高效的零知识证明：理论与实践

具有一对多证明者的多项式承诺及其应用 张嘉恒、谢天成、唐阳、石依莲、张玉鹏 1 商店 被盗 𝑠𝑘$ 𝑠� 经销商 𝑠𝑘1 共享重建 验证器0 ⋯ 验证者1 𝑠� 𝑠𝑘𝑁"1 阈值�=𝑂(𝑁)⇒ 容忍�−1妥协 𝜋$,𝑠𝑘$ 𝑠� 经销商 𝜋1,𝑠𝑘1 共享重建 验证器0 ⋯ 验证者1 𝑠� 𝜋𝑁"1, 𝑠𝑘𝑁"1 阈值�=𝑂(𝑁) 共享重建 𝑓(0) 验证器0 𝑓(1)𝑠� 经销商 𝑠�=𝑓(−1) � �=𝑎$+𝑎1�+⋯+𝑎𝑡𝑥� 𝑓(�−1) 验证者1 𝑠� 阈值 ⋯ �=𝑂(𝑁) 𝜋$,𝑓(0) 验证 𝜋1,𝑓(1) 验证 𝑠�=𝑓(−1) 𝑎$+𝑎1�+⋯+𝑎𝑡𝑥� 共享重建 器0 𝑠� ⋯ 经销商 者1 � �= 𝜋𝑁"1, 𝑓(�−1) 阈值�=𝑂(𝑁) MPC 加密货币钱包 DKG和随机信标 具有可信设置的最佳VSS方案 新的一对多经销商算法285几乎是最佳的VSS方案 ，没有可信的设置 具有可信设置的最佳VSS方案 高效的一对多经销商算法真空度无需可信设置即可实现近乎最佳的VSS方案 KZG承诺[KZG10] () •□□ 提交活板门在哪里 () 基于KZG[TCZ+20]✁AMT □ 件 •□□logDivideinto 计算 •□□,⋯□□ •□□□ ! Open有一个证明, () □□= 完全由AMT 校样尺寸 w□he(r1e). □(□) 经销商计算 □(□log□) 我们能实现吗经销商 □(1) □(log□) 校样尺寸 □(□log□) 经销商计算 11 � 𝑞+ =� −𝑓(𝑖) � �−� ∑�𝑎j(𝑟j−𝑖j) �j�� ==𝑎j=𝑖𝑘"1𝑟j"�==ℎ𝑘𝑖𝑘"1,ℎ�==𝑎j𝑟j"�j/1𝑘/1𝑘/1j/� j/$ =�−� 𝑞+ =� � � −𝑓(𝑖) � �−� j ∑�𝑎j(𝑟j−𝑖j) �� ==ℎ𝑘𝑖𝑘"1,ℎ�==𝑎j𝑟j"𝑘 𝑘/1j/� j/$ =�−� ==𝑎j= 𝑖𝑘"1𝑟j"� j/1𝑘/1 一点点数学... 𝑞+ =� � −𝑓(𝑖) � �−� 如果你相信我✁数学，我们就完了！ j/$ ∑�𝑎j(𝑟j−𝑖j) =�−� �j�� ==𝑎j= 𝑖𝑘"1𝑟j"�== ℎ𝑘𝑖𝑘"1,ℎ�== 𝑎j𝑟j"� j/1 𝑘/1 𝑘/1 j/� •□□□(□log□) 在()顶部进行FFT和IFFT计算所有" 同•□一算□法也□独(立□由Dlaongkra□dF)eist和DmitryKhovratovich在https://github.co执m/行khoFvrFatTovi"c计h/K算ate所提有出。! 57800X 3X 42X 7.8X 0. 001s 受信任✁第三方 爬行门 PKVK PK VK 经销商 依靠活板门 验证者 具有可信设置✁最佳VSS方案 高效✁一对多经销商算法 在没有可信设置✁情况下，几乎是最佳✁VSS方案 拆卸VSS中✁活板门 × + × … × …… × 电路型号：GKR协议[GKR08]� �… … … 𝐶(𝑥)=� 经销商 证明大小:□(□□□□(□,log|□|)) …… × × × + + + …… x0x1x2x3…… � □(□□□□(|□|)) 证明者时间: □(|□|) 改进为在[XZZPS19]中 ||::电路尺寸;电路✁深度 (,log|)验证时间: × …… + × × × �𝑉$(⋅) 𝑉1(⋅) V+(⋅)=∑𝑔(𝑉+31(⋅)) ……𝑉2 (⋅) × × × + + + 𝑉𝑑(0)=x0 𝑉𝑑(1)=x1 … 𝑉𝑑(7)=x7 …… …… ……𝑉𝑑"2(⋅) 示例：N=8 𝑉𝑑"1 …… (⋅) x0x1x2x3......x[N-1] � 𝑉𝑑(⋅) 𝑓(𝑥) 验证器0 𝑓(1) ⋯ 𝑓(0) ⋯ 验证者1 验证器N-1 经销商 FFT/蝶形电路 𝑓(�−1) 经销商能否生成 □(□) N证明在一个镜头 22 � GKR电路 𝐶(𝑥) 经销商 𝑦𝑁"1 ⋯ 𝑦1 𝑦$ ⋯ 验证器0验证者1 经销商能否生成N一次证明一般功能 验证器N-123 � GKR电路 𝑦𝑁"1 ⋯ 𝑦1 𝑦$ 𝑦� 在一个额外✁层中聚合索赔 ⋯ 𝑦� 𝑦$ 𝑦1 ⋯ 𝑦𝑁"1 经销商 ⋯ 𝑦$=∑𝑔(𝑦𝑟(⋅)) 𝑦1=∑𝑔(𝑦𝑟(⋅)) 验证器0 验证者1 ⋯ ⋯ 验证器0验证者1验证器N-1 𝑦𝑁"1=∑𝑔(𝑦𝑟(⋅)) GKR电路 经销商 𝑦� � � � � r →� 𝜋𝑦r →� 验证器0 � r →� ⋯ 验证者1 Merkle树 验证器0 𝑝𝑎𝑡ℎ1 验证者1 𝑟𝑁"1 ⋯ 𝑟1 𝑟$ 𝑝𝑎𝑡ℎ ⋯ 𝑝𝑎𝑡ℎ 经销商 � 𝑁"1 $ ⋯ 验证器0验证者1验证器N-1 验证器N-1 � 𝑟$ 𝑟1 ⋯ 𝑟𝑁"1 经销商 随机Oracle ⋯ 验证器0 □(lo2g�) 经销商 □(□log□) 验证者1 𝑓(�−1) 𝑓(𝑥) FFT/蝶形电路 � log( 2 �) □(lo2g�) � ⋯ □(lo2g�) 𝑓(0) 𝑓(1) ⋯ (log 2 �) ⋯□(lo2g�) 验证器N-1 � 𝑓(𝑥) Hide�处女座[ZXZS20] FFT/蝶形电路 𝑓(�−1) ⋯ 𝑓(1) 𝑓(0) 处女座 □(□) 1.提交没有受信任✁安装程序2.运行GKR □(□) 3.Open与零知识 经销商 ⋯ 19000X 7697s 1.97X 具有受信任设置✁VSS: □(□log□) 交易时间 □(1) 证明大小和验证时间 由上述VSS构建✁DKG: □(□log□) 每个派对✁时间 □(□) 每方通信 没有可信设置✁VSS: □(□log□) 交易时间 □(log□) 证由明上大述小VS和S验构证建时✁间DKG: □(□log□) 每个派对✁时间 □(□一对lo多g经□)销商算法 每方通信 谢谢! 嘉恒 Zhang jiaheng_zhang@berkeley.eduhttps://zjhzjh123.github.io/