GRO:科普 | 天冷了，干了這碗“零知識證明”雞湯_區塊鏈工程專業張雪峰

前言：從一鍋雞湯說起

當讀者剛開始接觸零知識證明的概念時，面臨第一關就是如何搞懂突如其來的大量名詞，比如離散對數問題、雙線性對還有Groth16、PLONK、RedShift等。不妨我們借用“烹飪”這個生活場景來類比其中的層次關系。

如果把“密碼學”比做“烹飪”，那么上個系列中對雙線性對的學習就類似于學習燉湯前先簡單了解的高壓鍋的工作原理，而zkSNARK則相當于在說明如何用高壓鍋燉出美味雞湯。

由此可見，雙線性對是類似基礎工具的角色：就像高壓鍋既可以燉雞湯也可以燉排骨湯，雙線性對既可以用于零知識證明也可以用于構造簽名等密碼學算法。而Groth16、PLONK、RedShift等，它們同屬于zkSNARK，屬于同一層次，如果沿用上述類比，那大概就是對應用高壓鍋做湯的風味選擇了。Groth16算法是JensGroth提出的一種zkSNARK算法，相關論文不僅對已有算法進行改進，而且討論了基于配對的非交互式零知識論證的證明大小問題。Groth16因其精簡的證明大小和高效的驗證效率，在ZCash等項目中多有應用，是最經典的零知識證明算法之一。

民盟中央建議加速元宇宙科普和立法:3月4日消息，民盟中央已起草了《關于“元宇宙”技術發展的提案》，并將提交全國政協十三屆五次會議。在提案中，民盟中央建議，在科普層面需加速知識傳播，法律層面則需加快立法步伐。民盟中央擬提交的提案指出，目前，在新興網絡層面，相關政策法規相對缺失。“元宇宙”在未來將會帶動形成全新的網絡形態，當遇到突發輿情，全虛擬的環境、場景將更難進行源頭追蹤、問題疏導。因此建議應盡早加快立法研究，盡快形成與技術、市場發展相適應的治理模式和法律基礎，全面提升我國社會治理的水平。建議組織相關部門，針對“元宇宙”相關需求、風險進行立法研究，并盡快發布。此前消息，民進中央擬向全國政協十三屆五次會議提交《關于積極穩妥推進元宇宙技術和產業發展的提案》。建議推進元宇宙技術產業發展，建立相關監管治理體系。（華夏時報）[2022/3/4 13:37:12]

上一個系列中我們完整介紹了零知識證明中用到的橢圓曲線和雙線性配對相關的基礎知識。本系列通過動手算的方式，以Groth16算法為例，循序漸進地介紹zkSNARK的基本原理。

歐易OKEx將于3月18日推出DeFi系列科普視頻:據歐易OKEx官方消息顯示，歐易OKEx將正式推出DeFi系列科普視頻《歐易DeFi20講》，本系列節目由歐易OKEx亞太區CEO馬克金主講。該視頻首期將于3月18日11:00(HKT)推出，用戶可以在歐易OKEx官方學院、金色財經觀看。

《歐易DeFi20講》主要包含DeFi入門指南、全景解讀DeFi生態及如何參與DeFi三個篇章，可以輕松使用戶了解DeFi原理，洞察DeFi價值，掌握DeFi熱點，更多詳情請關注歐易OKEx官方學院。[2021/3/18 18:55:59]

本篇是“動手算Groth16”的上篇，主要介紹如何從程序轉化為電路和描述算數電路的一種約束系統R1CS。下篇會介紹如何從R1CS轉化為多項式相關的約束問題，并且詳細給出完整的Groth16從頭到尾的手算步驟。

程序與電路

動態 | 人民日報官方微博科普區塊鏈 強調區塊鏈不等于比特幣:人民日報官方微博今早發表9圖科普區塊鏈。其中涉及區塊鏈的特點有：1、安全；2、不可篡改；3、可訪問；4、無第三方。區塊鏈對未來的影響：1、不需繁瑣個人證明；2、看病避免反復檢查；3、旅行消費更加便捷；4、交易無需第三方。同時強調，區塊鏈不等于比特幣。比特幣只是區塊鏈技術的一種應用，區塊鏈還有醫療衛生、食品安全、版權保護等諸多應用領域。[2019/10/28]

初始接觸通用零知識證明算法時，讀者可能最容易感到疑惑的地方就是各種資料中頻繁提到的“電路”一詞。這里的“電路”是指什么？它又如何等價地對同一個問題進行描述呢？回答這些問題最簡單的方式就是使用具體的一個算法例子進行說明。比如我們有下面一段程序代碼，如何將其轉化為等價的電路呢？

動態 | 美國演說家Anthony Robbins開始科普什么是比特幣:美國演說家安東尼·羅賓（Anthony Robbins）在自己的網站上發布了一篇比特幣的科普文章，并在推特上向自己的粉絲介紹什么是比特幣，目前他的推特賬戶共有粉絲304萬人。[2019/1/1]

▲需要被轉化為電路的代碼

這里需要注意到程序中值被存儲在變量中，而電路中的值是用電路門之間的連線表示的。這其中有個關鍵的不同是：變量的值是會隨著時間變化的，而電路中連線的值是固定不能改變的。因此首先我們通過引入一些中間量的方式表示隨循環而不斷變化的各階段的變量值，中間量命名為tmp1,tmp2...這樣的形式：

▲引入輔助的中間量

科普時報：區塊鏈與云計算長期發展目標不謀而合:據《科普時報》今日報道，區塊鏈與云計算兩項技術的結合，從宏觀上來說，一方面，利用云計算已有的基礎服務設施或根據實際需求做相應改變，實現開發應用流程加速，滿足未來區塊鏈生態系統中初創企業、學術機構、開源機構、聯盟和金融等機構對區塊鏈應用的需求。另一方面，對于云計算來說，“可信、可靠、可控制”被認為是云計算發展必須要翻越的“三座山”，而區塊鏈技術以去中心化、匿名性，以及數據不可篡改為主要特征，與云計算長期發展目標不謀而合。[2018/5/4]

最后我們可以轉化為只有加法門和乘法門的算數電路：

▲電路示意圖

這里除去輸入和輸出外，其他的圓圈代表了電路中的門：可以是乘法門或者加法門。而門和門之間的連線對應了程序中的中間變量在某個時刻的值。

如果站在更高的角度思考，其實可以發現有很多結構都能實現“運算”功能，比如說神經元組成的人腦，比如馮·諾伊曼結構的計算機，甚至更早的機械計算器和當今的人工神經網絡。算數電路也是這樣的一種能夠完成一定運算的結構，而且基于這種結構我們能夠完成對計算輸入和過程的“零知識證明”。因此通用零知識證明算法普遍引入了“電路”這個運算結構并且會研究，如何更好的將高級語言描述的問題轉化為等價的算法電路。

上面例子中約束較多，會給后續的“動手算”產生較多的計算量壓力，因此在下文中我們以一個新的例子重新展示這個轉化的過程。本系列后續文章都會以這個新的例子為主線進行敘述，從而真實展示證明和驗證的具體計算過程。新例子的程序代碼如下：

這里涉及到4個連線以及兩個等式關系。這兩個等式關系用更規范的方式重寫一下可以幫助讀者看地更清晰：

觀察這兩個式子的特點，可以發現兩個等式關系其實都可以寫作A×B=C的形式，其中A、B和C都是變量的“加權組合”。這并非巧合，而是我們有意為之。通過這種形式我們避免了對加法門的約束產生額外開銷，而是在對乘法門進行約束的同時零開銷的對加法關系進行約束，這是groth16的特點之一。在Groth16算法中，加法門和乘法門的地位并不是等價的，我們更關心乘法門。

下面對a,b,c,d四個變量賦予編號，以便下一步的處理,按照groth16的習慣我們將輸出排列在輸入之前：

可以看到除了連線a、b、c和d，還有一個特殊的連線“1”，“1”其實可以看作是一個特殊的公共輸入，他的存在讓我們在算法中能更容易地處理常量。“1”的值總是1。

從電路到R1CS

本部分之前先回顧一下向量的內積概念，向量的內積是從兩個同維向量得到一個標量的運算，其幾何意義對應了“投影”這個概念。比方說兩個二維向量的乘法：

·=2×4+3×1=11

回過頭看剛才的結果，因為A×B=C這個形式的存在，我們其實能夠進一步的對這些等式關系進行抽象。抽象的目的是為了方便編程處理和下一步的討論。以式子(2)為例，我們其實可以認為他是如下的形式：

根據上面介紹的向量內積，可以發現這里的A，B，C其實都是向量內積的形式:

這里的s其實就是全部的連線的值，如果證明者P是真的計算過這個電路的，則P能夠獲知s的值，否則P無法得知s的值。我們將這個s稱為witness。因此通過上面的向量a,b,c我們就能夠對s進行一定的約束，即s應該滿足：

這就構成了一個一階約束,這樣的一個約束對應了電路中的一個乘法門。如果我們將所有的約束聯立起來，就得到一個一階約束系統。通過R1CS我們可以更方便的形式化描述一個零知識證明問題，從而為我們后續解決該問題提供了條件。

下篇我們會介紹如何將R1CS描述轉換為多項式描述，并且通過完整的計算過程展示groth16算法的相關內容，敬請關注。

Tags：區塊鏈GROROTDEF區塊鏈工程專業張雪峰squidgrow幣最新消息YYFI ProtocolVerify DeFi

以太坊