第十六讲零知识证明技术
零知识证明是零信任吗
零知识证明是零信任吗导语虽然零知识证明和零信任这两个词,都带有“零”,都与“信任”有关,但并不是一回事。
两者本质上都要增强「信任」,但在增强「信任」的过程中,零知识证明强调不泄露知识;零信任强调不要过度授权。
简单说,零知识是为了隐藏知识;零信任是为了控制信任。
零知识证明解决了信任与隐私的矛盾:既通过「证明」提升「信任」,又通过「零知识」保护「隐私」。
是两全其美的方案。
探索零知识证明的过程,可以探索到安全的本质。
安全之终极定义,不是启发式的CIA三性,而是采用形式化验证的可证明安全——上帝(“模拟者”)与科学(数学、计算复杂度)完美结合的推演过程。
一、了解零知识证明1、零知识证明的定义零知识证明(ZKP,Zero-Knowledge Proof)的定义为:证明者(prover)能够在不向验证者(verifier)提供任何有用信息的情况下,使验证者(verifier)相信某个论断是正确的。
根据定义,零知识证明具有以下三个重要性质:(1)完备性(Completeness):只要证明者拥有相应的知识,那么就能通过验证者的验证,即证明者有足够大的概率使验证者确信。
(关于这里提到的“概率”,详见后面的“色盲游戏”)(2)可靠性(Soundness):如果证明者没有相应的知识,则无法通过验证者的验证,即证明者欺骗验证者的概率可以忽略。
(3)零知识性(Zero-Knowledge):证明者在交互过程中仅向验证者透露是否拥有相应知识的陈述,不会泄露任何关于知识的额外信息。
从定义中,还可以提取到两个关键词:“不泄露信息”+“证明论断有效”。
再浓缩一下就是:隐藏+证明。
所以,零知识证明的核心目的是:隐藏并证明需要它隐藏的各类秘密。
(感觉很矛盾是吧)2、零知识证明的源头零知识证明是1984年由Goldwasser、Micali、Rackoff三个人提出,论文题目是《The Knowledge Complextiy of Interactive Proof Systems》(《交互式证明系统中的知识复杂性》)。
详解:零知识证明(ZKPs)、类型、及其优劣势
详解:零知识证明(ZKPs)、类型、及其优劣势零知识证明(Zero—Knowledge Proof,ZKPs)允许用户既不泄露敏感信息,又可向他人证明自己知悉关键数据或拥有其所有权,例如钱包的私钥。
1. 了解 ZK 证明在上篇关于以太坊扩容方案的文章中,我们提到了零知识证明(Zero—Knowledge Proof,ZKPs)是一种证明方法,通过这种方法,一方(证明者, prover )可以在不透露任何实际信息的情况下,向另一方(验证者,verifier )证明它知道一个秘密或一个声明是真实的。
放到加密应用中,ZKPs 这种加密方法可在证明用户拥有钱包私钥的情况下不泄露私钥信息,从而保护了数据隐私。
例如你的交易数据对于系统来说是透明可追踪的,但采用零知识证明可以保护你的信息不会被贸然公开,某某的钱包有多少个比特币,某某买了多少个比特币之类的信息可以变成选择性隐私。
具体关于这类证明过程是怎么实现的?我们要先从受信任初始化阶段这个起点讲起。
许多分布式计算和密码学协议都设计了一个初始化阶段,我们称第一个阶段为初始化阶段(setup phase),第二个阶段为主阶段(main phase)。
主阶段通常会执行许多重复的任务,而初始化阶段只需执行一次,就能开启重复运行许多实例的主阶段。
对于一个多阶段协议(multi-phase protocol)而言,受信任初始化阶段(trusted setup phase)设置有其特殊性。
在受信任初始化阶段,密钥生成器会获取一个秘密参数和一个程序,然后生成两个可用的公钥,一个用于创建证明,另一个用于验证证明。
这两个公钥只需为给定程序生成一次的参数,后续用户则只需使用公共参数并相信秘密参数密钥的创建者会诚实行事并尽力保护他们。
这里就产生了一个辩证性的漏洞,因为知悉秘密参数便可生成假证明,从而欺骗验证者,因此秘密参数在受信任初始化阶段中其实有潜在安全隐患。
2. 零知识证明的类型ZKPs 有交互式和非交互式两种。
信息安全-知识的零知识证明
我们表示知识的零知识证明是一个证明者通过使一个论述的P 满足于PoK{(a1,a2......an)|P(a1,........an)}使得一个核实者信服。
这个概念是从Camenish和Stadler上汲取过来的(修改他们的理论使得PoK代替PK)。
B、主要的架构我们把知识的零知识证明当做是在构造块以及以单独的模块来描述它们。
知识的零知识证明显示这里的非交互式证明在随机预言模块是安全的。
在这个安全的证明里,我们表示这些协议的交互式模式的使用是不需要依靠随机预言模块并且能够使零知识使用协议的正常执行,这也就意味着零知识证明的顺序执行。
当交互式的知识的零知识证明用Fiat-Shamir 启发式理论在随机预言模式下实例化和协议在同时执行时,我们的证明就因为技术的原因被瓦解了,但是我们任然将我们的证明当做是为了执行的安全儿做的启发式的证明。
构建(spk,ssk,σ)服务器在Zq集合中选择x,y,z以及使得X=g^x,Y=g^y,Z=g^z.这个服务公共秘钥是spk=(q,G,GT,g, X,Y,Z),服务的私有秘钥是ssk=(x,y,z).服务器的状态σ是由一对集合组成。
它们初始化状态下是为NULL。
就像这样σ=({},{})。
我们把第一个组件成为σ.cur以及第二个组件称为σ.next.在所有的组件中,cur=|σ.cur|,next=|σ.next|。
注册:(φ,sk)←<RegS(ssk),RegC(spk)>1、客户端选择从Zq处选择d,r.用它们来构建M=(g^d)*(Z^r)并且将他们送到服务器端。
2、这个客户端以证明着的角色以及服务器端以核实者的角色存在与知识的零知识证明。
PoK{(d,r)|M=(g^d)*(Z^r)}.如果上述证明失败,则注册失败。
3、服务器端从Zq*产生一个a值,并且使得A=g^a.然后它形成了这个注册号s=(A,B=A^y,Zb=Z^ay(=B^z),C=(A^x)*(M^axy)并且将产生的注册号返回给客户端。
零知识证明研究综述
DCWTechnology Analysis技术分析79数字通信世界2023.061 零知识证明的概念零知识证明是某种权益的拥有者,即知道问题的解w 的人在不泄露任何有关问题的相关信息的情况下,能证明其确实掌握有w 。
1.1 注解我们有两个角色方,证明者(简称P )和验证者(简称V ),以及对两个角色方来说不是秘密的NP 关系R 、问题x 及答案w 这三个对象满足公式:R (x ,w )=1 (1)证明者知道问题的答案x ,他需要向验证者证明他知道问题x 以及问题的答案w ,但不泄露关于w 的任何信息。
以上描述等价于证明满足以下三个属性:(1)完备性。
此证明完成后能够让验证者确信证明者没有说谎,或者说证明者确实握有问题x 的某个解w 。
(2)合理性。
证明者不拥有x 的某个解w ,则不能令验证者相信他拥有问题x 的某个解。
(3)零知识性。
证明过程不能泄露关于w 的任何信息。
下面给出零知识证明这一概念的较为数学化的定义。
1.2 定义考虑等式R (x ,w )=1,这里x 是一个数学问题,w是该问题的未知的解,也即w 满足x 所定义的若干关系,R 是判断w 是否满足这些关系的判定程序,我们还要求R (x ,w )=1是一个NP 问题,即求解w 很难,但验证w 是该问题的解是容易的。
1.3 注解在这里,容易和困难的界定是由算法的时间复杂度决定的,即能否能在多项式时间内解决问题,即算法的时间复杂度是否低于多项式的维度。
对早期的零知识证明的协议来说,很多是必须要求证明是某种交互输入,例如下节给出的三色问题的一个零知识证明方案。
这种交互式证明是从概率角度零知识证明研究综述张正铨1,胡 森1,莫晓康 1, 2(1.中国科学技术大学,安徽 合肥 230026;2.国科创新研究院(厦门)有限公司,福建 厦门 361021)摘要:文章论述了密码学的新领域——零知识证明的概念、方法、算法、应用,以及其在区块链领域的若干应用。
深入浅出区块链——零知识证明
深⼊浅出区块链——零知识证明引⼦ 隐私保护在区块链领域越来越受到重视,在隐私保护的种种⼿段中,零知识证明脱颖⽽出。
那么零知识证明到底是什么东西呢? ⾸先,我们抛出⼀个问题:如何在不说出秘密的情况下,让对⽅知道你已经知道了这个秘密?例⼦1:⽤户注册 ⽤户在系统注册时,系统不会保存⽤户的密码明⽂,⽽是保存了密码的哈希值;⽤户在登录系统时,只需要输⼊注册时的密码,系统会根据⽤户输⼊密码产⽣的哈希值与系统数据库保存的哈希值进⾏⽐对。
如果⼀致,则系统认为——当前登录⽤户知道该账号的密码。
这样,⽤户不需要告诉⽹站密码,就能证明⾃⼰的⾝份。
这其实就是⼀种零知识证明。
例⼦2:在校⼤学⽣实习 A要去公司实习,公司要求A在校所有功课没有挂科,才有资格加⼊公司。
A虽然所有功课都没有挂科,但都在61、62左右徘徊;A不想让公司看到⾃⼰的成绩单,于是A委托学校开了⼀个证明:证明A在校所有功课全部及格。
并交到了公司,加⼊了公司。
这样,A既没有暴露⾃⼰的确切考试成绩,⼜向公司证明⾃⼰满⾜要求。
这其实就是零知识证明。
如何从字⾯解释“零知识证明”? 零知识证明:零知识,即在证明的过程中不透露任何内情。
通俗的来讲,就是既证明了⾃⼰想证明的事情,同时透露给验证者的信息为“零”。
什么是零知识证明? 零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。
它早于区块链诞⽣,但由于区块链,它被⼤家所熟知。
它指的是证明者能够在不向验证者提供任何有⽤的信息的情况下,使验证者相信某个论断是正确的。
零知识证明可以分为交互式和⾮交互式两种。
交互式零知识证明协议的基础是交互式的。
它要求验证者不断对证明者所拥有的“知识”进⾏⼀系列提问。
证明者通过回答⼀系列问题,让验证者相信证明者的确知道这些“知识”。
然⽽,这种简单的⽅法并不能使⼈相信证明者和验证者都是真实的,两者可以提前串通,以便证明者可以在不知道答案的情况下依然通过验证。
零知识证明技术的实际应用与安全性分析
零知识证明技术的实际应用与安全性分析零知识证明技术是一种用于验证某个声明的正确性,同时不泄露任何有关该声明的其他信息的密码学工具。
该技术可被广泛应用于许多领域,例如密码学、网络安全、隐私保护和区块链等。
本文将探讨零知识证明技术的实际应用,并分析其安全性。
一、实际应用1.密码学领域:零知识证明技术可用于验证公钥加密方案的安全性。
例如,可以证明一种加密算法的秘钥长度满足安全要求,而不泄露该算法的具体细节。
2.网络安全:在网络通信中,确保通信的安全性非常重要。
零知识证明技术可以用于验证用户的身份,从而防止恶意用户的欺骗行为。
通过使用零知识证明技术,服务器可以证明其拥有某个秘密,而不需要直接揭示该秘密。
3.隐私保护:在很多情况下,用户不希望将其个人信息披露给他人,同时又需要验证某些声明的真实性。
零知识证明技术可以满足这一需求。
例如,在数字身份验证中,用户可以使用零知识证明技术证明自己的年龄在某个范围内,而不需要透露具体的年龄。
4.区块链:区块链是一种去中心化的分布式账本技术,而零知识证明技术可以用于增强其隐私性和安全性。
通过使用零知识证明技术,参与方可以证明自己满足某个条件,而不需要公开其具体数据。
这在一些隐私敏感的应用中尤为重要,例如匿名交易和身份验证。
二、安全性分析1.完备性:零知识证明技术必须保证如果声明是正确的,那么验证者相信该声明的概率非常高。
这意味着证明者必须能够生成一个有效的证明,并将其传递给验证者。
从理论上来说,完备性要求能够通过一个无限容量的计算设备进行检查。
2.可靠性:零知识证明技术应该确保如果甲方是一个诚实的证明者,那么乙方不会被欺骗相信一个错误的声明。
也就是说,诚实的证明者不会能够通过生成错误的证明来欺骗验证者。
3.零知识性:零知识证明技术应该确保验证者不能从证明者提供的信息中获得任何与声明相关的附加信息。
也就是说,验证者在验证声明的真实性时只能得知声明的真实性,而不能获得与其相关的其他信息。
《零知识证明》PPT课件
(2)V 随机地要求 P做下述两件工作之一:
证明图 G和图 W 同构; 指出图 W 的一条哈密尔顿回路。
精选PPT
12
(3)P 根据要求做下述两件工作之一:
证明图G和图 W 同构,但不指出图 G或图 W 的 哈密尔顿回路;
指出图 W 的哈密尔顿回路,但不证明图 G和图 W 同构。
精选PPT
4
❖ 在Goldwasser等人提出的零知识证明中, 证明者和验证者之间必须进行交互,这样 的零知识证明被称为“交互零知识证明”。 80年代末,Blum等人进一步提出了“非 交互零知识证明”的概念,用一个短随机 串代替交互过程并实现了零知识证明。非 交互零知识证明的一个重要应用场合是需 要执行大量密码协议的大型网络。大量事 实证明,零知识证明在密码学中非常有用。
y2 (r2 m2e)mod q ,并将 y1 和 y2 发给验证者 B;
3、
验证者
B 通过计算
X
1y1
y2 2
ve
mod
p
来验证身份信息
的有效性。
精选PPT
34
Okamoto 身份认证协议与 Schnorr 身份认证协议的主要区别在于:当
选择的计算参数保证 Z p 上的离散对数问题是安全的,则可以证明
定一个识别名称 Name ;
2、 识别者 A 秘密地选择两个随机整数 m1, m2 Zq ,并计算
v
m1 m2
1
2
mod
Байду номын сангаас
p
,将计算结果发给信任中心
TA;
3、 信任中心 TA 计算 s SignTA(Name,v) 对信息进行签名。
浅析零知识证明
证中  ̄F a — h m r i t s a i身份认 证协议的过程 进行分析 ,并 对此 协议的完备性 、合理性和零知 识性进行证 明。最 后 ,介绍零 知识证 明在其他 方面的应用 。
关键词 : 零知识 :零 知识证明 ;零 知识身份认证 ;F a — h m r i tS a i
中图分类 号:T 3 文献标 识码:A 文 章编号 :1 7 —7 9 (0 0 8 0 3 -0 P 6 1 5 7 2 1 )0 2 0 6 2
3 安全 性 依 赖 于 未 解 决 的 数 学 难 题 , 如 离 散 对 数 , 大 整数 因子 分 )
解 ,平方 根等 。
V c o重 复 上述 过程 很 多 次 ,直 到 他相 信P g y 实 知道 打 开密 门的 itr e g确
咒语 为止 。
4 )许 多零 知 识 证 明相 关 的技 术避 免 了直 接 使用 有 政府 限制 的加 密算 法 ,这就 给相 关产 品的 出 口带来 了优 势。
图1 洞 穴例 子 E] 2
零 知识证 明及 其有 关 的协议 主要 有 以下优 点 [ ] 3:
R S 间存 在 一道 密 门 ,并 且只 有 知 道咒 语 的人 才 能打 开 。P gy l 和 之 e g ̄ l 道咒语 并想 对V co 证 明,但 证 明过 程 中不想 泄 露咒语 。他 该怎 么办 呢 ? itr 1 )首先 Vco 走 到P e g走 到R itr ,P gy 或者 S 。 2 itr 到Q )V c o走 ,然 后让 Pg y 洞 穴的一 边或 者另 一边 出来 。 eg从
V A
鼹 【新术业展 魏 高技产发 】 磬
浅 析 零知 识 证 明
赵 晓 柯
区块链技术中的零知识证明与隐私保护
区块链技术中的零知识证明与隐私保护引言区块链技术作为一种新兴的分布式账本技术,已经得到了广泛的应用和关注。
它可以帮助解决许多传统金融系统中存在的问题,如信任和透明度。
然而,随着区块链技术的发展,隐私保护和安全性问题也开始引起越来越多的关注。
在这种情况下,零知识证明技术应运而生,为区块链技术的隐私保护提供了一种全新的解决方案。
本文将从零知识证明的基本概念、技术原理和应用场景,探讨零知识证明在区块链技术中的作用以及对隐私保护的重要性。
一、零知识证明的基本概念零知识证明最早由美国加州大学的计算机科学家Shafi Goldwasser、Silvio Micali和Charles Rackoff在1985年提出,指的是一种可以证明某一事实的正确性,却不需要透露具体证明的内容的证明方式。
简而言之,就是证明者可以证明自己知道某一信息,但并不需要透露具体的信息内容。
这种证明方式可以在不泄漏敏感信息的前提下进行认证和交易。
零知识证明除了具有高度的隐私保护特性,还具有以下几个基本特点:1.完备性:零知识证明要求证明者能够在没有任何失实信息的情况下向验证者证明其所宣称的陈述是正确的。
2.可靠性:零知识证明必须能够在合理的时间内得到验证者的认可,验证者不能拒绝合理的正确证明。
3.零知识:证明者可以证明自己知道某一信息的正确性,但不需要透露具体的信息内容。
4.互操作性:零知识证明必须能够适用于不同的场景和应用,而不需要对其进行修改。
二、零知识证明的技术原理零知识证明的实现涉及到很多密码学算法和技术,其中最为重要的是零知识证明系统的设计。
在一个典型的零知识证明系统中,通常包括三个主要角色:证明者(Prover)、验证者(Verifier)和挑战者(Challenger)。
1.证明者(Prover):证明者是一个想要向验证者证明某一信息的正确性的实体。
证明者通常会使用密码学算法和协议,来产生一组信息,向验证者证明自己知道某一信息,但并不需要将具体信息内容透露给验证者。
《零知识证明》课件
在某些情况下,零知识证明可能存在漏洞或被攻击者利用,导致其 安全性受到质疑。
零知识证明的应用前景与展望
密码学领域
零知识证明在密码学领域具有广泛的应用前景,如数字签名、身份认 证等。随着密码学的发展,零知识证明将发挥更加重要的作用。
安全计算
在安全计算领域,零知识证明可用于保护数据的隐私性和完整性,为 安全计算提供强有力的支持。
03
零知识证明的实现 技术
哈希函数
哈希函数是一种将任意长度的数据映射 为固定长度散列值的算法。
在零知识证明中,哈希函数用于将证明内容 摘要进行加密,以便验证者可以验证证明的 真实性,而无需了解证明的具体内容。
常用的哈希函数包括SHA-256和 SHA-3等。
概率算法
01
概率算法是一种允许一定概率错误的算法,但在大量
应用
在数字身份认证、电子支付等领域有广泛应用。
零知识证明的扩展形式
定义
零知识证明的扩展形式是指将零知识证明与其他密码学技 术相结合,以实现更加强大和灵活的证明功能。
01
特点
扩展形式的零知识证明可以支持更广泛 的证明场景和需求,例如可验证加密、 可验证计算等。
02
03
应用
在云计算、区块链等领域有广泛应用 。
零知识证明的原理
总结词
零知识证明基于复杂的数学工具,如概率论和图论,来实现 其功能。
详细描述
零知识证明依赖于概率论和图论中的一些复杂数学工具,如 概率性验证、零知识协议等。这些工具使得证明者能够在不 泄露任何信息的情况下向验证者证明某个声明是真实的。
零知识证明的应用场景
总结词
零知识证明在多个领域都有广泛的应用,如加密货币、区块链、隐私保护等。
零知识证明与身份识别技术 changwei
简化的Feige-Fiat-Shamir身份 鉴别方案
可信赖仲裁方选定一个随机模数n = p1 × p2, p1、p2为两个大素数。实际中n至少为512比特, 尽量长达1024比特。仲裁方可实施公钥和私钥 的分配。他产生随机数v(v为对模n的二次剩 余)。 换言之,选择v使得x2 = v mod n有一个解并且 v–1 mod n 存在。以v作为被验证方的公钥,而 后计算最小的整数s:s ≡ sqrt (v –1) mod n,将 它作为被验方P的私人密钥而分发给他。
零知识证明的概念
设P(Prover)表示掌握某些信息,并希望证实这一 事实的实体,设V(Verifier)是验证这一事实的实 体。
某个协议向V证明P的确掌握某些信息,但V无法推断出 这些信息是什么,我们称P实现了最小泄露证明 (Minimum Disclosure proof) 。 如果V除了知道P能够证明某一事实外,不能够得到其他 任何知识,我们称P实现了零知识证明(Zero Knowledge proof) ,相应的协议称作零知识协议。
Feige-Fiat-Shamir身份鉴别方案
协议如下: (1) P选随机数r(r < m),计算x = r2 mod n并发送 给验证方V; (2) V选k比特随机二进制串b1, b2, …, bk传送给P; (3) P计算y = r × (s1b1 × s2b2 × … × skbk ) mod n, 并送给V; (4) V验证x = y2 × (v1b1 × v2b2 × … × vkbk ) mod n。 此协议可执行t次,直到V相信P知道s1, s2, …, sk, P欺骗V的机会为2 –k t。
简化的Feige-Fiat-Shamir身份 鉴别方案
密码学中的零知识证明技术研究与实现方法
密码学中的零知识证明技术研究与实现方法密码学是一门研究在计算机通信和信息安全领域中加密技术和解密技术的学科,而零知识证明技术作为密码学的重要分支之一,已经成为信息交换中非常关键的一部分。
零知识证明技术是通过验证方接收到一系列的消息之后,并不泄露任何信息,同时能够确认发送方的某种陈述是否成立的技术。
本文将会对密码学中的零知识证明技术进行深入的研究与实现方法的探讨。
一、零知识证明技术的基本原理零知识证明技术的基本原理是在验证方接收到消息之后,验证方能够确认发送方的陈述是否成立,但是并不会泄露任何有关陈述的具体信息,以保护发送方的隐私。
这意味着验证方在与发送方进行交互的过程中只能够确认陈述的真实性,而并不能获取到任何关于陈述的具体信息。
在实现零知识证明技术时,常用的方法是使用交互式的协议。
该协议是一个由验证方和发送方进行交互的过程,通过这种交互过程,验证方能够逐步验证发送方的陈述,并在最后确认发送方的陈述是否成立,同时保护发送方的隐私。
二、零知识证明技术的应用1. 零知识身份证明:零知识身份证明是一种通过验证方和发送方的交互,验证方能够确认发送方的身份而不需要获取到发送方的具体信息的技术。
这种技术可以被广泛应用在各种需要身份确认而保护隐私的场景中,如电子商务、数字版权管理等领域。
2. 零知识块证明:零知识块证明是一种通过验证方和发送方的交互,验证方能够确认发送方拥有某些信息而不需要获取到具体信息的技术。
该技术可以被应用在区块链中,实现对信息的验证而不泄露具体信息,确保在交易中的隐私和安全性。
3. 零知识密码学:零知识密码学是一种应用零知识证明技术的密码学方法。
通过使用零知识证明技术,可以在信息交换过程中保护用户的隐私,确保信息安全。
这种技术可以被广泛应用在各种需要保护隐私的场景中,如电子邮件、云存储等。
三、零知识证明技术的实现方法实现零知识证明技术的方法有很多种,以下介绍几种常用的实现方法:1. 萤火森林协议:萤火森林协议是一种基于密码学的零知识证明协议。
《零知识证明》课件
目录
• 零知识证明概述 • 零知识证明的原理 • 零知识证明的常见算法 • 零知识证明的挑战与未来发展 • 案例分析
01
零知识证明概述
定义与特点
定义
零知识证明是一种密码学技术,其中 一方(证明者)能够向另一方(验证 者)证明某个声明是真实的,而对方 却无法获得任何有关该声明证明的信 息。
01
定义
非交互式零知识证明系统是一种单向协议,其中证明者能够向验证者证
明他知道某个秘密信息,而无需与验证者进行交互。
02 03
工作原理
非交互式零知识证明系统使用密码学技术和数学工具,通过单向信息传 输的方式,使验证者能够验证证明者知道某个秘密信息,而无法获得该 秘密信息的任何有用信息。
应用
非交互式零知识证明系统在数字货币、电子投票等领域有广泛应用。
金融交易
在金融交易中,零知识证明可用于验证交易的有效性和合法性, 降低交易风险。
物联网安全
在物联网领域,零知识证明可用于设备认证和数据传输加密,提 高物联网系统的安全性。
05
案例分析
区块链中的零知识证明应用
零知识证明在区块链中主要用于验证交易的有效性和合法性,同时保护交易方的隐 私。
具体应用包括:验证交易是否来自正确的账户、交易金额是否正确、交易是否被双 重花费等。
03
零知识证明的常见算法
零知识证明的加密算法
加密算法概述
介绍常见的零知识证明加密算法,如环签名、盲签名 等。
加密算法原理
详细解释这些算法的工作原理,包括加密和解密过程 。
加密算法的应用场景
分析这些算法在现实生活中的应用,如数字签名、电 子投票等。
零知识证明的交互协议
5零知识证明
B
Schnorr身份鉴别方案
以上方案有一定的缺陷:实时计算量、消息交换量和 所需存储量较大,Schnorr提出的一种安全性基于计算 离散对数的困难性的鉴别方案,可以做预计算来降低 实时计算量,所需传送的数据量亦减少许多,特别适 用于计算能力有限的情况。 Claus Schnorr的认证方案的安全性建立在计算离散对数 的难度上。 为了产生密钥对,首先选定系统的参数:素数p及素数 q,q是p – 1的素数因子。p 21024,q > 2160,元素g为 q阶元素,l ≤ g ≤ p – 1。令a为GF(p)的生成元,则得到 g = a(p – 1) / q mod q。由可信赖的第三方T向各用户分 发系统参数(p, q, g)和验证函数(即T的公钥),用此 验证T对消息的签字。
零知识洞穴
A B
C
D
若P不知道咒语,则在B点,只有50%的机会猜中V的 要求,协议执行n次,则只有50% n次机会完全猜中。 此洞穴问题可以转化为数学问题,P知道解决某个难题 的秘密信息,而V通过与P交互作用验证其真伪。
交互式零知识证明
输入 承诺 输入
P
证明者
挑战
V
验证者
响应 Repeats t rounds
零知识证明
卢先领
江南大学???学院
零知识证明的概念
设P表示掌握某些信息,并希望证实这一事实的实 体,设V是证明这一事实的实体。
某个协议向V证明P的确掌握某些信息,但V无法推断出 这些信息是什么,我们称P实现了最小泄露证明。 如果V除了知道P能够证明某一事实外,不能够得到其他 任何知识,我们称P实现了零知识证明,相应的协议称作 零知识协议。
零知识证明
于是有ViewP,V’(x)与m*(x)是相同分布的随机变量。 M*称为P与V*交互的完善模拟器。
定义15.7 设(P,V)为语言L的交互证明系统,
称(P,V)为语言L的一个关于不诚实验证者
的交互计算零知识证明系统,若对每个多
项式时间的交互图灵机V*,存在一个多项
式时间的概率图灵机M*,使随机变量族
定义15.3 设A,B为连接起来的一对交互图灵机,设对每 一共同输入,它们的联合计算在有限步终止。记(A,B)(x) 为共同输入x联合计算终止时B的输出。它是在{0,1}中取值 的随机变量,即在联合计算终止时刻图灵机B的只写头在 输出带所写的二进数。由于A,B的随机输入满足随机数 约定,故(A,B)(x)为随机变量。
定义15.9 设(P,V)为语言L的交互证明
系统,称(P,V)为语言L的一个关于诚实
验证者的交互计算零知识证明系统,若存
在一个多项式时间概率图灵机M,使随机变
量族
ViewP,V
(
与 x) M( xL
x)xL是计算不可区分的
(参看定义6.2)。
15.2 交互零知识证明系统的构造
(一)无向图的同构问题
时间的概率图灵机M*,使随机变量族 ViewP,V* (x)
与 M* (x) xL 是统计接近的,即它们的变差距离
xL
(x)
1 2 0,1*
Pr
View P
,
V*
(x)
Pr M* (x)
,xL
(15.3)
是|x|的一个可忽略函数,即对每个正多项式p(n)
及一切充分大的|x|有 (x) 1/ p(| x |) 。
定义15.5 一对连接起来的交互图灵机(P,V)称 为语言L成员识别问题的交互(式省去)证明系统, 若V是多项式时间的,且满足下列两个条件。
区块链中的零知识证明算法
区块链中的零知识证明算法引言随着区块链技术的发展,我们逐渐意识到数据的隐私和安全问题变得越来越重要。
在传统的区块链中,所有的交易信息都是公开的,包括发送方、接收方和交易金额等细节。
然而,很多场景下,我们希望能够保护交易的隐私性,即不暴露任何有关交易细节的信息,同时也不影响交易的合法性验证。
为了解决这个问题,零知识证明(Zero-Knowledge Proof,简称ZKP)成为了一种被广泛研究和应用的隐私保护技术。
什么是零知识证明?零知识证明是一种特殊的加密策略,它可以让你向别人证明一些事实的真实性,但不需要提供任何关于该事实内容的任何零碎信息。
这意味着,除了事实本身以外,证明者几乎没有其他信息可以泄露给观察者或验证者。
零知识证明的应用原理在区块链中,零知识证明可以被用来证明一些交易是有效的,而不需要公开任何交易的具体内容。
具体来说,基于零知识证明的算法可以将交易的合法性证明转化为一个数学问题,而这个问题只有交易发起者才会知道如何解决。
然后,交易发起者可以使用零知识证明将解决方案提供给验证者,以证明交易的合法性,而不需要提供任何交易细节。
零知识证明的基本算法目前,有很多种零知识证明的算法存在,比如零知识SNARKs、零知识STARKs等。
其中,零知识SNARKs是应用最为广泛的零知识证明算法之一零知识SNARKs(Succinct Non-Interactive Argument of Knowledge)是一种高度压缩和高效的零知识证明算法,它可以将复杂的计算过程转化为一个简短的证明。
与其它证明算法不同,零知识SNARKs不需要进行交互,只需要证明者生成一个证明,并将其发送给验证者即可。
零知识SNARKs的工作原理可以分为三个主要步骤:1.创建证明:证明者根据交易信息和一些随机数生成一个证明。
2.验证证明:验证者接收到证明后,使用公开的交易信息和证明来验证交易的合法性。
3.验证结果:验证者根据验证的结果来判断交易是否有效,如果有效则将其添加到区块链中。
零知识证明的实现方式
零知识证明的实现方式零知识证明是一种加密技术,可用于验证某个主体拥有某种信息,而不泄露该信息的具体内容。
它可以在不揭示任何有关证明的信息的情况下,向验证者证明某个声明的真实性。
在零知识证明中,证明者只需向验证者证明某个陈述是正确的,而无需向验证者透露任何与陈述有关的具体信息。
这种技术在安全性和隐私保护方面具有重要意义。
零知识证明的实现方式有多种,下面将介绍其中的两种常见方式:零知识证明的交互协议和零知识证明的非交互协议。
零知识证明的交互协议是一种通过多轮的交互来实现的证明方式。
在这种协议中,证明者和验证者之间进行多次的交互,通过相互发送和处理信息来完成证明过程。
这种方式的一个典型应用是基于加密技术的零知识证明协议,其中证明者和验证者共同利用加密算法,通过加密和解密的过程来完成证明。
在这个过程中,证明者可以向验证者证明某个陈述的真实性,而验证者无需获得陈述的具体信息。
零知识证明的非交互协议是一种只需要一轮交互的证明方式。
在这种协议中,证明者只需向验证者发送一条消息,验证者通过对这条消息进行处理来完成证明过程。
这种方式的一个典型应用是基于哈希函数的零知识证明协议,其中证明者通过将陈述的哈希值发送给验证者来完成证明。
验证者可以通过对这个哈希值进行验证来确认陈述的真实性。
零知识证明的实现方式可以根据具体的应用需求和安全要求选择。
交互协议适用于需要多轮交互的场景,可以实现更复杂的证明过程,但也会增加通信成本和计算复杂度。
非交互协议适用于需要简单快速的证明过程,通常适用于基于哈希函数的应用场景。
零知识证明是一种重要的加密技术,可以在不泄露具体信息的情况下向验证者证明某个陈述的真实性。
它的实现方式有多种选择,可以根据具体需求和安全要求来选择适合的方式。
无论是交互协议还是非交互协议,都可以实现安全可靠的零知识证明。
在实际应用中,我们可以根据具体情况选择合适的方式来保护数据的安全和隐私。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.2 交互证明系统和零知识证明协议 零知识证明协议是交互证明系统的一个实 例,这里一个证明者和一个验证者交互多 轮。证明者的目标是让认证者相信声称的 正确性,例如,声称掌握一个秘密。验证 者要么接受证明要么拒绝证明。这与传统 的数学概念的证明有所不同,交互游戏的 证明是随机而不是绝对的。由于这个原因, 一个交互证明常常被称为协议证明。
1.2 交互证明系统和零知识证明协议(续) (3) 零知识属性(定义3)不能保证协议是安 全的 (也就是,获得秘密知识的可能性可 以忽略)。同样,正确属性(定义2)也不能 保证协议安全。这两个属性只有在攻击 者面临计算困难问题的时候才有意义。
1.3 零知识证明协议的一般结构
A B:证据 A B :提问 A B:回答 以上描述了一大类三次 交互零知识协议的一般 结构:证明者随机的选 择一个在事先定义的集 合上的元素做一个秘密 承诺,并从中计算相关 的公开证据。这提供了 一个每一次协议执行的 随机性,并限定了 A在本次协议执行中所能 回答 问题的集合,因此,也 就限定了将来的可能答 案。
第十六讲 零知识证明技术
Peggy:“我知道联邦储备系统计算机的口令, McDonald的秘密调味汁的成分,以及Knuth第5卷 的内容。” Victor:“不,你不知道。” Peggy:“我知道。” Victor:“你不知道!” Peggy:“我确实知道!” Victor:“请你证明这一点!” Peggy:“好吧,我告诉你!”她悄悄地说出了口 令。 Victor: “太有趣了!现在我也知道了。我要告诉 《华盛顿邮报》。”
1.2 交互证明系统和零知识证明协议(续) 定义2 (正确属性) 一个交互证明(协议)是正 确的,如果存在一个平均多项式时间算法 M满足如下性质:如果一个不诚实的证明 者(A)可以以不可忽略的概率成功的与B执 行协议,M则可以用来得到这个证明者的 知识(本质上等于A的秘密),这将使得后续 的协议执行以压倒概率获得成功。
1.2 交互证明系统和零知识证明协议(续) 评述. (1) 零知识属性表明一个证明者执行协议 (即使与恶意验证者交互)不会透露任何信 息 (即除了特定的声称正确以外的关于他 的秘密知识),这无异于在多项式时间从 公开信息中计算。因此,参与者不会增加 后续冒充成功的机会。
1.2 交互证明系统和零知识证明协议(续) (2) 考虑一个观查者C观测证明者A与验证者 B (B C)一个零知识证明协议交互过程,且 B确定了A掌握某个知识。向B证明的过程并 不能给C任何担保。(事实上,A和B可能事 先串通应答内容来欺骗 C。) 相似情况,记 录零知识证明协议的交互也不能进行回放。 这就是零知识属性的基本思想,即证明过 程可以由验证者单独模拟完成。
1.2 交互证明系统和零知识证明协议(续) 由于任何有能力冒充A的一方都等同于知道 A的秘密知识(M可以在多项式时间内来计算 它),正确属性保证了协议确实提供了对知 识的证明–知识等价于询问的正确应答。正 确属性因此阻止了不诚实的证明者使诚实 证明系统和零知识证明协议(续) 定义3 (零知识属性) 一个知识证明的协议 有零知识属性,如果协议可模拟如下功能: 存在一个平均多项式算法(模拟器),它可 以不和真实的证明者交互就可以产生一些 证明必要的交互消息。这些消息副本与同 真实的证明者交互产生的结果不可区分。
许多年前,有报道称小偷在一个超市中放 置假的ATM机。当人们将银行卡插入机器 并输入鉴别身份的秘密时,机器将这些信 息记录下来并反馈消息说机器不能接受这 种类型的银行卡。小偷接下来就可以制造 假的银行卡,并使用得到的身份鉴别秘密 信息到真的ATM机上提取现金。
如何避免这一情况发生?在很多情况下需 要出示鉴别身份的秘密或口令来完成交易。 任何人在得到这个秘密再附加一些(几乎公 开的)身份信息之后,就可以冒充这个人。 我们需要解决的问题就是使用秘密但在使 用的过程中不留给攻击者任何可以重复使 用的信息。这就产生了零知识证明技术。
1.2 交互证明系统和零知识证明协议(续) 定义1 (完备属性) 一个交互证明(协议)是完备 的,如果给定一个诚实的证明者和认证者, 协议就能以压倒的概率获得成功(也就是,验 证者接受证明者的宣称)。 评论. 完备性可以看作是协议在诚实的参与者 执行的情况下的一般要求。对压倒的概率的 定义依赖具体应用,但通常隐含失败的概率 无实际意义。
本讲提要
零知识证明概念总揽 Fiat-Shamir鉴别协议 Feige-Fiat-Shamir鉴别协议 GQ鉴别协议 Schnorr鉴别协议
1 零知识证明概念总揽
1.1 思想
1.1 思想(续) Peggy知道这个洞穴的秘密。她想对Victor 证明这一点,但她不想泄露咒语。下面是 她如何使Victor相信的过程: (1) Victor站在A点。 (2) Peggy一直走进洞穴,到达点C或点D。 (3) 在Peggy消失在洞穴中之后,Victor 走 到点B。
1.2 交互证明系统和零知识证明协议(续) 用于鉴别的交互证明可以被形式化为知识证 明。 证明者A掌握某个秘密s,并通过正确 的回答验证者B所提出的问题(涉及的是公开 已知的输入和协商一致的函数)使其相信确 实掌握秘密s,当然,回答这些问题需要秘 密s。注意证明掌握秘密s不同于证明s存在。 一个交互证明是知识证明如果证明满足完备 性和正确性属性。
1.1 思想(续) (4) Victor向Peggy喊,要她: (4.1) 从左通道出来,或者; (4.2) 从右通道出来. (5) Peggy答应了,如果有必要她就用咒语打 开密门。 (6) Peggy和Victor重复第(1)到第(5)步n次。
1.1思想(续) 评述. 协议使用的技术叫做分割选择技术(cut and choose),因为它类似如下将任何东西等分的 经典协议: (1) Peggy将东西切成两半。 (2) Victor给自己选择一半。 (3) Peggy拿走剩下的一半。 Peggy最关心的是第(1)步中的等分,因为 Victor可以在第(2)步选择他想要的那一半。