作者:FoxTechCTO林彦熹,FoxTech首席科学家孟铉济
前言
Prover和Verifier之间的计算代理思想是零知识证明的核心内容之一,是调节证明者和验证者工作量于复杂度之间取舍的工具。不同的零知识证明算法本质的不同在于不同程度的计算代理;高度的代理虽然会使验证的计算容易,但是却可能使得证明的复杂度高,从而导致证明耗时长,或是生成的证明大小较大;反之,低程度的代理会使得验证者的开销较大。
图1:零知识证明的计算代理程度影响
计算代理是什么
随着以太坊上应用和用户的扩展,以太主网上的拥堵程度不断提升,使用zkRollup进行Layer2的扩容成为一个很有吸引力的方案,FOX就是专注于使用FOAKS算法进行zkRollup的项目。而zkRollup的可行性,本质上在于使用的零知识证明算法的原理可行性。简单来说,零知识证明算法实现的功能是使得证明者向验证者证明某件事,但又不透露任何关于这件事的信息。zkRollup的构造就是利用了这个性质,使得Layer2的节点可以执行原本在Layer1进行的计算,同时向Layer1节点提供计算正确性的证明。
G7数字部长会议开幕,将讨论制定AI开发与使用规则:金色财经报道,据共同社,七国集团(G7)数字与技术部长会议29日在日本群马县高崎市开幕。鉴于人工智能(AI)写文章及绘画的生成式AI使用迅速扩大,会议将讨论制定AI开发与使用的规则。此外还将共商在乌克兰数字领域展开支援事宜。会议将于30日汇总联合声明。据报道,议题还包括如何具体实现扩大国际数据流通带动经济增长的“可信的数据自由流通”(DFFT)构想。这是日本2019年提出的理念,力争就创设国际框架达成共识。[2023/4/30 14:35:11]
从更广义的角度来说,上述的过程我们可以理解为,由于验证者计算能力有限,所以将这部分的计算代理给了证明者来执行,证明者完成了这个任务,需要返回结果给验证者。从这个角度来说,我们可以说,零知识证明算法使得保障正确性的“计算代理”得以实现。从宏观上这种计算代理的例子可以表现为zkRollup这种形式的应用,具体到零知识算法当中,这种计算代理的思想也有各种应用。
研究:A16z在区块链方面的投资占金融科技领域的22%:金色财经报道,CB Insights的研究显示,风投公司红杉资本和Andreessen Horowitz在2022年对金融科技的投资超过了其他任何类别。红杉去年总体上投资超过100笔。金融科技占该公司交易的近四分之一。在a16z去年参与的206笔交易中,近四分之一的交易对象是金融科技公司——高于其他任何行业。A16z去年在金融科技领域投资了49家公司,其三大金融科技投资目标是支付(28%)、区块链(22%)和数字贷款(12%)。[2023/2/27 12:30:56]
本文主要介绍FOAKS使用的在Orion当中提到的Code-Switching所做的令证明者帮助验证者执行的验证计算过程,以及FOAKS如何应用这种技巧进行递归。从而减少了证明的大小以及验证者的开销。
David Marcus:比特币是唯一不受任何特定个人、公司或团体控制影响的资产:金色财经报道,Meta前加密货币业务负责人David Marcus在社交媒体上表示,比特币是唯一不受任何特定个人、公司或团体控制或影响的区块链/资产。我们还没有完全内部化这一点的终端价值。它是独一无二的,不能被复制的。[2023/1/15 11:12:44]
为什么需要计算代理
从系统的实用性角度来说,很多情况下计算节点的算力是有限的,或者说计算资源是很宝贵的。例如在Layer1链上的所有计算都需要经过所有节点的共识,并且用户需要为此支付高昂的手续费。所以,在这种情况下,将本来由共识节点来处理的计算“代理出去”交给链下节点来完成,就是一种自然的想法,避免消耗链上资源。而这也正是FOX所专注的链下计算服务。
USDC发行方Circle终止SPAC上市计划:12月5日消息,USDC的主要发行方Circle Internet Financial(Circle) 和特殊目的收购公司 Concord Acquisition Corp今天宣布相互终止其最初于 7 月宣布的拟议业务合并计划,终止拟议的企业合并已获得Concord和 Circle董事会的批准。(prnewswire)[2022/12/5 21:24:04]
从密码学理论角度来讲,在GMR模型当中限定了证明者拥有无限计算能力,验证者拥有多项式计算能力。如果验证者也有无限能力,则零知识证明的基本性质无法满足。所以自然地,将计算向证明者一方倾斜,让证明者承担更多的计算就是很多零知识证明算法设计都会考虑的问题。
当然,为了实现这一点,我们需要特别的技巧。
Messari:以太坊合并引发的ETC价格反弹不会持续:金色财经消息,Messari分析师表示,以太坊合并叙事不会推动以太坊经典(ETC)的持续上涨,ETC可能会在合并前几天飙升,但它没有长期上涨动力。Messari表示,以太坊挖矿目前占图形处理单元(GPU)挖矿收入的97%,每日收入为2400万美元。而以太坊合并后,矿工将被迫出售他们的设备或改用ETC挖矿,目前ETC占GPU挖矿收入的2%,每日净收入约为700,000美元。这种盈利能力的巨大差距意味着,即使“有意义的部分”矿工迁移到ETC,挖矿难度也会急剧增加,并使许多矿工无利可图。
根据Messari的说法,以太坊经典的活跃地址数量不到Cardano的一半,该网络目前的发展水平不到以太坊和Cardano的十分之一,自2018年以来交易量没有出现有意义的增长。分析师称:“归根结底,价格应该与网络使用和潜在的经济活动有一些基本的联系,不幸的是,对于ETC持有者来说,两者都没有。”(Coindesk)[2022/8/4 2:58:09]
CodeSwitching
这一节介绍Orion当中使用的CodeSwitching技巧。Orion和FOAKS都使用了Brakedown作为多项式承诺方案,而CodeSwitching是在Orion当中命名的有证明者代替验证者执行验证计算的过程。
在《一文了解FOAKS当中的多项式承诺协议Brakedown》一文当中我们曾经介绍过,验证者的验证计算为以下的过程:
idxI,C0==<0,C1>andEC(y0)==C0
?idxI,C1==<r0,C1>andEC(y1)==C1
现在如果令证明者承担这部分计算,则证明者除了执行这些计算,还要附上证明值来证明自己的计算是正确的。
做法是将上述等式同样写成R1CS电路:
Statement:
EC(y0)=C0,EC(y1)=C1
idxI,C0=<0,C1>andEC(y0)=C0
idxI,C1=<r0,C1>andEC(y1)=C1
y=<r1,y1>
idxI,EC(C1)isconsistentwithROOTidx,andROOTidx’sMerkletreeproofisvalid.
之后使用Virgo算法进行验证。
FOAKS当中的计算代理
在FOAKS当中同样使用类似的技巧完成计算代理,值得一提的是,FOAKS由于使用了Fiat-Shamirheuristic技巧实现了非交互式证明。想要了解更多,读者可以参考《如何将交互式证明改造为非交互式?Fiat-ShamirHeuristic!》。所以FOAKS的挑战生成和Orion所使用的CodeSwitching方法不同,电路当中也需要加入新的等式:
0=H(C1,R,r0,r1)
I=H(C1,R,r0,r1,c1,y1,c0,y0)
这样之后FOAKS当中的证明者同样生成了代理验证者进行验证的计算证明。而对于验证证明的过程,FOAKS利用算法自身进行迭代,这也是FOAKS实现递归的关键内容。具体内容见《如何设计出一种精妙绝伦的证明递归方案》。
通过一定次数的迭代可以使得证明的大小被压缩,从而极大降低验证者的计算负担以及通信复杂度。这就是FOAKS这个零知识证明方案对FOX这条zkRollup的重大意义。
结语
zkRollup中使用的零知识证明算法的计算代理程度需要被精心设计,必须恰到好处才能使其整体达到最佳效率。而FOAKS算法通过自身迭代的递归实现了可以调节的计算代理,是为专门为zkRollup所设计的零知识证明算法。
参考文献
1.Orion:Xie,Tiancheng,YupengZhang,andDawnSong."Orion:Zeroknowledgeproofwithlinearprovertime."AdvancesinCryptology–CRYPTO2022:42ndAnnualInternationalCryptologyConference,CRYPTO2022,SantaBarbara,CA,USA,August15–18,2022,Proceedings,PartIV.Cham:SpringerNatureSwitzerland,2022.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。