Существует ли децентрализованный zk-SNARK (краткий неинтерактивный аргумент знаний с нулевым разглашением)?

Обычно в zk-SNARK, нам нужно сгенерировать два открытых ключа: один для proverи один для verifier. Однако входной параметр этого алгоритма генератора должен быть секретным, то есть он должен быть скрыт как для , так proverи для verifier.

И из-за этого процесс публичной генерации осуществляется доверенной третьей стороной .

Поскольку использование доверенной третьей стороны нежелательно для децентрализованной цепочки блоков , я ищу децентрализованный подход к генерации этих открытых ключей. Есть ? или невозможно иметь децентрализованную zk-SNARK ?

PS Более подробную информацию zk-SNARKможно найти здесь: https://media.consensys.net/introduction-to-zksnarks-with-examples-3283b554fc3b

Ответы (3)

Да, ключ проверки можно вычислить с помощью многосторонних вычислений (MPC). В этой установке nлюди участвуют в построении, и каждый независимо и случайным образом генерирует секретный ввод. Система настроена таким образом, что пока хотя бы один из участников отказывается от своего секрета, полученные ключи остаются безопасными.

Вы можете найти подробности о «церемонии» генерации оригинального ключа ZCash здесь:

Спасибо. Этот подход используется только для verification key(ключ, используемый верификатором)? или для обоих proving key (ключ, используемый прувером) и verification key? Спасибо
Кстати, ваша вторая ссылка: (Обзор генерации параметров ZCash) не работает ( The webpage at https://z.cash/technology/paramgen.html might be temporarily down or it may have moved permanently to a new web address. "ERR_TUNNEL_CONNECTION_FAILED"). Спасибо
Ключ доказательства не нуждается ни в чем секретном, так что на самом деле он не применяется. Ссылка у меня работает

Вы также можете проверить следующие ресурсы.

Блокчейн-команда ING представила Эфириуму свое предложение по созданию эффективных ZKP. Это не SNARK, а доказательство диапазона.

https://github.com/ing-bank/zkrangeproof

Есть еще Zokrates, но он в 10 раз дороже.

https://github.com/JacobEberhardt/ZoKrates

Спасибо, а что значит "дорого"? Вы имеете в виду "временную сложность"? Zokratesпо-видимому, это набор инструментов Ethereum для zk-SNARK.
Система ING не работает с общедоступной цепочкой блоков. Для реализации потребуется хардфорк.
Имею в виду дорого, так как стоимость газа для проверки контракта. Контракт ING стоит 3 миллиона газа для проверки. Реализация Zokrates стоит около 30 миллионов газа. @Tjaden, вы уверены, что он основан на прекомпиляции byzantium, поэтому он должен работать в основной сети.
О, вы правы, они, видимо, обновили его. Более старые версии предшествуют Византии. Конечно, доказательства диапазона строго менее выразительны, чем SNARK.
@NicoVergauwen правда? при нынешнем лимите в 8 миллионов газа, как проверка может стоить 30 миллионов газа? я
Мой плохой, ЗКРП 180к газ, ЗК-СНАРК 1,6 мил газ
в частной сети вы можете увеличить лимит блокгаза, чтобы это не было проблемой
Верно, но у вас также будет меньше необходимости в ZKRP в частной сети.
Протокол AZTEC, который позволяет выполнять переводы ZK с любым токеном, основан на ZKRP aztecprotocol.com.

ZK-STARK решает проблему доверенной установки в ZK-SNARK. На эту тему есть запись в блоге от Виталика:

https://vitalik.ca/general/2017/11/09/starks_part_1.html

Надеемся, что многие люди уже слышали о ZK-SNARK, универсальной краткой технологии доказательства с нулевым разглашением, которую можно использовать для всех видов использования, начиная от поддающихся проверке вычислений и заканчивая криптовалютой, сохраняющей конфиденциальность. Чего вы, возможно, не знаете, так это того, что у ZK-SNARK есть более новый и блестящий кузен: ZK-STARK. Поскольку T означает «прозрачный», ZK-STARK устраняет одну из основных слабых сторон ZK-SNARK, его зависимость от «надежной установки». Они также поставляются с гораздо более простыми криптографическими предположениями, избегая необходимости в эллиптических кривых, парах и предположении о знании экспоненты и вместо этого полагаясь исключительно на хэши и теорию информации; это также означает, что они защищены даже от злоумышленников с квантовыми компьютерами.

Существует ли децентрализованный zk-SNARK (краткий неинтерактивный аргумент знаний с нулевым разглашением)?
СпросиСетьПолитика конфиденциальности1y, 0v