谈到ZKP算法,大伙可能听过一些,比如zk-snark、zk-stark、bulletproof、aztec、plonk等等。今天,ZKSwap团队就和大伙聊聊这一对“表面兄弟”,zk-stark和zk-snark算法的异同之处。
首先,先从名字说起。
如下图所示,我们将名称zk-stark和zk-snark根据功能特点分别分成四个部分,然后逐个比较分析。
Zk-stark=>zk-stark
zk:零知识,表明隐私的输入将会被隐藏,除了证明者,其他任何人不会看见;s:可扩展的,和ReplayComputation的验证耗时相比,zk-stark的证明和验证耗时分别与之呈拟线性关系和对数关系;t:透明的,zk-stark算法没有CRSsetupbyTrustedparty;arg:知识论证,只有知道privateinput的prover,才能生成有效的proof;Zk-snark=>zk-snark
zkSync 生态永续合约协议Phezzan Protocol决定关闭,将在GitHub上开源代码:4月24日消息,zkSync 生态去中心化永续合约协议 Phezzan Protocol 发推称,经过多次讨论,团队决定关闭 Phezzan。Phezzan 推特账户将永远不会再更新,Phezzan Discord 将在 24 小时内关闭。此外,Phezzan 代码将在 GitHub 上开源。[2023/4/24 14:22:47]
zk:零知识,表明隐私的输入将会被隐藏,除了证明者,其他任何人不会看见;s:简洁的,指的是生成的proof足够小和验证时间足够短;n:非交互式的,Prover生成证明的过程中和verifier没有交互;arg:知识论证,只有知道privateinput的prover,才能生成有效的proof;Compare
去中心化云存储平台 Storj 支持 zkSync 2.0 和 EIP-4844:金色财经报道,去中心化云存储平台 Storj 宣布支持以太坊 Layer 2 扩容方案 zkSync 2.0 升级和 EIP-4844,此次升级使存储节点能够以最小的 Gas 费用收付款,大幅降低 Layer 2 费用,使去中心化云存储更加经济高效。[2022/12/6 21:25:59]
相同点都实现了将隐私的输入可靠隐藏;都是基于知识论证,不知道privateinput的prover生成不了有效的proof;都可以实现交互式与非交互式式的算法,只是取决于randomness是由谁来生成的;不同点zk-stark具有可扩展性,即证明和验证的耗时与原始计算的耗时分别呈拟线性关系和对数关系,这意味这,如果原始输入的数据集增大1000000倍,zk-stark的证明耗时增加线性倍数的时间,但验证时间仅仅增加21*log1000000=~420倍。证明耗时呈线性关系基本满足所有的ZKP算法,但是验证时间呈对数关系,仅此一家,因此在扩展性上,zk-stark要胜一筹。zk-stark同样具有简洁性,但是是验证简洁性。所谓简洁性,通常是指即使验证程序很大,生成的proofsize也不会很大,同时又能很快的完成验证。相比对zk-snark,zk-stark的proofsize要大的多,因此在简洁性上,zk-snark要胜一筹。ALGcompare
ZKSwap将于4月30日进行首次ZKS回购销毁:据ZKSwap经济白皮书约定,ZKSwap协议将收取所有Layer2 Swap交易额的0.3%作为交易手续费,其中0.05%将作为协议手续费定期回购ZKS,所得的ZKS直接销毁。ZKSwap将于每月月底进行ZKS回购销毁并发布相应公告,回购销毁策略如下:通过量化算法在ZKSwap上取每个币种兑ZKS的最优交易路径,将当月手续费全部兑换为ZKS后进行销毁。
首次销毁将于北京时间2021年4月30日进行,销毁后将发布具体数据并进行公示。[2021/4/27 21:03:46]
前面从概念上对zk-stark和zk-snark算法做了比较,其异同点可以笼统的概括为:
都是基于知识论证的ZKP算法;zk-stark不需要zk-snark的Trustedparty设置CRS,因此是Transparent;zk-stark的验证耗时与nativecomputation耗时呈对数关系,因此是Scalable;下面,我们将从算法层面,去做相对更深入一些的比较分析:
ZKSwap发布社区治理方案及治理代币gZKS细则:官方消息显示,ZKSwap于今日正式发布了社区治理方案,本方案旨在满足社区治理需求,提高社区治理效率。公告主要说明了ZKSwap社区治理规则,包括gZKS 的分发机制和权益,以及用户参与社区治理的流程。其中,社区治理代币gZKS由360天期限的ZKS锁仓合约产生,用户参与锁仓可根据实际锁仓时间至多1:1的比例获取gZKS 代币。持有gZKS的用户,可参与社区治理,包括提案和投票。持有5万枚gZKS以上的用户可发起提案,参与投票不设门槛,单次投票至少1 gZKS。治理内容包括上币、空投、流动性挖矿、经济模型和技术路线调整等。具体内容请登录官网查看。[2021/4/22 20:48:36]
zk-snarkALG算法思想:将证明CIstatement成立问题转换成证明多项式等式成立问题,转换过程用到了算术环路和QAP方法;多项式等式成立意味着什么?a.等式两边可以看作两个度相等的多项式,假设为n,其交点最多有n个,假如在一个很大的域范围内随机选一个点,如果的两个多项式在此点的值相等,则证明两个多项式是相等的。b.我们可以看到,等式右边的多项式因子Z是目标多项式,它的零点就是右边整体多项式的零点,也就是等式左边整体多项式的零点,而等式左边的多项式在这些零点的取值,就转换成了一个个的算术电路里每个乘法门对应的一阶线性约束等式成立,即原始计算等式成立;算法分为三个步骤:CRS生成;证明者证明;验证者验证;可以看到prover生成证明过程中,没有与验证者交互,因此是non-interative;如何保证prover用于生成证明的A/B/C/H是多项式且是小于某个度数呢?a.通过trustedparty来保证,因为它是可信任的,因此它生成pk,vk用到的A/B/C等肯定是多项式并且是小于某个度的;b.如果证明者作恶,那么验证者将会很大概率验证失败;c.主要用到了同态加密HH和系数知识假设KCA和椭圆曲线双线性配对等数学知识;
zk-starkALG算法思想:将证明CIstatement成立问题转化成证明多项式小于某个度的问题,转换过程用到了多项式插值方法;多项式等式成立意味着什么?思想与zk-snark一样,T同样为目标多项式,其零点已知且公开,也是等式左侧多项式Q的零点,多项式Q在每一个零点的取值都对应了一个executetrace的成立。因此多项式相等,意味着executetrace正确,说明原始CI成立。
多项式小于某个度意味着什么?和zk-snark类似的是,两者都把CIstatement转换成了证明多项式等式成立的问题。为了防止验证者作恶,必须要保证多项式是低于某个度的。不同的是,zk-snark使用了trustedparty机制和同态加密等数学方法,而zk-stark使用了低度测试等数学方法。当且仅当多项式真正的小于某个度时,多项式的相等才是真实意义上的相等,说明生成轨迹多项式的executetrace是正确的,即原始CI成立。
算法分为两大步骤,算术化和低度测试;a.算术化:是把问题转化为多项式形式b.低度测试:是证明组合多项式(图中黄色)和轨迹多项式小于某个固定的度-->FRI算法在生成证明的过程中,有交互,所以图中描述的是交互式的零知识证明算法;
Summary
以上分别从概念和算法上介绍了zk-snark和zk-stark算法的异同之处,作为引文,后续发文将深入详细价绍zk-stark算法的原理。如有错误,麻烦批评指正,谢谢。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。