ROO:ZKSwap團隊解讀零知識證明算法之Bulletproofs：Range Proof（1）_TXA Project

前言

Bulletproofs，又一個有意思的零知識證明算法，相信讀者已經很熟悉它了。和zk-snark相比，它不需要可信設置；和zk-stark算法相比，它具有較小的proofsize。根據論文，它有兩個方面的應用：

用于rangeproof；用于一般算術電路的零知識證明。下面，讓我們先看一下Bulletproofs是如何高效的實現第一點。Rangeproof

1.預備知識

aL：表示向量{a1、a2……an}

2n：表示向量{20、21…2n-1}

<a、b>:表示向量內積∑ai*bi，結果是一個值

aob：向量對應位相乘，{a1*b1……anbn}，結果是一個向量

風投公司OP Crypto已籌集2800萬美元資金:金色財經報道，加密貨幣風險投資公司OP Crypto已從22個投資人處募集到2800萬美元資金。去年，OP Crypto曾表示正推出1億美元的基金來支持早期的加密VC，該基金名為“OP Funds of Funds I”。[2023/4/7 13:50:33]

2.證明

Alice想要證明?v??=>則，需要證明一個relation得成立，如下所示：

{：V=?grhv?^v??}

public-xwitness-wrelation-R

即，對于公開信息x，Alice有隱私信息w，使得關系R成立。

令aL為金額v的在范圍內的二進制形式，則aL={a1、a2……an}?{0,1}n，且滿足<aL,2n?>=v。因此，證明者需要證明以下幾個等式相等：

美國國稅局發布加密貨幣的公眾報告要求清單:1月28日消息，隨著提交2022年美國聯邦所得稅申報表的截止日期臨近，美國聯邦稅法的執行機構美國國稅局 (IRS) 發布了一份針對處理加密貨幣的公眾的報告要求清單。

直到2021年，美國國稅局在與所得稅相關的報告表格中使用了“虛擬貨幣”一詞，該表格已更新為“數字資產”。所有美國公民都必須回答有關加密貨幣的問題，“無論他們是否參與任何涉及數字資產的交易”。（Cointelegraph）[2023/1/29 11:34:30]

等式(1)確保了承諾V和金額v的綁定關系，等式(2)確保了v的范圍，等式(3)、(4)確保了aL?元素只屬于{0,1}。等式(2)/(3)/(4)總共包含了2n+1個約束，其中公式(2)1個，公式(3)(4)各n個。接下來，為了效率，我們需要把2n+1個約束轉換成1個約束。

外媒：美SEC意外泄露加密礦工個人信息，涉嫌違反《隱私法》:1月18日消息，一份截圖顯示，美國證券交易委員會（SEC）于在調查去中心化電網區塊鏈項目Green時無意泄露了加密礦工的個人信息，調查的部分內容包括該項目接觸的消費者，詢問他們購買Green產品的情況，并詢問他們的體驗。雖然Green的成員已經與SEC合作回答了所有相關問題，但該機構未能在1月6日將所有650名用戶的電子郵件以密件方式發送，因此泄露了這些人的姓名和電子郵件。

據收到電子郵件的人士稱，此次泄密事件對加密愛好者社區產生了不利影響。他們聲稱這些信息足以讓他們被識別并破解他們用來通過“挖采”生產Green加密貨幣的“節點”。截至周二，還沒有黑客入侵的報道。Green社區還非常強調維護消費者隱私，因為區塊鏈允許用戶匿名交易和挖幣，并表示它認為發布個人身份信息不利于這一目的。

報道稱，此次調查意外泄露個人信息違反了美國1974年的《隱私法》，該法案禁止在未經適當同意的情況下分享聯邦機構收集的信息。SEC對此回應稱：“保護各方的隱私至關重要，美國證券交易委員會正在調查此事。”（華盛頓觀察家報）[2023/1/18 11:17:50]

3.2n+1個約束轉換成1個約束

Zipmex將從本周起釋放ETH和BTC，并允許60%客戶從其Z錢包中提款:金色財經報道，加密貨幣交易所Zipmex的一位發言人周一表示，將從本周開始釋放以太坊和比特幣，并允許60%的客戶從其Z錢包中提取資產。總部位于新加坡的Zipmex于7月停止從Z錢包提款，據稱該錢包對BabelFinance和Celsius有價值5300萬美元的風險敞口。該公司表示，以太坊將于周四釋放，比特幣將于8月16日釋放。上周它已允許提取XRP、ADA和SOL。

Zipmex上個月末表示正在與投資者就潛在資金進行談判。泰國證券交易委員會上周六表示，它正在收集有關受影響客戶的更多信息，并正在與客戶代表就此事進行合作。（EuroNews）[2022/8/8 12:10:05]

=>預備：從Zp?中任意選擇一個數y，則b=0n是等式<b,yn>=0成立的充分條件；因為當b!=0n，等式成立的概率僅有n/p，p是有限域，遠大于n。因此，如果有<b,yn>=0，那么驗證者愿意相信b!=0n?。

利用這個理論，我們把等式(2)/(3)/(4)做以下轉換：

驗證者隨機選取一個數y發送給證明者證明者要證明：

同理，等式(5)確保了v的范圍，等式(6)(7)確保了aL?元素只屬于{0,1}。此時2n+1個約束轉換成3個約束，接下來，還需要做進一步的處理：

驗證者隨機選取一個數z發送給證明者證明者利用z對公式(5)(6)(7)進行線性組合，得到如下公式：z2**<aL、2n?>+z*<aL?-1n-aR、yn>+<aL、aR?oyn?>=z2?*v(8)

至此，我們已經把2n+1個約束轉換成1個約束。下面我們對公式(8)做進一步的優化，把三個點積優化成1個點積。

4.三個點積優化成1個點積

=>令

L=aL?-z*1n

R=(aR?+z*1n)oyn?+z2?*2n

δ=(z–z2)*<1n,yn?>-z3*<1n,2n?>

5.驗證：

證明者把L/R/V發送給驗證者；驗證者事先算好δ驗證者根據L算出來aL，根據<aL,2n?>=v算出v驗證者根據L、R、v、δ驗證等式<L,R>=z2?*v+δ因為y，z都是驗證者提供，因此如果驗證者如果能驗證公式(9)成立，則相信等式(5)(6)(7)成立，則相信等式(2)(3)(4)成立，則相信v滿足關系v?。

但是，可以看到上述過程，泄露了v的信息，因此需要一個零知識證明協議。

6.一個零知識證明協議

由于L、R包含了v的相關信息，因此，我們需要添加兩個盲因子sL、sR來隱藏aL，aR。如公式(10)(11)所示：

此時，定義公式(12)

可以看出系數t0是l(x)和r(x)常數項的乘積，即滿足：

t0?=<L,R>=z2*v+δ

因此，問題由證明：

<L,R>=z2*v+δ

轉化成了，在任意一點x，驗證者驗證多項式值l(x),r(x),t(x)滿足關系：

<l(x),r(x)>=t(x)

多項式值l(x),r(x),t(x)由證明者提供，為了保證l(x)，r(x)well-formed，即：

需要校驗：

=>當且僅當l/rwell-formed，等式成立

為了保證t(x)well-fromed，即：

t=t0?+t1x+t2x2

需要校驗：

=>?當且僅當t和τx?welle-formed，等式成立

具體的協議流程圖如下圖所示：

總結

從上述流程可以看出，一次rangeproof，證明者需要發送總共**{l/r/t/τx?/μ/T1?/T2/A/S}**個元素給驗證者，總共2n+3個Zp元素，4個G元素。下一篇文章將細講，Bulletproofs如何將交互復雜度降低到對數級O(log(n))。

附錄

Bulletproofs論文：https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8418611

Tags：ROOProofPRO加密貨幣0XPROOFProof Of DegenTXA Projectripple幣是數字加密貨幣嗎

Gateio