就像汽车一样,zk-SNARK零知识证明系统是由很多具有不同功能的部件组成的。在我看来zk-SNARK这辆车的引擎就是用来保护私有信息的双线性配对。配对是一种特殊的映射,它模糊了信息但依然允许你进行有限的计算,非常令人着迷。
用自己熟悉的语言学习以太坊DApp开发: Java | Php Python .Net / C# Golang Node.JS Flutter / Dart
配对的基本概念
配对(Pairing)将输入的两个群成员映射为第三个群的成员,将配对记为
e
。
上式左边的群由椭圆曲线上的点构成。你可以在很多地方找到椭圆曲线数学的介绍,不过我推荐Nick Sullivan写的
这篇。上式右边的群被称为目标群,通常是一些大型有限群。
有趣的是,第一个椭圆曲线配对是法国数学家André Weil二战期间在监狱中给出的:
配对必须具备一些代数特征,下面是最重要的一个,被称为双线性:
下面是另一种表达方式:
配对的另一个重要特征是非退化性(non-degeneracy):
右边的1表示目标群中的乘法单位元。非退化性保证了只要我们选择椭圆曲线上的非单位成员G,就能得到目标群中的非单位元。
双线性配对在零知识证明中的应用
正如Vitalik Buterin指出的,配对可以用于验证一个数学过程是否正确执行,这也是配对在zk-SNARK中的用途。例如,假设我声称自己知道一个满足以下二次方程的数值:
为了说服你我的确知道上述方程的一个解,一个办法就是告诉你
我知道的这个解,然后你自己带入上述方程去验证。另一个办法
就是我不告诉你这个具体的解是多少,但是使用椭圆曲线上的配对
进行验证。
首先注意,如果:
那么k要么是0,要么是群的阶的倍数,因此如果以下等式成立,我们
就可以确定二次方程成立:
由于
x²-x-42
可以为0或目标群的阶的倍数, 因此我们需要更多x的信息来判断x的确是0,这一问题在
另一篇文章已经介绍过了。
利用双线性,我们可以将上述等式重写为:
进一步整理:
现在,不需要验证原始的二次方程成立,只需要验证上面这个配对方程成立即可。
我不需要提供x的具体数值,只需要告诉验证人xG就可以了 —— 这隐藏了真实的x,
同时也让验证人可以验证我的x的确让等式成立。
原文链接:
双线性配对:零知识证明的引擎 —— 汇智网