一文了解最熱門的 zkSNARK 方案：Groth16 方案_ROT:squidgrow幣消息

原文標題：一文了解最熱門zkSNARK方案：零知識證明引論

在之前的文章中，我們介紹了零知識證明的基礎概念以及構造zkSNARK的基本思想和方法。從本文開始，我們將逐一介紹目前最熱門的zkSNARK方案。文章旨在讓讀者理解這些方案的基本原理。為了方便敘述并容易理解，在敘述方案時，我們會做一些簡化處理，重在傳達方案的核心思想。

本文介紹的是Groth16方案。Groth16方案，顧名思義，就是Groth在2016年發表的一篇論文中提出的方案。目前為止，Groth16是在實踐中使用最廣泛的zkSNARK(沒有之一)。特別一提的，Zcash目前使用的zkSNARK方案就是Groth16。從性能上，Groth16的Verifier性能是所有zkSNARK中最快的，其證明字符串也是最短的。

而Groth16的最大缺點就是它需要對每個電路都執行一次可信初始化。

在介紹Groth16之前，簡單回顧一下zkSNARK所要解決的問題。我們稱這個問題為「計算驗證問題」。

計算驗證問題

任何計算都可以描述為一個算術電路。一個算術電路可以對數字進行算術運算。電路由加法門、乘法門以及一些常數門組成，如下圖所示：

BAYC：HV-MTL Rift 測試期間發現錯誤，將推遲至下周開放:9月7日消息，Bored Ape Yacht Club（BAYC）在社交媒體X上表示，在最終測試期間，發現了一些導致 HV-MTL Rift 無法在 9 月 7 日開放的錯誤。因此 The Rift 將在下周的某個時間開放，以確保每個人都能獲得流暢的體驗，并將在下周一分享更新和確認的發布日期。[2023/9/7 13:23:03]

這個例子中的電路包含了15個門。這個電路所描述的計算過程需要輸入五個數字x1到x5，輸出四個數字。

給定一組輸入的數字，需要把這個電路中的每個門都計算一遍，才能計算出這個電路的輸出。在這個例子中，如果輸入是(1,2,3,4,5)，則電路的輸出為(-27,14,80,171)，如下圖所示：

計算驗證問題是指，如果一個驗證者——不妨叫做Verifier——只拿到了電路的一組輸入和輸出，如這個例子中的(1,2,3,4,5)和(-27,14,80,171)，它該如何驗證這是一對合法的輸入和輸出呢？最簡單粗暴的方法就是把這個輸入重新扔進電路算一遍。如果電路很大的話，這個驗證方法最大的缺點就是效率問題。

太空資源和探索黑客松首輪資助名單公布，第二輪申請通道已開放:6月14日消息，由DoraHacks組織的太空資源和探索黑客松(Space Resource and Exploration Hackathon)首輪資助名單已在全球極客運動平臺DoraHacks.io公布。本輪將資助兩個月球資源利用領域的項目，分別為月球任務控制中心SpaceRadar和來自倫敦帝國理工學院的ETW system for the beneficiation process of ISRU (用于分離和運輸月球粒子的靜電行波系統)。第二輪申請通道已開放。第二輪項目提交截止時間為8月11 日。

DoraHacks將長期主辦太空資源和探索黑客松，支持太空探索道路上的創新開源技術團隊。[2023/6/14 21:35:51]

有些場景下，效率還不是唯一的問題。例如，輸入可能包含Verifier不能知道的秘密信息。假設上例中的(3,4,5)是秘密輸入，Verifier只能看到(1,2)，如下圖所示。此時Verifier要驗證的問題就變成了「是否存在(?,?,?)使得電路在輸入(1,2,?,?,?)的時候的輸出是(-27,14,80,171)」。這個場景下，即使是簡單粗暴的重新計算也不再可行。

波卡Polkadot正進行第121號公投，擬啟用新治理系統OpenGov:5月19日消息，波卡Polkadot第121號公投正在進行，提議將Polkadot網絡升級到runtime v9420，該提案包括將下一代治理系統OpenGov納入Polkadot。OpenGov取消了理事會和技術委員會，并在維護安全性的同時創建了一個更加民主和開放的鏈上治理流程。這不會立即刪除傳統的Gov1流程。兩者將串聯運行，直到另一個治理決定刪除Gov1。[2023/5/19 15:13:50]

一句話概括計算驗證問題：Verifier能否在不知道秘密輸入的情況下，高效地驗證計算結果？

從電路到R1CS問題

一個zkSNARK就是對上述問題的一個解決方案。使用zkSNARK，一個證明者，叫做Prover，可以為計算過程生成一個簡短的證明字符串。Verifier讀取這個字符串，就可以判斷給定的公開輸入和輸出是否合法。

Groth16是眾多zkSNARK構造方案中的一種。接下來，我們介紹Groth16是怎么解決計算驗證問題的。

首先，我們重新審視一下Verifier的任務：我們只知道電路的前兩個輸入是(1,2)，我們的目標是要判斷是否存在一組合法的秘密輸入，使得電路的輸出是(-27,14,80,171)。如果我們換個角度看這個問題，它其實可以描述為：給一個電路，上面有些空格可以填數字，有些空格已經填上了數字，請問是否存在一種填法，能夠同時滿足每個門的邏輯？

Crypto.com：將在新地址之間重新平衡多個資產，不會對客戶產生影響:3月20日消息，Crypto.com首席執行官Kris Marszalek在推特上表示，作為我們確保持續安全的常規托管操作的一部分，我們將在新地址之間重新平衡多個資產。這不會對我們的客戶產生影響，我們已經更新了Nansen上的資產儀表板以實現完全透明。無需FUD。[2023/3/20 13:14:39]

從這個新的角度，計算驗證問題被轉換成了一個類似于數獨那樣的填數字游戲：有一些空格，一部分已經填上，請你填上另外一些空格，滿足一些限制條件。

然后，我們為每一個要滿足的條件列一個方程。這里，每個要滿足的條件其實就是一個門的邏輯：加法門的輸出等于兩個輸入之和，乘法門的輸出等于兩個輸入之積。于是，原來的填空游戲就變成了一個多元方程組。上述例子轉化得到的方程組如下：

最后，我們對這個方程做一些整理，使得它能夠寫成矩陣和向量的形式，更加整齊和簡潔。我們把每個方程都寫成*=*x*的模式。盡管并不是所有方程中都有乘法，但我們可以給沒有乘法的式子乘上一個。于是方程組變成了下面這個樣子：

消息人士：Crypto.com啟動第二輪“更大規模的”裁員:金色財經報道，消息人士透露，在Crypto.com上周五的季度“全體員工”電話會議上，該公司表示啟動新一輪裁員，規模“比第一輪大得多”。消息人士稱，在電話會議中，Crypto.com領導層表示他們無意上市，但高層管理人員不太可能發布裁員公告，因為在6月裁員之后，他們聲稱“每個人的工作都很安全，不會再裁員”。據消息人士稱，6月份的裁員針對的是客戶服務和增長等“彈性”職位，因為隨著平臺上的客戶數量和交易量下降，對這類員工的需求減少。新一輪影響了“來自交易所、應用程序和錢包等關鍵部門的員工”。

此前消息，6月，總部位于新加坡的加密貨幣交易所Crypto.com以加密熊市為由解雇了260名員工，占其員工總數的5%。[2022/8/17 12:30:06]

把所有方程合到一起，就得到了原方程組的矩陣表示

我們把最終得到的這個矩陣向量方程叫做一個Rank-1ConstraintSystem(R1CS)。

總結一下，這一節中我們把計算驗證問題轉化成了數學問題R1CS。

在計算驗證問題中，Verifier知道一個電路，拿到公開部分的輸入，以及電路的輸出，判斷它們是否合法。

從R1CS問題到QAP問題

在零知識證明領域，R1CS基本上就是電路的代名詞。許多zkSNARK把R1CS問題作為目標問題。不過，大部分zkSNARK不會直接對R1CS下手，而是把R1CS問題繼續轉化，得到一個等價的多項式問題，再對這個多項式問題設計證明方案。Groth16也不例外。不同的zkSNARK選擇的多項式問題各不相同，Groth16選擇的是一個叫做QuadraticArithmeticProgramming(QAP)的問題。

這一節中介紹一下怎樣把R1CS問題轉化為等價的QAP問題。

然后，我們把這些列向量換成多項式，使得多項式方程和原先的向量方程等價。

把向量轉化成多項式的一種方式是使用多項式插值。

多項式插值

QAP問題

現在，我們直接把R1CS矩陣中的列向量換成它們的多項式插值，得到的結果如下圖所示。

我們用一個表格總結一下上文中提到的所有問題。

為什么要越搞越復雜，把電路問題轉化為QAP問題呢？一個簡單的回答：就是為了引入多項式！多項式是一個強大的工具。多項式的作用，可以理解為一個「杠桿」，或者叫「誤差放大器」。如果我們要檢查兩個長度為10000的向量是否相等，一定需要檢查10000次，哪怕檢查過了9999個點都是一樣的，也不能保證最后一點是相同的。而兩個10000次的多項式，哪怕非常接近，比如說它們的系數有9999個都相同，或者它們在這些點上的取值都相等，但只要有一個點不同，這兩個多項式就截然不同。這意味著，如果在一個很大的范圍內，例如到當中均勻隨機選一個點，兩個不同的多項式在這個點上相等的機會只有。檢查兩個多項式是否相等，比檢查同樣規模的向量要快得多，這幾乎是所有zkSNARK提高Verifier效率的根本原理。

為QAP問題構造zkSNARK

QAP問題就是Groth16要用來構造zkSNARK的最終問題了。不過，在解釋Groth16的構造細節之前，我們先準備一些工具。

準備工具

我們假設讀者對橢圓曲線群的基本特性和應用有所了解，并采用加法群的記號來描述橢圓曲線群中的點和運算。橢圓曲線群中的元素可以用來表示多項式，并限制Prover必須使用給定的多項式來進行線性組合。這正是QAP所需要用到的特性。

我們看一下橢圓曲線是怎么用來表示多項式的。

KoE假設

然而，上述直覺并不能從離散對數假設嚴格地證明而來。所以，只能把它作為一個新的安全性假設來用。這個假設就叫做Knowledge-of-Exponent(KoE)假設。

KoE假設怎樣應用到QAP問題上呢？那就是，KoE允許我們使用橢圓曲線點來表示多項式，并且迫使Prover只能從已知的多項式線性組合產生新的多項式。

不過，到目前為止，我們忽略了兩個關鍵問題：

關于第二個問題，一個解決方法就是雙線性配對。

雙線性配對

現在，我們已經準備好了工具：KoE假設和雙線性配對。接下來，我們就介紹Groth16是如何為QAP問題構造zkSNARK的。

Groth16方案

Setup

Prove

Verify

解析

我們簡單解釋一下上述構造為什么能夠工作。至于它為什么是安全的，請感興趣的讀者參閱原文。

當然，Verifier的驗證式中還包含了許多其他項，但在Groth的精心設計下，它們都消掉了。感興趣的可以自行驗證。

小結

本文中，我們解釋了Groth16這個zkSNARK方案的構造原理。我們從算術電路開始，介紹了怎樣將計算驗證問題轉化為R1CS問題以及QAP問題。然后我們解釋了怎樣使用Groth16方案來證明知道一個QAP問題的解。Groth16方案使用了KoE假設以及雙線性配對。它的缺點是需要可信第三方進行初始化，而且初始化過程需要對每個電路進行一次。與此同時，Groth16享有最高效的Verifier算法以及最短的證明字符串，使得Groth16成為至今仍然應用最廣的zkSNARK方案。

參考資料

JenGroth.OntheSizeofPairing-basedNon-interactiveArgument.2016.

撰文：Cyte

Tags：ROTGROZKSKSNMina Protocolsquidgrow幣消息ZKSVMKSN幣

Coinw