值得信赖的区块链资讯!
比推数据  |  比推终端  |  比推英文  |  比推 APP  | 

下载比推 APP

值得信赖的区块链资讯!
iPhone
Android

零知识证明 – 说说Nova

Star Li

前段时间在翻译一本零知识证明技术的书。上个月底基本内容已经翻译完成。翻译时间比我预想的长多。目前正在和作者讨论书中的一些笔误,准备最后的定稿。

anyway,终于有点时间看看新鲜东西。先从Nova算法开始~

01,Nova算法相关资料

三份资料可以帮助理解Nova算法:

  1. Nova论文:https://eprint.iacr.org/2021/370.pdf

  2. Nova潜在攻击和相应修正:https://eprint.iacr.org/2023/969.pdf

  3. Nova潜在攻击的理解总结:https://www.zksecurity.xyz/blog/posts/nova-attack/

本文是上述资料的理解和总结。本文中的一些图来自于上述资料,在本文中不再一一标注。

02,从IVC开始

Nova算法是一种针对IVC(增量可验证计算,Incrementally Verifiable Computation)的新型的零知识证明算法。IVC,即同一个函数把前一个输出作为下一个输入迭代计算。F函数的迭代计算过程如下图:

图片

z0是最初的输入,通过F函数计算生成的结果,作为下一个F函数的输入。

03,松弛R1CS以及松弛承诺R1CS

众所周知,R1CS是零知识证明技术中电路约束表示形式。松弛R1CS(Relaxed R1CS)可以看成是R1CS的扩展形式。在R1CS的基础上,增加一个标量u以及一个错误向量E。松弛R1CS的实例用(E, u, x)表示。

图片

松弛承诺R1CS在松弛R1CS的基础上,将E以及W向量承诺。松弛承诺R1CS的实例用(\bar{E}, u, \bar{W}, x)表示,其中x和u是公开变量。

图片

从R1CS扩展到松弛R1CS,是为了折叠方案。注意的是,从松弛R1CS的角度看,R1CS是其的一种特例。也就是说,R1CS也是一种“特别“的松弛R1CS。

04,折叠方案(Folding Scheme)

直觉上来说,一个关系R的折叠方案就是将两个符合关系R的实例“折叠成”一个新的复合关系R的实例。松弛R1CS/松弛承诺R1CS就能进行类似的折叠。两者的折叠过程类似。松弛承诺R1CS的折叠方案如下:

图片

整个折叠方案由4步组成。第一步,证明者P发送一个交叉项T的承诺\bar{T}给验证者。第二步,验证者发送随机挑战r给证明者。第三步是证明者和验证者都需要执行的,承诺的折叠。第四步,证明者独自执行,将两个实例的E和W向量进行折叠。

05,增广函数F' (Argumented Function)

折叠方案,折叠的是松弛R1CS实例。那这些松弛R1CS实例证明的计算是什么?显然,这些计算要包括折叠的计算。这些计算不仅仅是IVC计算中的F函数了,也就被称为增广函数F‘。增广函数F’的计算主要由两部分组成:

1/ IVC中的F函数

2/ R1CS实例的折叠计算

06,理想中的样子

有了上述的这些理解,可以想象出折叠的过程:

图片

其中,circuit就是增广函数F’对应的电路。acc{1,2,3,4,5,6}是松弛承诺R1CS实例。circuit有两个计算:1/松弛承诺R1CS实例的折叠,比如acc1+acc2->acc3。2/计算F函数,将状态state1变为state2,再从state2变为state3等等。

注意的是,增广函数F’对应的circuit,本身也是一个R1CS实例,其可以表示成松弛R1CS实例。也就是图中的acc4和acc6。“summarize”是将松弛R1CS实例转换为松弛承诺R1CS实例。

仔细观察第二个电路的输入,acc3是折叠后的松弛承诺R1CS实例,acc4是证明acc3是正确折叠结果的松弛承诺R1CS实例。这两个实例会进入下一次的折叠,生成acc5。你可以试想一下,如果acc3以及acc4是可满足的松弛承诺R1CS实例,意味着,acc3是由两个可满足的松弛承诺R1CS实例折叠而来,也就是说,acc1以及acc2是可满足的松弛承诺R1CS实例。这样的可靠性也就可以一步步“向”前推导,从而也证明了每一次circuit中的F函数计算是正确的。总的来说,就是通过某一个circuit对应的两个松弛承诺R1CS实例的可满足性,可以证明之前所有的IVC计算是正确的。

07,真实的样子

熟悉零知识证明的朋友,都知道多项式承诺方案中经常采用椭圆曲线。scalar域上对应的多项式的承诺是用椭圆曲线的base域表示。R1CS电路通常是采用scalar域来表示。仔细看,上图中的“summarize”的前后涉及到域的转换。也就是,要将circuit对应的松弛承诺R1CS实例进行折叠的话,必须在另外一个电路中去“折叠”。这时,需要引入椭圆曲线循环,两个或者多个椭圆曲线,其中一个曲线的scalar域,和另外一个曲线的base域相同,巧的是,该曲线的scalar域和之前曲线的base域相同。采用这样的椭圆曲线循环,可以将“理想中的样子”实现:

图片

整个折叠过程,拆分成两个电路进行折叠。上部分可以称为Circuit 1的折叠,下部分可以称为Circuit 2的折叠。两个电路的关系的形式化表示在论文“Nova潜在攻击和相应修正”的第8页。U表示的是折叠后的实例,u表示的是一个R1CS实例对应的松弛实例。注意的是,Circuit 1折叠的是Circuit 2对应的松弛承诺R1CS实例,而Circuit 2折叠的才是Circuit 1对应的松弛承诺R1CS实例。Circuit 2的主要目的就是折叠Circuit1对应的松弛承诺R1CS实例,其电路中的函数计算没有意义。相反,F函数实现在Circuit 1中。结合“理想中的样子”,大致可以猜到U{i+2}^2, u{i+2}^1, u{i+2}^2, U{i+2}^1可满足性是证明的重要部分。

因为“电路”切割成两部分,并且各自的电路在另外的电路中进行折叠。存在几个实例之间的绑定问题:u和U实例之间的绑定以及u实例在两个电路之间传递的绑定。为了解决这些绑定问题,在电路中引入了x_0/x_1公开变量,其中x_1指定了和u实例绑定的电路输出U实例和当前的F函数的输出(为了简化电路结构,在图中未体现)。你想,在电路中引入了U实例的H_1结果的话,如果u实例是可满足的,x_0/x_1既是真实可靠的,即和U进行了“绑定”。x_0建立的是输入的u和U的绑定关系,x_1建立的是输出的u和U的绑定关系。

举个例子,u{i+1}^1作为下半部分电路的输入时,过Circuit 2,其输出u{i+1}^2.x0 = u{i+1}^1.x1,这样,再输入到上部分电路时,如果u{i+1}^2可满足的话,则其的x_0应该等于U_{i+1}^2的H1的结果。这在Circuit 1电路中会进行检查。这样,就保证了正确的实例,在两个电路之间传递。

08,IVC的证明

为了证明IVC在某个迭代正确计算,逻辑上需要证明如下信息:

图片

除了证明四个实例可满足外,还需要证明两个x1的绑定关系,示意如下图:

图片

这些信息是否正确,需要额外的证明电路实现。也就是说,IVC计算的证明是该电路的证明。可想而知,如果是很多次迭代的计算,原本需要将这些迭代一个个地在电路中展开,现在只需要对4个电路实例进行可满足性以及绑定关系的验证即可。性能提升非常大。

09,攻击以及算法修正

看到上面的图,有个直觉,怎么感觉上下电路的实例是“割裂“的,没有什么绑定性。事实上,攻击就是这样构造的。

图片

伪造U_i^1和U{i+1}^2,虽然是伪造的,但是是可满足的实例。伪造u{i+1}^1,修改x_0和x_1和伪造的U实例对应。显然,u{i+1}^1实例不满足。虽然它不满足,但是Circuit 2的电路还是可以满足的,只是输出U{i+1}^1实例不满足而已。成功构造了u{i+1}^2的话,Circuit 1就可以构造出可满足的u{i+2}^1以及U_{i+2}^2,并且满足x1的绑定关系。这样就先构造出了最终伪造证明的一半内容。通过对称性,可以构造出下面一半的输出实例。通过两次构造的结果的“拼接”,可以伪造出IVC计算的证明。

修正后的检查逻辑如下:

图片

“Nova潜在攻击和相应修正”论文的第6章给出了详细的安全性分析。感兴趣的小伙伴,可以自行查看原论文。


Nova的基本思想是通过折叠方案折叠电路实例。逻辑比较绕,需要仔细地思考电路折叠过程以及实现电路中的绑定关系。

一个字形容:绝~


说明: 比推所有文章只代表作者观点,不构成投资建议

比推快讯

更多 >>

下载比推 APP

24 小时追踪区块链行业资讯、热点头条、事实报道、深度洞察。

邮件订阅

金融科技决策者们都在看的区块链简报与深度分析,「比推」帮你划重点。