บรรจวบ เข้าสู่ระบบ
Score:1
Max avatar Crypto

พื้นฐานของ ZK-SNARK: รู้จัก t(x) อะไรที่ทำให้ผู้พิสูจน์ไม่สามารถสร้าง h(x) แบบสุ่มเพื่อสร้าง L, R และ O

ธง fr
Max

หลังจากอ่านคำอธิบายของ ZK-SNARK จาก ที่นี่, ที่นี่, และ ที่นี่ฉันยังไม่เข้าใจบางสิ่ง

การตั้งค่าอัลกอริทึมใช้ QAP ในการคำนวณพหุนาม P(x) = L(x) * R(x) - O(x) เช่นเดียวกับตัวหารเป้าหมายพหุนาม t(x) เพื่อแสดงรูปแบบทั่วไปของการคำนวณเป้าหมาย . จากนั้นเพื่อสร้างหลักฐานพิสูจน์

  • คำนวณ P(x) = L(x) * R(x) - O(x) สำหรับพารามิเตอร์เฉพาะของการคำนวณเป้าหมาย
  • คำนวณ h(x) = P(x) / t(x)
  • คำนวณ h(s), L(s), R(s) และ O(s) เพื่อส่งไปยังเครื่องตรวจสอบ จากนั้นตัวตรวจสอบจะใช้ค่าเหล่านี้เพื่อตรวจสอบว่า h(s) * t(s) = L(s) * R(s) - O(s) หรือว่า t หาร P โดยไม่มีเศษเหลือ

หากผู้พิสูจน์ทราบ t(x) อะไรที่ทำให้ไม่สามารถเลือก h(x) แบบสุ่ม คำนวณ h(x) * t(x) และปลอมแปลง L(x), R(x) และ O(x) ด้วย ลำดับที่ถูกต้อง? มันจะผ่านการตรวจสอบยืนยัน "ไม่เหลือ" มันจะยังคงเป็นพหุนาม (การรวมกันเชิงเส้นของ E(s^d)) ดังนั้นควรตรวจสอบการเปลี่ยนแปลงด้วยเช่นกัน

ฉันพลาดอะไรไป

54
1 + 0
Score:0
Vadym Fedyukovych avatar Crypto
ธง in
Vadym Fedyukovych

โปรดแจ้งให้ฉันรับทราบปัญหาที่เหมาะสมในแง่ของ QAP อาจละเว้น R1CS ซึ่งไม่ใช่ประเด็นสำหรับคำถามนี้

โปรดจำไว้ว่า (1) การตรวจสอบที่ "มีประสิทธิภาพ" (รวบรัด) เป็นเป้าหมายของ snarks และ (2) มีความลับ (พยาน) พหุนาม "ผสม" $L(), R(), O(), h()$. ขาดสองจุด: (1) พหุนามได้รับการประเมินที่จุดสุ่ม $\tau$ ซ่อนเร้นจากผู้พิสูจน์ ("ขยะพิษ") และ (2) เส้นโค้งวงรีและการทำงานแบบทวิเนียร์ (การจับคู่)

พหุนามประเมินที่ $\tau$ ถูกส่งไปตรวจสอบเป็นองค์ประกอบกลุ่มสมการการตรวจสอบจะเทียบเท่ากับที่ระบุไว้ในคำถาม โดยขึ้นอยู่กับข้อผิดพลาดความสมบูรณ์เล็กน้อย (ความน่าจะเป็น) ที่ประเมินด้วยบทแทรกของ Schwartz-Zippel

0 + 3
Max avatar
fr flag
Max
ขออภัย มันยังไม่ตอบคำถามของฉัน สมมติว่ามีการตั้งค่าที่เหมาะสมเกิดขึ้น มีการแบ่งปันพหุนามและจุดเป้าหมายที่ซ่อนอยู่ ของเสียที่เป็นพิษถูกกำจัด ฯลฯ ในกระบวนการตรวจสอบปกติ ผู้พิสูจน์จะคำนวณ L, O, R จากโปรแกรมเป้าหมายด้วยพารามิเตอร์อินพุต/เอาต์พุตเฉพาะที่ ต้องการพิสูจน์ จากนั้นคำนวณ h = (L*R-O)/t ประเมินค่า แล้วส่งผลลัพธ์ไปยังผู้ตรวจสอบ อย่างไรก็ตาม สิ่งที่ทำให้ผู้พิสูจน์ไม่สามารถเลือกพหุนามสุ่ม h'() ก่อน จากนั้นจึงคำนวณ L', R' และ O' เพื่อให้ L'*R'-O'=h'*t แล้วส่ง 'ปลอมแปลง' ผลการประเมินที่จุดสุ่ม ?
0
ตอบกลับ
Vadym Fedyukovych avatar
in flag
Vadym Fedyukovych
เราต้องเริ่มจาก R1CS เพื่อดูว่าตัวแปร/สายทั้งหมดผสมกันอย่างไรในพหุนาม $L(), R(), O()$ การพิจารณาปัญหาและการคำนวณเลขคณิต R1CS นั้นสมเหตุสมผลเท่านั้น เพื่อให้ตัวแปรสาธารณะกำหนดอินสแตนซ์อย่างสมบูรณ์ ผู้ตรวจสอบจะป้อนสำเนาของตัวแปร/สายไฟสาธารณะลงในสมการการตรวจสอบ เกี่ยวกับความคิดเห็นของคุณ: ผู้พิสูจน์สามารถเลือก (L, R, O) ที่เห็นด้วยกับตัวแปรสาธารณะเท่านั้น ต่อไป ผู้พิสูจน์จะไม่ส่งพหุนาม h() แต่ส่งองค์ประกอบแบบกลุ่มเช่น $h(\tau) G_1$ ฉันสามารถอ้างถึง Theorem 2, หน้า 18, IACR 2016/260 preprint สำหรับ "สิ่งที่ขัดขวาง" โดยทั่วไปได้หรือไม่?
0
ตอบกลับ
Max avatar
fr flag
Max
ขอบคุณ สิ่งนี้มีประโยชน์!
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา