最近有空看了看Plookup的论文。针对对电路描述不友好的操作(比如bit操作),Plookup给出了新的思路和证明方式。给定某个操作的真值表示(lookup table),证明某个操作的输入/输出是在真值表中。这种方式,相对之前的bit计算约束方式,降低约束的个数,提高了电路效率。
Plookup的论文下载地址如下:
https://eprint.iacr.org/2020/315.pdf
基本思想
Plookup尝试解决的问题是,给定两个集合,证明某个集合的元素在另外一个集合中。给定两个集合t和f,s是f排序后的结果。如果t中的元素最少在f中出现过一次。判别f中的元素是否包括在t中,只需要比较元素差的集合:
以太坊ZK Rollup扩容方案Hermez Network正在开源零知识证明模块:据官方消息,以太坊ZK Rollup扩容方案 Hermez Network表示,正在开发一个名为Rapidsnark新的zk-SNARKs零知识证明模块,目前已经发布并开放了源代码。[2021/2/2 18:43:40]
举个例子,t是{1,4,8}的集合,元素的差异集合为{3, 4},分别是4-1,8-4。如果s只有t中的元素组成,并且每个元素最少出现一次,例如{1,1,4,8,8,8},元素的差异集合也为{3,4}。如果s中的元素并不完全是t中的元素,那即使在元素差异集合一样的情况下,也不能说明s中元素在t的集合中。例如s为{1,5,5,5,8,8},元素的差异集合也为{3,4},分别是8-5,5-1。
Vocdoni 认为以太坊和零知识证明等技术可以实现数字投票方案:去中心化治理工具 Vocdoni 撰文认为在经历了 2020 年美国大选期间的投票混乱之后,是时候该考虑基于以太坊、零知识证明(zkSNARK)和 IPFS 等去中心化技术实现安全且匿名的数字投票解决方案。
Vocdoni 认为这不是一个简单的挑战,但是他们设计了一套系统希望能解决投票的问题,将利用以太坊、IPFS 和 Tendermint 等技术。Vocdoni 表示他们的投票协议技术(Vocdoni Open Stack)是完全开源的,已经在欧洲的一些文化组织选举中被证明是成功的,涉及近 20 万投票者。[2020/11/9 12:06:07]
论文提出,可以引入一个随机因子,将前后两个元素相加的方法,确定两个集合的依赖关系。
动态 | 摩根大通正在测试零知识隐私解决方案:据coindesk报道,摩根大通(JPMorgan Chase)正在测试一种名为AZTEC的零知识隐私解决方案。该协议由伦敦创业公司AZTEC开发,旨在以更低的成本和更高效的方式对区块链数据进行加密。摩根大通内部人士证实,该银行的Quorum团队正在关注AZTEC,并且一直希望将Quorum的零知识证明工业化。[2019/3/1]
定义多项式
在基本思想的基础上,论文在第三章定义了两个多项式F和G:
如果F和G相互对等,有且如下的条件成立:
f集合属于t
s是(f,t)的并集,并且按照t中的元素排序
如果条件成立,可以推导出两个多项式相等。F多项式可以看成是两部分组成,分别是两个连乘。后面的连乘可以看成是t中的元素连乘。前面的连乘,可以看成是f中元素的连乘。因为f中的元素属于t,则f中的元素的连乘,可以想象成多个相同元素的连乘。反之,因为beta和gamma的随机因子,也能从F和G对等条件推出满足的两个条件。具体的证明过程,可以查看论文的第三章。
在定义多项式的基础上,问题可以转化成两个多项式相等。
Plookup协议
已知f和t,可以排序得到s。因为s由f和t合并而成,s可以由两个函数h1和h2表示。关键在于第4步,定义了Z函数:
Z(g) = 1 - 初始为1
Z(x) 是两种多项式表示的商
Z(g^(n+1)) = 1 - n+1元素的连乘,两种多项式表达式相等
验证者,除了查看Z函数外,额外还要查看h1/h2连续性。
论文进一步将协议推广到更通用的情况,并给出了t中元素是连续情况下的优化协议。感兴趣的小伙伴可以自行查看。
Plookup提出了一种明确输入/输出的情况下,如何证明某个函数的运算正确的协议。输入输出定义成lookup表,计算的输入/结果只要在该lookup表中即表示运算正确。和Plonk采用同样的思路,Plookup定义了问题的多项式表示,证明了Z函数的递归表示和边界。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。