取值将恒为0。PLONK同理,此处我们给出两种算法的约束系统转化为多项式后的形式。
Nextmarkets完成 3000万美元B轮融资 Cryptology Asset领投:3月4日消息,总部位于德国科隆的经纪商Nextmarkets完成3000万美元B轮融资,总部位于马耳他的加密和区块链投资集团CryptologyAssetGroup领投,英国基金经理AlanHoward参投。Nextmarkets促进了包括股票和加密货币在内的多种金融工具的零售交易。
该轮融资将在平台最近扩展到英国,葡萄牙,荷兰,法国,西班牙和意大利之后,用于加速平台的增长。(TheBlock)[2021/3/4 18:15:33]
Groth16:
PLONK:?我们设门约束多项式为D(X),线约束多项式为L(X),那么PLONK的整个约束多项式将被表示为:
声音 | 美国FinTech4Good主席:中国重视区块链但对于投资或基于区块链的融资仍十分谨慎:据BlockGlobe消息,近日美国FinTech4Good主席张晓晨先生在纽交所接受了区块链栏目“Blockchain Global News”专访,他表示,区块链绝对是中国政府非常重视的领域。从专利权来看,在过去两年中,中国已经发布了400多项专利,成为区块链专利所有者最多的国家,其次是美国、澳大利亚。当然,中国的确在大力推动基于区块链的技术创新。但从投资或基于区块链的融资这个角度来看,中国政府仍旧十分谨慎。从对ICO的禁令,以及对STO等相关信息的保守态度分析,中国谋求通过监管手段,保护投资者免遭区块链相关的。[2019/2/16]
可以看到,两者都使用了减除的思路,也就是这里的h(X)和ZH(X),其具体内容取决于构建约束多项式时取的点值。
证明与验证
同样在之前的文章中,我们可以看到Groth16的证明规模极小,只包含三个群元素A,B,C。然而,这样优雅的证明实现依赖于它的非通用可信设置,这也是Groth16的一大痛点。在Groth16中,证明方提供A,B,C,验证方基于可信设置提供的参数,构建一个配对验证等式。在验证过程中包含了三次配对操作,也就是对验证性能影响较大的耗时运算。Groth16的具体证明验证如下所示。
密码学之父:不管每个人拥有多少的财富都会想要去贡献自己所拥有的价值:在2018分散经济讨论会上, 密码学之父David Chaum发表演讲称,不管每个人拥有多少的财富都会想要去贡献自己所拥有的价值。盲签名是一种只需要数字就能收款的具有革新价值的想法,类似于比特币和以太币等虚拟货币,以区块链为基础的技术可以确保收款人和汇款人的匿名性,加密学帮助了人们的日常生活,希望日后可以共享、分享信息,更进一步可以直接以民主的方式开创可能性。[2018/4/3]
Groth16证明:
Groth16验证:
相比之下,PLONK的证明验证将会复杂得多,这也是使用通用可信设置付出的代价。从验证方角度看,由于可信设置参数缺少了包含问题具体内容,从而无法帮助其构建一些制约证明多项式的值。因此,如何固定住证明多项式的内容成为一个难题。PLONK使用的一个思路是引入Kate承诺。
结合前述的约束多项式,我们可以对t(x)中出现的每一项都构建一个承诺,以实现验证方的验证。PLONK证明的具体内容如下,包含了两个点处的验证:Wz(X)为多个多项式的同点承诺,Wzw(X)则为另一个点处的对z(X)的承诺。
最后,PLONK的验证在原文中也被归纳为一个简洁的公式,实际上就是将上面提到的两个点处的承诺简单相加,具体等式如下所示:
以上就是PLONK和Groth16算法内容的具体对比结果,讲了这么多冗长的公式变换,两者在性能层面的差距究竟如何呢?
性能比较
在这里我们给出的是PLONK论文中的结论。Table1是在证明阶段的一个性能比较,Table2则是验证阶段的性能。可以看出,在验证上,两者的差距不大,Groth16比PLONK多了一次配对运算;而在证明方面我们遗憾地发现,Groth16不论在证明的工作量还是证明长度上仍然保持着最优的性能。但需要指出的是PLONK,尤其当它工作在fast模式时,所使用的SRS长度是所有算法中最短的。
▲验证阶段性能比较
▲证明阶段性能比较
前置知识
多项式减除
顾名思义,化减为除:若我们需要证明一个多项式f(x)在点a的取值为b,也就是证明f(a)-b=0;那么我们可以将其转换为证明多项式f(x)-b可以整除(x-a)。其数学表示:
设多项式f(x)且f(a)=b,则存在一个多项式g(x),使得:f(x)-b=g(x)(x-a)
kate承诺Kate承诺是由Kate,Zaverucha和Goldberg在2010年提出的一种多项式承诺方案。Kate承诺有多种形式,本文仅介绍PLONK中使用的常用形式,详细可参考其paper中的相应内容。其常用形式可以概括为对多项式的隐藏和部分打开验证。针对多项式f(x),Kate承诺的具体步骤如下:
1)构造f(x)在点a处的承诺C
C:f(a)
2)选取点z,执行f(z)的opening
gz(x)=f(x)-f(z)/x-z
wz=gz(x)
3)给定f(z),C和Wz,验证Kate承诺
C=wz*(a-z)+f(z)
以上就是“PLONKVSGroth16”的全部内容,如有任何疑问,欢迎添加小助手桔子加入技术交流群,在这里,你想知道的都会得到解答~
A.Kate,G.M.Zaverucha,andI.Goldberg.Constant-sizecommitmentstopolynomialsandtheirapplications.pages177–194,2010.
ArielGabizonandZacharyJ.WilliamsonandOanaCiobotaru.PLONK:PermutationsoverLagrange-basesforOecumenicalNoninteractiveargumentsofKnowledge.2019.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。