最近,我们在 sCrypt 中实现了 zk-SNARKs,并在 BSV 上运行它。更具体地说,我们实现了 Groth16 算法的验证器,它允许直接在链上验证零知识证明。本文深入探讨了一些细节,阐明了如何在 BSV 上有效地实施其他高级加密技术。
椭圆曲线上的双线性对
Groth16 证明尺寸极小,并且可以快速验证。我们选择了最佳的 Ate 配对,因为它的效率已在实践中得到证明。
我们在配对友好的椭圆曲线 BN256(也称为 ALT_BN128 和 BN254)上实现它。我们使用 BN256 是因为
- 有流行的 ZKP 工具(如 ZoKrates 和 Circom)支持;
- 与以太坊等其他区块链兼容。
米勒算法用于有效计算最优 Ate 配对。在高层次上,它由两部分组成:
- 米勒循环:递归计算两个输入点
f(P, Q)的中间函数 - 最终取幂:将
f提高到大幂c
减少到3个配对
验证者需要检查以下等式是否成立。
元组 (A, B, C) 是证明,(α, β, ϒ, δ) 是验证密钥,L 来自公共输入。我们总共有 4 对 配对。我们注意到 α 和 β 在设置时是已知的,因此我们预先计算了第二对,并将 α 和 β 替换为验证密钥的一部分,从而减少了一对配对的技算。
一个单一的最终幂
等式 1 可以改写为:
它又可以写成如下,因为 e 是双线性的,我们可以将指数 (-1) 移动到括号中。
插入等式 2,我们得到:
我们不需要计算 4 次最终的幂运算,幂运算是计算密集型的,我们最终只需要执行一次。
循环展开
在 sCrypt/Script 中,所有 if 分支都包含在交易中并产生交易费用,无论它们稍后是否执行。在米勒循环中,sᵢ 在编译时是已知的。我们展开循环并避免在第 5 行和第 7 行分支。
扩展域 twist
直接计算两点的配对需要在扩展域 Fq¹² 上进行椭圆曲线算法,这非常复杂且效率低下。我们使用 twist 将其映射到 Fq²,从而大大提高了效率。请参阅这篇文章以获得更详细的解释。
概括
经过所有这些优化,我们能够将配对的脚本大小减少 100 倍至 5MB。我们正在探索更多优化以进一步减少它。完整版本的代码可以在 GitHub 上找到。文章来源:https://www.toymoban.com/news/detail-791137.html
传统上,优化程序的目标是最小化其 CPU 和/或内存使用量。在 BSV 中,交易费用与包含脚本的交易大小成正比,目标是最小化脚本大小。如何针对这一目标进行优化是一个有趣的开放课题,值得进行新的研究。文章来源地址https://www.toymoban.com/news/detail-791137.html
到了这里,关于BSV上的高效 zk-SNARK:技术解释的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
