Construyendo zk-SNARK (volumen 2)
Introducción
En nuestra publicación anterior, presentamos el concepto de SNARK y las propiedades básicas requeridas. Con el objetivo principal de esta serie de publicaciones en mente, a saber: cómo construir zk-SNARK para cualquier cálculo, presentamos en esta publicación la creación de un SNARK para demostrar el conocimiento de un polinomio. Lo haremos paso a paso partiendo de una construcción que no cumplirá todos los requisitos y acabando con un protocolo que será un SNARK “completo” de conocimiento cero.
ZK-SNARK para polinomios
Construiremos un zk-SNARK paso a paso, partiendo de una construcción más sencilla que no sea un SNARK, y luego mejorándola con nuevas técnicas hasta conseguir nuestros objetivos.
Primer paso: el lema de Schwartz — Zippel
Queremos crear un protocolo que permita a un probador P convencer a un verificador V del conocimiento de un polinomio particular de grado n con coeficientes en un campo finito F. En otras palabras, P quiere convencer a V de que conoce un polinomio de la forma
Supongamos que a_1, a_2, … , a_n ∈ F son las n raíces de este polinomio, por lo tanto p(x) se puede escribir como
Supongamos que V conoce d < n raíces del polinomio p(x).
Entonces podemos reformular nuestro problema: ahora P quiere demostrarle a V que conoce un polinomio h(x) tal que
El polinomio t(x) se llamará polinomio objetivo. Observa que tiene la forma
La primera versión de nuestro zk-SNARK se basa en el lema de Schwartz — Zippel: sea F un campo y f: F^m → F un polinomio multivariable de grado n. Entonces, para cualquier conjunto finito S ⊆ F:
Lo que muestra el lema es que si tomamos u ∈ Sm uniformemente al azar, la probabilidad de que u sea un conjunto de raíces para f es como máximo n / |S|. Observa que esta probabilidad es minúscula si consideramos que S es el campo finito F. El tamaño del campo sería muy grande en comparación con n.
Puede parecer contradictorio pero este lema nos permite probar el conocimiento de un polinomio f. No necesitamos probar que conocemos todos los coeficientes de p sino solo que sabemos cómo calcular el par (s, f(s)) para cualquier s ∈ Fm. El lema Schwartz — Zippel proporciona la eficiencia requerida en nuestro zk-SNARK.
primer protocolo
Recordemos que P conoce el polinomio p(x) y V conoce d < n raíces de p(x) o, de manera equivalente, V conoce el polinomio objetivo t(x). P también conoce t(x).
Nuestro primer enfoque es el siguiente:
- V toma un valor aleatorio s y calcula t = t(s). V envía s a P.
- P calcula el polinomio
4. V comprueba si la igualdad p = t · h.
Este protocolo es correcto ya que si P conoce el polinomio p(x), puede calcular h(x) y por lo tanto P también puede calcular los valores h y p tales que p = h · t. Por otro lado, este protocolo también es eficiente, debido al lema Schwartz — Zippel.
Sin embargo, este protocolo no es robusto ya que el probador puede calcular t = t(s) utilizando el polinomio objetivo, incluso si P no conoce p(x). Puede tomar una h aleatoria y calcular p = h · t y enviar el par (h, p) a V, quien aceptaría el par como válido.
Observamos que el punto crítico que permite a P engañar a V es que P conoce el punto de evaluación s. Este truco sería imposible si P pudiera evaluar p sin conocer el punto de evaluación s. Esto nos lleva al segundo paso: ofuscación homomórfica u ocultación homomórfica.
Segundo paso: ofuscación homomórfica
Para que nuestro protocolo sea robusto, necesitamos poder evaluar un polinomio en un punto, sin conocer ese punto.
Lo haremos basándonos en la dureza del problema del logaritmo discreto. Para una computadora clásica, el problema del logaritmo discreto es computacionalmente inviable: en un grupo cíclico G, de orden p y generado por un elemento g, determinando un elemento a tal que = ga (mod p) para una conocida.
Entonces, asumiendo la dureza del polinomio logarítmico discreto, podemos ofuscar un valor a calculando = ga (mod p). Un receptor de solo no puede aprender el valor a. El punto interesante de esta técnica es que la exponenciación tiene algunas propiedades homomórficas:
El producto de dos valores ofuscados es lo mismo que la ofuscación de la suma de los valores asociados en claro.
Si queremos evaluar un polinomio
en un punto x = s sin dejar que el evaluador sepa el punto exacto, necesitamos ofuscar todo el polinomio:
También necesitamos calcular las potencias, desde 1 hasta el grado del polinomio, de todos los valores ofuscados para x = r, es decir:
Observe que con todos estos elementos, ahora podemos calcular la evaluación ofuscada del polinomio p en un punto x = r. En efecto:
Un ejemplo de ocultación homomórfica
Consideremos el campo finito F = ℤ127 y g = 3 como un generador. Supongamos que P conoce el polinomio p(x) = 4x2 + 3x + 1 y que V quiere que P evalúe el polinomio en el punto x = 2 sin que P sepa el punto. Podemos hacerlo a través de los siguientes pasos:
- V calcula todas las potencias de x = 2 desde 0 hasta el grado del polinomio, n = 2:
1.b. 32 (módulo 127) = 9
1.c. 34 (módulo 127) = 81
y envía el par (9, 81) a P.
2. P puede calcular la evaluación de p(x) en x = 2 sin conocer el valor de x, de hecho, usando la información recibida de V puede calcular:
Segundo protocolo
Ahora que sabemos cómo ofuscar puntos para que el probador pueda evaluar el polinomio en ese punto ofuscado, mejoraremos el primer protocolo. Recordemos que P conoce el polinomio p(x) y V conoce d < n raíces de p(x) o, de manera equivalente, V conoce el polinomio objetivo t(x). P también conoce t(x).
Nuestro segundo protocolo es el siguiente:
- V toma un valor aleatorio s y calcula t = t(s).
- V calcula y envía a P las siguientes potencias:
4. Usando los valores , P calcula g^p = g^{p(s)} y g^h = g*{h(s)} usando las instrucciones del ejemplo anterior.
5. P envía g^p y g^h a V.
6. V comprueba si se cumple la siguiente identidad: g^p = (g^h)^t
Obsérvese que la falla detectada en el primer protocolo ha sido enmendada, pero este segundo protocolo aún no es robusto. De hecho, P todavía puede usar los valores zp y zh tales que z_p = (z_h)^t y enviarlos a V como si fueran g^p y g^h. P podría hacerlo tomando una r aleatoria, calculando z_h = g^r y estableciendo z_p = (g^t)^r. El valor z_p se puede calcular utilizando las potencias ofuscadas enviadas por V.
Para evitar esta situación, debemos asegurarnos de que g^p y g^h se calculen utilizando solo las potencias ofuscadas enviadas por V.
Tercer paso: la suposición del conocimiento del exponente
Hay una suposición común al definir un SNARK: consideremos un número primo q tal que 2q + 1 también es un número primo. Consideremos un generador de ℤ_{2q + 1}. Dados q, g y g' = g^, queremos encontrar un par (x, y) tal que x ≠ g, y ≠ g' e y = x^. La suposición del conocimiento del exponente (KEA) dice que la única manera de encontrar el par (x, y) es tomando un valor c ∈ ℤ_q, calculando primero x = g^c y luego tomando y = (g')^ C.
El KEA significa que si uno quiere obtener el par (x, y), la única forma de hacerlo es conociendo un exponente c tal que x = g^c. En otras palabras, solo podemos obtener el par (x, y) con la propiedad KEA usando potencias de g.
Usando el KEA, el siguiente protocolo asegura que P devuelve una potencia particular de g, un generador de un subgrupo multiplicativo, entregado por V:
- V toma un valor aleatorio y calcula g' = g^ (mod 2q + 1).
- V envía el par (g, g') a P y pide un par (b, b') tal que (b, b') = (g, g').
- P toma un valor c y calcula b = g^c (mod 2q + 1), b' = (g')^c (mod 2q + 1) y envía el par (b, b') a V.
- V comprueba si b' = b^ (mod 2q + 1).
P usó la misma potencia c tanto para g como para g' y solo pudo usar los valores entregados por V.
Tercer protocolo
Estamos listos para construir un protocolo adecuado que garantice que el probador P generará potencias del valor s en el dominio ofuscado.
- V toma un valor aleatorio s y calcula t = t(s).
- V toma un valor aleatorio y calcula t( · s).
- V calcula la siguiente serie de valores ofuscados y los envía a P.
- V calcula la siguiente serie de valores ofuscados
5. P calcula el polinomio h(x).
6. Usando , P calcula p(s) y h(s) junto con g^p = g^{p(s)} y g^h = g^{h(s)}.
7. Usando , P calcula p(s) y h(s) junto con g^{p'} = g^{p( · s)}.
8. P envía g^p, g^h y g^{p'} a V.
9. V comprueba que P realizó los cálculos de los valores ofuscados utilizando únicamente la información que le envió. Para ello, V comprueba si g^p = g^{p'}.
10. V comprueba si se cumple la siguiente identidad: g^p = (g^h)^{t(s)}.
Este protocolo ahora cumple con las propiedades requeridas por un SNARK: es correcto, es robusto y es eficiente. Las siguientes secciones tratarán sobre la no interactividad y el conocimiento cero.
Observación: Los pasos 6 y 7 en el protocolo anterior se realizan de acuerdo con el ejemplo de ocultamiento homomórfico.
conocimiento cero
En el protocolo que presentamos hasta ahora, los coeficientes ci del polinomio conocido por P son muy específicos, y V podría tratar de aprender alguna información sobre ellos usando gp, gh y gp' provenientes de P. Por lo tanto, para asegurarse de que P que V no aprenderá nada, P necesita ocultar estos valores.
La estrategia para ocultar los valores enviados por P sigue los pasos utilizados anteriormente: P toma una aleatoria y la usa para ocultar los valores enviados en la comunicación con V. Para ser precisos, en lugar de enviar g^p, g^h y g ^{p'}, P calcula y envía (g^p)^, (g^h)^ y (g^{p'})^. Luego, V ejecuta la verificación de los valores ocultos bajo .
El procedimiento de verificación que V necesita ejecutar sigue siendo válido con este ocultamiento, de hecho:
Entonces, para hacer que el tercer protocolo sea de conocimiento cero, uno reemplaza el paso 8 para que P pueda enviar los valores ofuscados.
no interactividad
Los diferentes protocolos que hemos presentado requieren la interacción entre el probador y el verificador, y esto se debe a que la corrección de los protocolos se basa en los valores secretos s y elegidos por el verificador.
Si queremos repetir cualquiera de los protocolos anteriores con otro verificador V', V' necesitaría elegir nuevos valores s' y '. Usar los valores generados por V puede permitir que P haga trampa si se confabula con V y V revela los valores s y a P.
Para evitar la situación anterior, necesitamos que nuestro protocolo no sea interactivo y podemos lograrlo usando parámetros que sean públicos, confiables y reutilizables. Esto se puede lograr ofuscando estos parámetros usando un generador g. Sin embargo, si bien las técnicas de ofuscación utilizadas son homomórficas, solo permiten agregar mensajes claros usando el producto de valores ocultos, pero no permiten realizar el producto de valores claros en el dominio ofuscado, y este paso es crucial al verificar la corrección del polinomio y sus raíces.
Introduciremos parejas para resolver este problema. Recordemos que un emparejamiento tiene la siguiente propiedad:
Esta propiedad permite verificar la igualdad de productos en el dominio ofuscado.
Entonces, para que nuestros protocolos no sean interactivos, el primer paso es tomar los valores aleatorios secretos s y y ofuscarlos: g^, y .
Una vez que calculamos estas potencias, podemos deshacernos de los valores secretos s y y transmitir sus valores ofuscados, conocidos como Common Reference String (CRS). Los valores CRS generalmente se almacenan como:
- Clave de evaluación: (, ).
- Clave de verificación: (g^, g^{t(s)}).
Protocolo final: zk-SNARK para el conocimiento de un polinomio
Ahora definimos un zk-SNARK para probar el conocimiento sobre un polinomio p(x) de grado n dado un polinomio objetivo t(x).
Ajuste de parámetros
- Cada parte toma dos valores secretos s y al azar.
- Cada parte calcula g, y .
- Los valores s y se destruyen.
- Uno emite la clave de evaluación ( y ).
- Uno transmite la clave de verificación g^, g^{t(s)}.
- Suponiendo que P conoce p(x), P calcula el polinomio h(x).
- P evalúa p(x) y h(x) y calcula gp(s) y gh(s) usando los valores contenidos en la clave de evaluación.
- P calcula el valor g^{p( · s)} usando la clave de evaluación.
- P toma un valor aleatorio .
- P transmite la prueba π = (g^{ · p(s)}, g^{ · h(s)}, g^{ · p( · s)}) = (g^{ · p }, g^{ · h}, g^{ · p'}).
Asumiendo que V tiene acceso a π = (g^{ · p}, g^{ · h}, g^{ · p'}), verifica si
Logramos establecer un protocolo que cumpliera con todas las propiedades requeridas en la definición de un zk-SNARK: concisión (ya que la prueba es solo verificar un polinomio en un punto), conocimiento cero y no interactivo (ya que hace uso de un CRS ).
Generación del SRC
Los Zk-SNARK se pueden hacer no interactivos mediante el uso de un conjunto de valores ocultos, conocidos como Common Reference String (CRS). Estos valores ocultos, que en nuestro caso son de la forma y , provienen de valores secretos, s y , que deben ser destruidos una vez obtenidos los valores ocultos. Obsérvese que la generación del CRS es crítica ya que si se delega su generación a un tercer participante, todos deben confiar en que el participante destruirá los valores s y . El tercero representa un único punto de falla.
Si queremos evitar el punto único de falla, necesitamos una forma distribuida de generar el CRS en la que un solo participante honesto sea suficiente para garantizar que los valores s y no se puedan recuperar.
Usemos el CRS para el SNARK que construimos en nuestro ejemplo anterior. Recordamos que usando s y como secretos, necesitamos calcular los valores ocultos y las potencias g^, y .
En nuestro nuevo protocolo, reemplazaremos los valores s y , generados por un solo tercero, con valores s_{ABC} y _{ABC} generados por tres usuarios A, B y C. Extender el mecanismo a n usuarios es sencillo .
El protocolo sigue:
- El usuario A genera el par (sA, A), calcula y transmite:
3. Emisiones B:
4. C toma un par aleatorio (sC, C), calcula y transmite:
Este protocolo genera los valores ocultos para s_{ABC} = s_A · s_B · s_C y _{ABC} = _A · _B · _C sin que ningún participante conozca este par de valores.
Sin embargo, necesitamos un protocolo que permita a los participantes verificar que esos valores ocultos se calcularon correctamente. Necesitamos asegurarnos de que los valores generados por cada usuario cumplan con los requisitos, es decir, el conjunto de valores son potencias de gs, para el valor s de cada usuario, y que el conjunto se calculó correctamente. Para ello, comprobamos que cada (g^s)^i es efectivamente la i-ésima potencia de gs. Esto se puede hacer comprobando que se cumplen las siguientes igualdades. Esta comprobación la realiza cada participante para todos los valores sU y U asociados a cada participante U:
Esta no es la única verificación requerida. También debemos verificar que cada participante use los valores correctos del participante anterior. Para hacerlo, cada participante utilizará parámetros públicos ocultos de un usuario combinados con las salidas de otro participante. Por ejemplo, C puede verificar los valores intermedios del CRS generado por B, utilizando la información del CRS de A, verificando lo siguiente:
Conclusión
Hasta ahora hemos aprendido a crear un SNARK, desde cero y con todos los detalles, para demostrar el conocimiento de un polinomio. En nuestro próximo post, el último, extenderemos la construcción anterior a cualquier cómputo. Para ello introduciremos dos conceptos clave: los programas de aritmética cuadrática, QAPs, y los sistemas de restricciones de rango 1, R1CS, aunque este último no se introducirá de forma específica (aparecerá como mensaje subliminal).
Referencias
Jordi Herrera Joancomartí, Cristina Pérez Solà, Criptografia avanzada. Notas de lectura. Universitat Oberta de Catalunya, 2022.