ZKSwap團隊解讀零知識證明算法之Bulletproofs：Range Proof（1）_PRO:0XPROOF幣

前言

Bulletproofs，又一個有意思的零知識證明算法，相信讀者已經很熟悉它了。和zk-snark相比，它不需要可信設置；和zk-stark算法相比，它具有較小的proofsize。根據論文，它有兩個方面的應用：

用于rangeproof；用于一般算術電路的零知識證明。下面，讓我們先看一下Bulletproofs是如何高效的實現第一點。Rangeproof

1.預備知識

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量內積∑ai*bi，結果是一個值

aob：向量對應位相乘，{a1*b1……anbn}，結果是一個向量

金融時報：華爾街準備接管成熟的加密公司:6月1日消息，據英國金融時報報道，一些金融業最知名的公司正在建立自己的數字市場交易平臺，押注基金經理將更喜歡、熟悉和值得信賴的品牌，而非押注于主導該行業的不透明的加密交易所。渣打銀行、野村證券和嘉信理財等傳統金融機構正在創建或支持新的、獨立的加密公司，其中包括可以處理比特幣和以太坊等數字貨幣的交易所和托管集團。

報道稱，嘉信理財、做市商Citadel Securities和Virtu Financial是支持EDX Markets的團體之一，而英國銀行渣打銀行則支持交易所Zodia Markets和托管公司Zodia Custody。紐約梅隆銀行和富達已經擁有自己的數字資產托管部門，美國證券交易所納斯達克正在等待美國監管機構的批準，以便推出自己的服務。[2023/6/1 11:51:39]

2.證明

Bitfinex Alpha：比特幣鏈上活動急劇增加，市場出現多項看漲指標:5月9日消息，根據Bitfinex Alpha最新報告，由于Meme幣的火爆和BRC-20代幣交易的增加，比特幣網絡交易費用達到了兩年來的最高水平。BRC-20代幣標準，類似于以太坊的ERC-20，自3月份推出以來迅速引發關注。

比特幣網絡統計數據也接近歷史新高，每日比特幣交易數量超過68萬，超過了2017年和2021年牛市期間創下的紀錄。

我們看到的比特幣看漲情況是，市場波動在短期內可能會受到抑制。在美聯儲上周加息后，流動性非常低，僅為3400萬美元，而資金費率基本保持中性。此外，7天至180天到期的BTC期權的25% delta斜度幾乎都接近于零，表明投資者沒有為看跌期權或看漲期權支付溢價。

然而，歷史趨勢表明，這種平靜的市場局面不會持續太久。預計清算引發的波動很快就會出現，可能會延續比特幣今年以來的上漲趨勢。

通常可靠的MVRV（市場價值與實現價值之比）Z得分指標也支持看漲的論點。該指標為0.7，并沒有受到最近3萬美元阻力位的太大影響，這表明投資者仍更有可能購買和積累。[2023/5/9 14:51:22]

Alice想要證明?v??=>則，需要證明一個relation得成立，如下所示：

德卡銀行的SWIAT提議對代幣化證券結算進行觸發支付:金色財經報道，德國的SWIAT是由DekaBank創建的DLT通證化網絡，它提出了一個觸發支付解決方案Cycros，使用央行的資金來結算數字資產交易。分布式賬本技術(DLT)的好處之一是，通過在交付與支付(DvP)交易中實現貨幣和通證證券的同時轉移，降低了風險。理想情況下，這將通過央行數字貨幣實現。然而，CBDC數字歐元不太可能很快上線，因此觸發支付解決方案提供了一種替代方案。特別是2023年3月推出的歐元區DLT試點機制，支持基于區塊鏈的證券交易和結算基礎設施。法國央行已經表示愿意利用其試點的批發CBDC參與項目。然而，考慮到試點制度的規模應該是數百億甚至數千億美元，它將在多大規模上可用仍有待觀察。（ledgerinsights）[2022/12/5 21:23:11]

{：V=?grhv?^v??}

Binance NFT宣布最低掛單價格提高至0.1 BUSD:官方消息，Binance NFT宣布最低掛單價格提高至0.1 BUSD，鼓勵用戶提高其NFT價格，以保證其NFT更容易被瀏覽。[2022/6/2 3:59:16]

public-xwitness-wrelation-R

即，對于公開信息x，Alice有隱私信息w，使得關系R成立。

令aL為金額v的在范圍內的二進制形式，則aL={a1、a2……an}?{0,1}n，且滿足<aL,2n?>=v。因此，證明者需要證明以下幾個等式相等：

等式(1)確保了承諾V和金額v的綁定關系，等式(2)確保了v的范圍，等式(3)、(4)確保了aL?元素只屬于{0,1}。等式(2)/(3)/(4)總共包含了2n+1個約束，其中公式(2)1個，公式(3)(4)各n個。接下來，為了效率，我們需要把2n+1個約束轉換成1個約束。

3.2n+1個約束轉換成1個約束

=>預備：從Zp?中任意選擇一個數y，則b=0n是等式<b,yn>=0成立的充分條件；因為當b!=0n，等式成立的概率僅有n/p，p是有限域，遠大于n。因此，如果有<b,yn>=0，那么驗證者愿意相信b!=0n?。

利用這個理論，我們把等式(2)/(3)/(4)做以下轉換：

驗證者隨機選取一個數y發送給證明者證明者要證明：

同理，等式(5)確保了v的范圍，等式(6)(7)確保了aL?元素只屬于{0,1}。此時2n+1個約束轉換成3個約束，接下來，還需要做進一步的處理：

驗證者隨機選取一個數z發送給證明者證明者利用z對公式(5)(6)(7)進行線性組合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我們已經把2n+1個約束轉換成1個約束。下面我們對公式(8)做進一步的優化，把三個點積優化成1個點積。

4.三個點積優化成1個點積

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.驗證：

證明者把L/R/V發送給驗證者；驗證者事先算好δ驗證者根據L算出來aL，根據<aL,2n?>=v算出v驗證者根據L、R、v、δ驗證等式<L,R>=z2?*v+δ因為y，z都是驗證者提供，因此如果驗證者如果能驗證公式(9)成立，則相信等式(5)(6)(7)成立，則相信等式(2)(3)(4)成立，則相信v滿足關系v?。

但是，可以看到上述過程，泄露了v的信息，因此需要一個零知識證明協議。

6.一個零知識證明協議

由于L、R包含了v的相關信息，因此，我們需要添加兩個盲因子sL、sR來隱藏aL，aR。如公式(10)(11)所示：

此時，定義公式(12)

可以看出系數t0是l(x)和r(x)常數項的乘積，即滿足：

t0?=<L,R>=z2*v+δ

因此，問題由證明：

<L,R>=z2*v+δ

轉化成了，在任意一點x，驗證者驗證多項式值l(x),r(x),t(x)滿足關系：

<l(x),r(x)>=t(x)

多項式值l(x),r(x),t(x)由證明者提供，為了保證l(x)，r(x)well-formed，即：

需要校驗：

=>當且僅當l/rwell-formed，等式成立

為了保證t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校驗：

=>?當且僅當t和τx?welle-formed，等式成立

具體的協議流程圖如下圖所示：

總結

從上述流程可以看出，一次rangeproof，證明者需要發送總共**{l/r/t/τx?/μ/T1?/T2/A/S}**個元素給驗證者，總共2n+3個Zp元素，4個G元素。下一篇文章將細講，Bulletproofs如何將交互復雜度降低到對數級O(log(n))。

附錄

Bulletproofs論文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

Tags：PROROOProof比特幣prophet幣最新消息Mushroom0XPROOF幣比特幣走勢圖實時行情

FIL