零知识简洁非交互式知识论证 (Beam-SNARK) 是一种开创性的方法,它允许人们在不透露任何其他信息的情况下证明陈述的真实性。但这为什么有用呢?
零知识证明有广泛的应用场景,例如:
1. 关于私人数据的证明陈述:
- 确认某人的银行余额超过某个限额,但不透露具体金额。
- 核实银行在过去一年内没有与特定实体进行过交易。
- 匹配 DNA 样本但不透露完整的基因图谱。
- 显示高于一定值的信用评分但不透露详细信息。
2. 匿名授权
- 证明用户有权访问网站的限制区域,而无需分享其身份(例如登录凭据)。
- 确认在授权地区的居住权但不透露具体位置。
- 在不透露身份的情况下验证有效地铁通票的所有权。
3. 匿名支付:
- 无需关联身份即可进行付款。
- 不披露收入而纳税。
4. 外包计算:
- 委托复杂的计算,同时确保结果正确,无需重复工作。
- 将区块链模型从通用计算转变为一方计算、其他方验证的模型。
零知识证明的底层数学和密码学简直就是奇迹。自 1985 年开创性的论文“交互式证明系统的知识复杂性”以来,该领域已经活跃了四十多年。非交互式证明的引入在区块链环境中尤为关键。
在任何零知识证明系统中,都有两个关键参与者:
- 证明者:想要让验证者相信某个陈述的真实性的人。
- 验证者:无需获取任何额外知识即可检查证明者主张的有效性的人。
该系统必须满足三个核心属性:
- 完整性:如果陈述是真实的,则证明者可以说服验证者。
- 健全性:作弊的证明者无法让验证者相信错误的陈述。
- 零知识:交互仅揭示陈述是否真实,而不揭示其他任何内容。
Beam-SNARK 将这些原理应用于通用计算,为实际应用提供了一个优雅的解决方案。
证明的媒介
为了理解 Beam-SNARK,让我们从一个简单的例子开始,而不深入研究零知识或交互性。
假设我们有一个 10 位的数组,并且我们想要向验证者(例如,程序)证明所有位都设置为 1。
假设我们有一个长度为 10 的位数组,并且我们想要向验证者(例如程序)证明所有这些位都设置为 1。
验证者每次只能检查一位。为了验证该声明,验证者可以按随机顺序检查位:
- 一次成功检查后,验证者对该声明的信心为 10%。
- 如果某个位为 0,则该断言立即被推翻。
- 为了获得更高的置信度(例如 50% 或 95%),验证者必须执行更多检查,与阵列的大小成正比。这种方法对于大型数据集来说不切实际。
相反,我们可以利用具有独特属性的多项式。多项式在图形上显示为曲线,由数学方程定义。
上图曲线对应多项式:f(x) = x³ — 6x² + 11x — 6。多项式的次数由其 x 的最大指数决定,在本例中为 3。
多项式有一个优点,即如果我们有两个次数最多为 d 的不相等多项式,它们最多只能在 d 个点处相交。例如,让我们稍微修改一下原始多项式 x³ — 6x² + 10x — 5,并将其可视化为绿色:
如此微小的变化会产生截然不同的结果。事实上,不可能找到两个不相等的多项式,它们共享一条连续的曲线块(单点块的情况除外)。
此属性源自查找公共点的方法。如果我们想找到两个多项式的交点,我们需要使它们相等。例如,要找到多项式与x轴的交点(即f ( x ) = 0),我们使x ³ — 6 x ² + 11 x — 6 = 0相等,并且该等式的解将是这些公共点:x = 1、x = 2 和x = 3,您也可以清楚地看到,在上图上蓝色曲线与x轴线相交的位置,情况确实如此。
同样,我们可以将原始多项式和修改后的多项式相等来找到它们的交点。
所得到的多项式是 1 阶的,显然有一个解x = 1。因此只有一个交点:
对于任意次数为d 的多项式,任何此类方程的结果始终是次数最多为d的另一个多项式,因为没有乘法可以产生更高的次数。例如:5 x ³ + 7 x ² — x + 2 = 3 x ³ — x ² + 2 x — 5,简化为 2 x ³ + 8 x ² — 3 x + 7 = 0。代数基本定理告诉我们,次数为d 的多项式最多可以有d 个解(更多内容见下文),因此最多有d 个共享点。
因此,我们可以得出结论,在任意点处对任何多项式的求值类似于对其唯一身份的表示。让我们在x = 10 处求值示例多项式。
事实上,在所有要评估的x选择中,只有最多 3 个选择在这些多项式中具有相同的评估,而所有其他选择都会有所不同。
这就是为什么如果证明者声称知道某个多项式(无论其度数有多大),而验证者也知道的话,他们可以遵循一个简单的协议:
- 验证者为x选择一个随机值,并在本地评估多项式
- 验证者将x提供给证明者,并要求其计算相关多项式
- 证明者在x 处评估多项式,并将结果提供给验证者
- 验证者检查本地结果是否等于证明者的结果,如果是,则该语句具有很高的置信度
例如,如果我们考虑x的整数范围从 1 到 1⁰⁷⁷,则评估不同的点数为 1⁰⁷⁷ — d 。因此, x意外“击中”任何d个共享点的概率等于(这被认为是可以忽略不计的):
注意:与低效的位校验协议相比,新协议仅需要一轮,并且对该声明具有压倒性的信心(假设 d 足够小于范围的上限,则几乎为 100%)。
这就是为什么多项式是 Beam -SNARK的核心,尽管也可能存在其他证明媒介。
原文:https://medium.com/@Moonchain_com/why-and-how-beam-snark-works-94f703cf1413