使用 zk-SNARKs 的可编程零知识证明:第 2 部分

Posted sCrypt 智能合约

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用 zk-SNARKs 的可编程零知识证明:第 2 部分相关的知识,希望对你有一定的参考价值。

第 1 部分中,我们演示了 zk-SNARK 将密码问题转化为编程问题。例如,我们“编程”了椭圆曲线点乘法来证明给定公钥的私钥知识,相当于数字签名。

今天,我们展示了如何通过使用零知识语言 Circom 简单地“编程”它来实现另一个复杂的密码学技术:环签名

使用 zk-SNARKs 的环签名

在环签名中,组/环的任何成员都可以签名以证明其成员资格,而无需透露其具体身份。基于签名,验证者可以确定组成员中有人签名,但他无法知道是哪一个签名。我们之前已经实现了环签名。尽管它是可行的,但这绝非易事,需要全面的密码学知识和独创性才能提出。

环签名

由于 zk-SNARK 的可编程性和可组合性,我们可以在前面的点乘库的基础上简单地“编码”如下环签名。

// `n`: chunk length in bits for a private key
// `k`: chunk count for a private key
// `m`: group member count
template Main(n, k, m) 
  signal private input privkey[k];
  
  signal public input pubKeyGroup[m][2][k];
  signal output existInGroup;

  // get pubkey from privkey
  component privToPub = ECDSAPrivToPub(n, k);
  for (var i = 0; i < k; i++) 
    privToPub.privkey[i] <== privkey[i];
  

  signal pubkey[2][k];

  // assign pubkey to intermediate var
  for (var i = 0; i < k; i++) 
    pubkey[0][i] <== privToPub.pubkey[0][i];
    pubkey[1][i] <== privToPub.pubkey[1][i];
  

  // check whether pubkey exists in group
  var exist = 0;
  component eq[2*m];
  var compareResult[m];

  for (var i = 0; i < m; i++) 
    // pubkey `x` comparer
    eq[i] = BigIsEqual(k);

    // pubkey `y` comparer
    eq[i+m] = BigIsEqual(k);

    for(var j = 0; j < k; j++) 
      // compare `x`
      eq[i].in[0][j] <== pubkey[0][j];
      eq[i].in[1][j] <== pubKeyGroup[i][0][j];

      // compare `y`
      eq[i+m].in[0][j] <== pubkey[1][j];
      eq[i+m].in[1][j] <== pubKeyGroup[i][1][j];
    
    
    compareResult[i] = eq[i].out * eq[i+m].out;
  

  component checker = InGroupChecker(m);
  for(var i = 0; i < m; i++) 
    checker.in[i] <== compareResult[i];
  

  existInGroup <== checker.out;

group_pubkey.circom

从第 11 行到第 22 行,我们使用第 1 部分中介绍的 ECDSAPrivToPub 从第 5 行的私钥派生出第 16 行的公钥(注意它被声明为私有)¹。然后,我们只需将生成的公钥与第 7 行定义的组中的每个公钥进行比较(注意它是公开的)。当且仅当它与第 54 行的组中的任何一个匹配时,我们才返回 true

可以在这里找到测试

由于私钥输入是私有的并且保持隐藏状态,因此验证者无法使用它来识别哪个成员创建了证明。我们创建了一个 ZKP 用于组/环中的成员资格和环签名的等价物,而无需了解任何底层密码学!这就是 zk-SNARKs 的力量。


[1] 我们更喜欢这里的 ECDSAPrivToPub 而不是 Secp256k1ScalarMult,因为它更有效。

以上是关于使用 zk-SNARKs 的可编程零知识证明:第 2 部分的主要内容,如果未能解决你的问题,请参考以下文章

使用 zk-SNARKs 的可编程零知识证明:第 2 部分

使用 zk-SNARKs 的可编程零知识证明:第 2 部分

使用 zk-SNARKs 的可编程零知识证明:第 3 部分

比特币上的 zk-SNARKs

零知识证明zk-snark算法Ubuntu环境搭建

零知识证明ZK-SNARKs的Circom 电路和 Snarks (翻译)