零常识证明的可信设置是否值得忧虑?

设置典礼能够为协作社区以及正在完结这些的项目供给时机。它们代表了一个值得拥抱的时机,而不是一个需求战胜的必要罪恶。…零常识证明,可信设置 零常识证明 可信设置链闻看全国 图标 Logo链闻看全国区块链作者,团队,专栏,大众号,头条· ·阅览约 6 分钟

设置典礼能够为协作社区以及正在完结这些的项目供给时机。它们代表了一个值得拥抱的时机,而不是一个需求战胜的必要罪恶。

原文标题:《道之力:我是怎么不再忧虑并爱上可信设置的》
撰文:Sam Parker and Alex Pruden
翻译:Kurt Pan

自从在 Zerocoin 和 Zerocash 中初次完结以来,零常识证明(ZKP)在加密钱银范畴中就有着特别重要的前史。前期的完结是以广义的隐私为方针,ZKP 现在才刚开始被用于许多除了只是做混杂以外更强壮的功用。例如,zkRollups 在以太坊上完结了更大的买卖吞吐量,并且比如 Halo 之类的递归证明结构正用于创立紧缩的区块链;比如「必要作业量证明」 之类的提案运用 zkSNARK 的功用在网络的一致层供给安全性;凭借比如 Zexe 之类的结构,ZKP 使进行链外核算甚至是全新的编程模型变成了或许。

「零常识证明」一般被作为一个全体引证,但请有必要记住,有许多不同类型的 ZKP。严格来说,ZKP 计划是一种供给「零常识」性质的计划,在该计划中,证明的验证者没有得到任何关于要证明的陈说是怎么被证明的常识。ZKP 可所以交互式的,其间验证者能够直接与证明者进行交互;也可所以非交互式的,证明者能够独立生成证明。有几类满意该条件的非交互式 ZKP,包含:

非交互式零常识证明(NIZK)简练非交互零常识证明(SNARG)简练非交互零常识常识证明(SNARK 或 zkSNARK)

由于 zkSNARK 的简练性和功率,它与加密钱银最相关。第一个用于出产环境的 SNARK 是根据开始在 Zcash 中运用的 Pinocchio。后来,Zcash 和其他几个项目采用了 Jens Groth 在其 2016 年论文「Groth16」 中描绘的 zkSNARK。

虽然 zkSNARK 颇受欢迎,但它有两个首要缺点。

首要,非通用的 zkSNARK (例如 Groth16)特定于给定的 NP 联系。换句话说,证明是特定于固定程序的,然后约束了该计划的灵活性。

其次,生成和验证任何 zkSNARK 证明都需求事前生成一个公共参阅字符串(CRS)。能够认为此进程是创立只要体系「知道」的隐秘,任何了解怎么生成 CRS 的人都能够假造证明,因而破坏了可靠性。

关于通用 SNARK (例如 Marlin,PLONK 等)的学术研讨已在很大程度上处理了第一个问题,可是即便这些计划依然需求 CRS。确实是具有不需求 CRS 的零常识证明结构,如 STARKs (可扩展通明常识证明)和 Bulletproofs。可是,虽然它们都有很好的运用,但从证明巨细和验证速度的视点看,zkSNARK (特别对错通用的 SNARK,例如 Groth16)是无法被逾越的。zkSNARK 的验证是常数时刻的,这对加密钱银特别有用。这意味着,不管要证明的句子巨细怎么,验证者查看证明一切必要完结的作业量都坚持不变。

因而,zkSNARK 依然是许多面向隐私的区块链运用的首选东西。可是,这些体系的安全性很大程度上归结为 CRS 生成的安全性。因而,在所谓的「设置典礼(setup ceremonies)」中安全地生成 CRS 的办法将持续具有重要意义。当然,以受信赖的集中式办法生成这些参数是或许的,但与去中心化的方针不兼容。到现在为止,zkSNARK 设置典礼中运用的首选技能是多方核算(MPC)。

MPC 计划企图保证没有任何一方能够生成或能够获取关于 CRS 的底层数学结构的常识。其经过要求生成进程在尽或许多的独立参与者之间同享来完结这一点,只要少数人(甚至是一个人)需求诚笃行事,以保证设置安全。2015 年,Eli Ben-Sasson,Alessandro Chiesa,Matthew Green,Eran Tromer 和 Madars Virza 提出了一种改善的 MPC 结构,即便除了一个参与者之外的一切参与者都已堕落,它也都能够生成安全参数。Zcash 运用此计划为 ZCash 的第一个版别「 Sprout」生成 CRS。虽然有新颖性,但参与典礼却很繁琐,并且仅限于能够信赖地正确履行典礼的专家。此外,由于参与程度有限,人们普遍认为所需的信赖度依然过高,并且与 zkSNARK 旨在保证安全的去中心化体系的抱负相对立。

从那时起,设置典礼的方针一直是最大化能够参与该计划的诚笃且独立的参与者的数量。由于如果有许多独立的参与者,那么从直觉上讲,一切人都不诚笃的或许性将下降到能够疏忽的程度。因而,技能立异的方针是扩展这些典礼的才能,以支撑尽或许多的参与者。

上述较早计划的一个问题是有必要预先知道参与者的数量。Sean Bowe,Ariel Gabizon 和 Ian Miers 在 2017 年的 MMORPG 论文中描绘了 Groth16 设置的 MPC 典礼的一个变体,包含两个阶段。现在咱们将第一个阶段称为「Powers of Tau」,它是一切给定巨细以下的电路的通用设置。第二阶段将 Powers of Tau 阶段的输出转换为特定于联系的 CRS。在该计划中,和谐器用于办理参与者之间的音讯。这扩展了处理流程,从理论上使其能够支撑数百甚至数千名参与者。虽然存在和谐器,但 MPC 的输出仍能够被独立验证,然后坚持了安全性。自从论文开始宣布以来,Powers of Tau 典礼已成为行业标准。比如 Filecoin,Ethereum (Semaphore)和 Zcash (「Sapling」)都运用它来为其体系生成 CRS。图 1 (下图)直观地描绘了 Powers of Tau 典礼。

零常识证明的可信设置是否值得忧虑?

虽然它相对盛行,可是 MMORPG 的缺点是设置依然是一个串行进程。更具体地说,MPC 典礼的单个参与者一次只能参与一个。由于 CRS 与电路的巨细成线性联系,所以单个的奉献(contribution)或许会花费很长时刻,因而,设置典礼不太或许招引参与者。最近,以太坊基金会的 Justin Drake 提出了一种称为「达观流水线」(optimistic pipelining)的计划。要害的洞悉是,奉献能够被一起运用于 CRS 的不同部分,然后使参与者能够并行为 MMORPG 典礼奉献。因而,参与者能够一起为给定的一轮做出奉献,而不用等候轮到自己。咱们将运用此办法的设置描绘为「达观设置」(optimistic setups)。Celo 最近的设置典礼 Plumo 运用了该计划,Aleo 行将运用的设置典礼也运用了该计划。

除了朴实的去中心化和安全忧虑外,团队越来越多地将这些典礼自身视为自己的产品。例如,Tornado.cash 运转了一个设置典礼,运用户能够直接从 Web 浏览器中进行奉献,然后达到了创纪录的 1114 名参与者。Tornado 设置的成功标明,与之前的典礼被认为是必要的罪恶比较,现代设置典礼将用户体会放在首位和居中位置,不只鼓舞了更多的奉献,并且自身能够视作产品。

这些典礼的操作变得愈加简化。原始的 MMORPG 计划运用中心“和谐器”来办理参与者之间的音讯,并对通讯脚本进行安装聚合。从前史上看,此人物是手动履行的。但最近,各团队纷繁对自动化这个进程进行投入(见 Celo 的 Plumo 典礼和 ESPERO)。这不只从人力资源的视点来看使得强度下降,并且由于减少了犯错的或许性,也使典礼愈加安全。有关达观设置作业形式的阐明,请参见图 2 (下图)。

零常识证明的可信设置是否值得忧虑?

虽然许多人争辩论生成 CRS 的要求是 zkSNARK 的要害缺点,现在却还不能忽视其比其他 ZKP 计划更好的功率优势。这便是为什么它们依然是行业标准,也是为什么如此很多的团队和研讨人员将这些典礼开展和改善到今日的原因。由于提高了协议功率,改善了用户体会,并完结了使命(例如和谐器)的自动化,现在比以往任何时候都更简单参与设置典礼,最近的典礼中的参与者人数也反映了这一点。开始的 Zcash 典礼只要六名参与者,而现代的典礼却能供给多许多倍的支撑。并且,由于保证 CRS 的安全只要求一个诚笃的参与者,因而更多的参与者一般等于更高的安全性,由于每一个参与的独立参与者都使得彻底的共谋变得更不可幻想。

确实,即便经过典礼生成了 CRS,安全性的声明也不能数学化。可是,许多暗码体系都根据有些笼统的假定。例如,咱们有决心认为 SHA-256 是抗磕碰哈希函数,由于还没有人找到磕碰,而不是由于任何数学证明(事实上数学能够让咱们证明相反的定论:磕碰必定存在)。可是 SHA256 之所以被广泛运用,是由于产生磕碰的几率是如此之低,以至于没必要考虑。

相同,很难(读作:不或许)企图确认参与设置典礼的每个参与者诚笃运转的均匀概率,然后以数学办法证明生成的体系是安全的。可是,跟着参与者数量的添加,即便与广泛运用的暗码计划以及与关于参与者的极为失望的假定比较,这些几率也趋于逐步减小。实践上,参与者的数量相似于安全参数,其在暗码学理论中用作可调整参数,为不同的值供给不同的“安全级别”。

使设置典礼愈加高效的立异反映出 ZKP 研讨的惊人脚步。计划变得越来越有用,使运用变得有用,并鼓舞进一步的立异和开展。这导致了相似摩尔定律的 ZKP 改善曲线。现在甚至有所谓的“通明” zkSNARK (例如 Fractal 和 SuperSonic),消除了对可信设置的要求。虽然有这些立异,可是比如 Groth16 之类的现有 zkSNARK 的高功率意味着它们或许会在未来几年持续运用。设置典礼能够为协作社区以及正在完结这些的项目供给时机。因而它们代表了一个值得拥抱的时机,而不是一个需求战胜的必要罪恶。

参阅

ZeroCash https://ieeexplore.ieee.org/document/6956581

Groth16 https://eprint.iacr.org/2016/260.pdf

Zcash 设置典礼 https://electriccoin.co/blog/the-design-of-the-ceremony/

Zcash 设置(Radiolab)
https://www.wnycstudios.org/podcasts/radiolab/articles/ceremony

针对 CRS 的原始 MPC 提案
http://www.ieee-security.org/TC/SP2015/papers-archived/6949a287.pdf

MPC 的第二项提案 https://eprint.iacr.org/2017/602.pdf

MMORPG https://eprint.iacr.org/2017/1050.pdf

达观流水线 https://ethresear.ch/t/accelerating-powers-of-tau-ceremonies-with-optimistic-pipelining/6870

来历链接:medium.com

免责声明:作为区块链信息渠道,本站所发布文章仅代表作者个人观点,与链闻 ChainNews 态度无关。文章内的信息、定见等均仅供参阅,并非作为或被视为实践出资主张。

[标签:作者]