Costruire zk-SNARK (volume 2)

May 13 2023
zkSNARK per i polinomi, passo dopo passo
Introduzione Nel nostro post precedente, abbiamo introdotto il concetto di SNARK e le proprietà di base richieste. Con l'obiettivo principale di questa serie di post in mente, vale a dire: come costruire zk-SNARK per qualsiasi calcolo, introduciamo in questo post la creazione di uno SNARK per dimostrare la conoscenza di un polinomio.
L'autore ringrazia Mak e Unsplash per l'immagine

introduzione

Nel nostro post precedente, abbiamo introdotto il concetto di SNARK e le proprietà di base richieste. Con l'obiettivo principale di questa serie di post in mente, vale a dire: come costruire zk-SNARK per qualsiasi calcolo, introduciamo in questo post la creazione di uno SNARK per dimostrare la conoscenza di un polinomio. Lo faremo passo dopo passo partendo da una costruzione che non soddisferà tutti i requisiti e terminando un protocollo che sarà uno SNARK “pieno” a conoscenza zero.

ZK-SNARK per polinomi

Costruiremo uno zk-SNARK passo dopo passo, partendo da una costruzione più semplice che non sia uno SNARK, e poi migliorandolo con nuove tecniche fino a raggiungere i nostri obiettivi.

Primo passo: il lemma di Schwartz — Zippel

Vogliamo creare un protocollo che permetta a un prover P di convincere un verificatore V della conoscenza di un particolare polinomio di grado n a coefficienti in un campo finito F. In altre parole, P vuole convincere V di conoscere un polinomio della forma

Supponiamo che a_1, a_2, … , a_n ∈ F siano le n radici di questo polinomio, quindi p(x) si può scrivere come

Supponiamo che V conosca d < n radici del polinomio p(x).

Allora possiamo riformulare il nostro problema: ora P vuole dimostrare a V che conosce un polinomio h(x) tale che

Il polinomio t(x) sarà chiamato polinomio bersaglio. Osserva che ha la forma

La prima versione del nostro zk-SNARK è basata sul lemma di Schwartz — Zippel: siano F un campo e f: F^m → F un polinomio multivariabile di grado n. Allora, per ogni insieme finito S ⊆ F:

Ciò che il lemma mostra è che se prendiamo u ∈ Sm uniformemente a caso, la probabilità che u sia un insieme di radici per f è al massimo n / |S|. Osserviamo che questa probabilità è minuscola se consideriamo S il campo finito F. La dimensione del campo sarebbe molto grande rispetto a n.

Può sembrare contraddittorio ma questo lemma ci permette di provare la conoscenza di un polinomio f. Non abbiamo bisogno di dimostrare che conosciamo tutti i coefficienti di p ma solo che sappiamo calcolare la coppia (s, f(s)) per ogni s ∈ Fm. Il lemma Schwartz — Zippel fornisce l'efficienza richiesta nel nostro zk-SNARK.

Primo protocollo

Ricordiamo che P conosce il polinomio p(x) e V conosce d < n radici di p(x) o, equivalentemente, V conosce il polinomio bersaglio t(x). P conosce anche t(x).

Il nostro primo approccio è il seguente:

  1. V prende un valore casuale s e calcola t = t(s). V invia s a P.
  2. P calcola il polinomio

4. V controlla se l'uguaglianza p = t · h.

Questo protocollo è corretto poiché se P conosce il polinomio p(x), può calcolare h(x) e quindi P può anche calcolare i valori h e p tali che p = h · t. D'altra parte, anche questo protocollo è efficiente, grazie al lemma di Schwartz — Zippel.

Tuttavia, questo protocollo non è robusto in quanto il dimostratore può calcolare t = t(s) utilizzando il polinomio target, anche se P non conosce p(x). Può prendere una h casuale e calcolare p = h · te inviare la coppia (h, p) a V che accetterebbe la coppia come valida.

Osserviamo che il punto critico che permette a P di ingannare V è che P conosce il punto di valutazione s. Questo trucco sarebbe impossibile se P potesse valutare p senza conoscere il punto di valutazione s. Questo ci porta al secondo passaggio: l'offuscamento omomorfico o l'occultamento omomorfo.

Secondo passo: l'offuscamento omomorfo

Per rendere robusto il nostro protocollo, dobbiamo essere in grado di valutare un polinomio su un punto, senza conoscere quel punto.

Lo faremo basandoci sulla durezza del problema del logaritmo discreto. Per un computer classico, il problema del logaritmo discreto è computazionalmente irrealizzabile: in un gruppo ciclico G, di ordine p e generato da un elemento g, determinare un elemento a tale che = ga (mod p) per un noto.

Quindi, assumendo la durezza del polinomio del logaritmo discreto, possiamo offuscare un valore a calcolando = ga (mod p). Un ricevitore di da solo non può apprendere il valore a. Il punto interessante di questa tecnica è che l'elevamento a potenza ha alcune proprietà omomorfe:

Il prodotto di due valori offuscati è uguale all'offuscamento dell'addizione dei valori associati in chiaro.

Se vogliamo valutare un polinomio

su un punto x = s senza che il valutatore conosca il punto esatto, dobbiamo offuscare l'intero polinomio:

Dobbiamo anche calcolare le potenze, da 1 al grado del polinomio, di tutti i valori offuscati per x = r, ovvero:

Osserviamo che con tutti questi elementi possiamo ora calcolare la valutazione offuscata del polinomio p su un punto x = r. Infatti:

Un esempio di occultamento omomorfo

Consideriamo il campo finito F = ℤ127 e g = 3 un generatore. Supponiamo che P conosca il polinomio p(x) = 4x2 + 3x + 1 e che V voglia che P valuti il ​​polinomio nel punto x = 2 senza che P conosca il punto. Possiamo farlo attraverso i seguenti passaggi:

  1. V calcola tutte le potenze di x = 2 da 0 al grado del polinomio, n = 2:

1.b. 32 (mod 127) = 9

1.c. 34 (mod 127) = 81

e invia la coppia (9, 81) a P.

2. P può calcolare la valutazione di p(x) su x = 2 senza conoscere il valore di x, infatti, utilizzando le informazioni ricevute da V può calcolare:

Secondo protocollo

Ora che sappiamo come offuscare i punti in modo che il prover possa valutare il polinomio su quel punto offuscato, miglioreremo il primo protocollo. Ricordiamo che P conosce il polinomio p(x) e V conosce d < n radici di p(x) o, equivalentemente, V conosce il polinomio bersaglio t(x). P conosce anche t(x).

Il nostro secondo protocollo è il seguente:

  1. V prende un valore casuale s e calcola t = t(s).
  2. V calcola e invia a P le seguenti potenze:

4. Utilizzando i valori , P calcola g^p = g^{p(s)} e g^h = g*{h(s)} utilizzando le istruzioni dell'esempio precedente.

5. P invia g^p e g^h a V.

6. V controlla se vale la seguente identità: g^p = (g^h)^t

Si osservi che il difetto rilevato nel primo protocollo è stato modificato, ma questo secondo protocollo non è ancora robusto. Infatti P può ancora utilizzare i valori zp e zh tali che z_p = (z_h)^t e inviarli a V come se fossero g^p e g^h. P potrebbe farlo prendendo un r casuale, calcolando z_h = g^r e ponendo z_p = (g^t)^r. Il valore z_p può essere calcolato utilizzando le potenze offuscate inviate da V.

Per evitare questa situazione, dobbiamo assicurarci che g^p e g^h siano calcolati usando solo le potenze offuscate inviate da V.

Terzo passo: l'assunzione della conoscenza dell'esponente

C'è un presupposto comune quando si definisce uno SNARK: consideriamo un numero primo q tale che anche 2q + 1 sia un numero primo. Consideriamo ga generatore di ℤ_{2q + 1}. Dati q, g e g' = g^, vogliamo trovare una coppia (x, y) tale che x ≠ g, y ≠ g' e y = x^. L'assunzione della conoscenza dell'esponente (KEA) dice che l'unico modo per trovare la coppia (x, y) è prendere un valore c ∈ ℤ_q, calcolando prima x = g^c e poi prendendo y = (g')^ C.

Il KEA significa che se si vuole ottenere la coppia (x, y), l'unico modo per farlo è conoscere un esponente c tale che x = g^c. In altre parole, possiamo ottenere la coppia (x, y) solo con la proprietà KEA usando le potenze di g.

Utilizzando il KEA il protocollo seguente assicura che P restituisca una particolare potenza di g, un generatore di un sottogruppo moltiplicativo, fornito da V:

  1. V prende un valore casuale e calcola g' = g^ (mod 2q + 1).
  2. V invia la coppia (g, g') a P e chiede una coppia (b, b') tale che (b, b') = (g, g').
  3. P prende un valore c e calcola b = g^c (mod 2q + 1), b' = (g')^c (mod 2q + 1) e invia la coppia (b, b') a V.
  4. V controlla se b' = b^ (mod 2q + 1).

P ha utilizzato la stessa potenza c sia per g che per g' ed è stato in grado di utilizzare solo i valori forniti da V.

Terzo protocollo

Siamo pronti a costruire un protocollo adeguato che assicuri che il prover P emetta potenze del valore s sul dominio offuscato.

  1. V prende un valore casuale s e calcola t = t(s).
  2. V prende un valore casuale e calcola t( · s).
  3. V calcola la seguente serie di valori offuscati e li invia a P.
  4. V calcola la seguente serie di valori offuscati

5. P calcola il polinomio h(x).

6. Usando , P calcola p(s) e h(s) insieme a g^p = g^{p(s)} e g^h = g^{h(s)}.

7. Usando , P calcola p(s) e h(s) insieme a g^{p'} = g^{p( · s)}.

8. P invia g^p, g^h e g^{p'} a V.

9. V verifica che P abbia effettuato i calcoli dei valori offuscati utilizzando solo le informazioni che gli ha inviato. Per fare ciò, V controlla se g^p = g^{p'}.

10. V controlla se vale la seguente identità: g^p = (g^h)^{t(s)}.

Questo protocollo ora soddisfa le proprietà richieste da uno SNARK: è corretto, è robusto ed è efficiente. Le sezioni successive tratteranno della non interattività e della conoscenza zero.

Nota: i passaggi 6 e 7 nel protocollo precedente vengono eseguiti secondo l'esempio sull'occultamento omomorfo.

Conoscenza zero

Nel protocollo fin qui presentato, i coefficienti ci del polinomio noto a P sono molto specifici, e V potrebbe tentare di apprendere qualche informazione su di essi utilizzando gp, gh e gp' provenienti da P. Pertanto, per rendere P sicuro che V non imparerà nulla, P deve nascondere questi valori.

La strategia per nascondere i valori inviati da P segue i passaggi utilizzati in precedenza: P prende un casuale e lo utilizza per nascondere i valori inviati nella comunicazione con V. Per essere precisi, invece di inviare g^p, g^h e g ^{p'}, P calcola e invia (g^p)^, (g^h)^ e (g^{p'})^. Quindi V esegue la verifica sui valori nascosti sotto .

La procedura di verifica che V deve eseguire è ancora valida con questo occultamento, infatti:

Quindi, per rendere il terzo protocollo a conoscenza zero, si sostituisce il passaggio 8 in modo che P possa inviare i valori offuscati.

Non interattività

I diversi protocolli che abbiamo presentato richiedono l'interazione tra il prover e il verificatore, e questo perché la correttezza dei protocolli si basa sui valori segreti s e scelti dal verificatore.

Se vogliamo ripetere uno dei protocolli di cui sopra con un altro verificatore V', V' dovrebbe scegliere nuovi valori s' e '. L'utilizzo dei valori generati da V può consentire a P di imbrogliare se collude con V e V rivela i valori s e a P.

Per evitare la situazione di cui sopra, abbiamo bisogno che il nostro protocollo non sia interattivo e possiamo ottenerlo utilizzando parametri pubblici, affidabili e riutilizzabili. Ciò può essere ottenuto offuscando questi parametri utilizzando un generatore g. Tuttavia, anche se le tecniche di offuscamento utilizzate sono omomorfiche, consentono solo l'aggiunta di messaggi chiari utilizzando il prodotto di valori nascosti, ma non consentono di eseguire il prodotto di valori chiari nel dominio offuscato, e questo passaggio è fondamentale per la verifica la correttezza del polinomio e delle sue radici.

Introdurremo gli accoppiamenti per risolvere questo problema. Ricordiamo che un pairing ha la seguente proprietà:

Questa proprietà consente di verificare l'uguaglianza dei prodotti nel dominio offuscato.

Quindi, per rendere i nostri protocolli non interattivi, il primo passo è prendere i valori casuali segreti s e e offuscarli: g^, e .

Una volta calcolati questi poteri, possiamo sbarazzarci dei valori segreti s e e trasmettere i loro valori offuscati, noti come Common Reference String (CRS). I valori CRS sono generalmente memorizzati come:

  1. Chiave di valutazione: (, ).
  2. Chiave di verifica: (g^, g^{t(s)}).

Protocollo finale: zk-SNARK per la conoscenza di un polinomio

Definiamo ora uno zk-SNARK per dimostrare la conoscenza di un polinomio p(x) di grado n dato un polinomio bersaglio t(x).

Impostazione dei parametri

  1. Ogni parte prende a caso due valori segreti s e .
  2. Ogni parte calcola g, e .
  3. I valori s e vengono distrutti.
  4. Uno trasmette la chiave di valutazione ( e ).
  5. Uno trasmette la chiave di verifica g^, g^{t(s)}.
  1. Supponendo che P conosca p(x), P calcola il polinomio h(x).
  2. P valuta p(x) e h(x) e calcola gp(s) e gh(s) utilizzando i valori contenuti nella chiave di valutazione.
  3. P calcola il valore g^{p( · s)} utilizzando la chiave di valutazione.
  4. P assume un valore casuale .
  5. P trasmette la dimostrazione π = (g^{ · p(s)}, g^{ · h(s)}, g^{ · p( · s)}) = (g^{ · p }, sol^{ · h}, sol^{ · p'}).

Supponendo che V abbia accesso a π = (g^{ · p}, g^{ · h}, g^{ · p'}), controlla se

Siamo riusciti a impostare un protocollo che soddisfi tutte le proprietà richieste nella definizione di uno zk-SNARK: succinto (poiché la dimostrazione controlla solo un polinomio in un punto), conoscenza zero e non interattivo (poiché fa uso di un CRS ).

Generazione del CRS

Gli Zk-SNARK possono essere resi non interattivi utilizzando un insieme di valori nascosti, noto come Common Reference String (CRS). Questi valori nascosti, che nel nostro caso sono della forma e , provengono da valori segreti, s e , che devono essere distrutti una volta derivati ​​i valori nascosti. Osserva che la generazione del CRS è fondamentale poiché se si delega la sua generazione a un terzo partecipante, tutti devono fidarsi che il partecipante distruggerà i valori s e . La terza parte rappresenta un singolo punto di errore.

Se vogliamo evitare il single point of failure abbiamo bisogno di un modo distribuito per generare il CRS in cui sia sufficiente un solo partecipante onesto per garantire che i valori s e non possano essere recuperati.

Usiamo il CRS per lo SNARK che abbiamo costruito nel nostro esempio precedente. Ricordiamo che usando s e come segreti, dobbiamo calcolare i valori nascosti e le potenze g^, e .

Nel nostro nuovo protocollo sostituiremo i valori s e , generati da una singola terza parte, con i valori s_{ABC} e _{ABC} generati da tre utenti A, B e C. Estendere il meccanismo a n utenti è semplice .

Segue il protocollo:

  1. L'utente A genera la coppia (sA, A), calcola e trasmette:

3. B trasmette:

4. C prende una coppia casuale (sC, C), calcola e trasmette:

Questo protocollo genera i valori nascosti per s_{ABC} = s_A · s_B · s_C e _{ABC} = _A · _B · _C senza che nessun singolo partecipante conosca questa coppia di valori.

Tuttavia, abbiamo bisogno di un protocollo che consenta ai partecipanti di verificare che quei valori nascosti siano stati calcolati correttamente. Dobbiamo assicurarci che i valori generati da ciascun utente soddisfino i requisiti, ovvero l'insieme di valori siano potenze di gs, per il valore s di ciascun utente, e che l'insieme sia stato calcolato correttamente. Per fare ciò, verifichiamo che ogni (g^s)^i è effettivamente l'i-esima potenza di gs. Questo può essere fatto controllando che valgano le seguenti uguaglianze. Questo controllo viene eseguito da ciascun partecipante per tutti i valori sU e U associati a ciascun partecipante U:

Questa non è l'unica verifica richiesta. Dobbiamo anche verificare che ogni partecipante utilizzi i valori corretti del partecipante precedente. Per farlo, ogni partecipante utilizzerà i parametri pubblici nascosti di un utente combinati con gli output di un altro partecipante. Ad esempio, C può controllare i valori intermedi del SR generato da B, utilizzando le informazioni del SR di A, verificando quanto segue:

Conclusione

Finora abbiamo imparato come creare uno SNARK, da zero e con tutti i dettagli, per dimostrare la conoscenza di un polinomio. Nel nostro prossimo post, l'ultimo, estenderemo la costruzione di cui sopra a qualsiasi calcolo. Per fare ciò introdurremo due concetti chiave: programmi aritmetici quadratici, QAP, e sistemi di vincoli di rango 1, R1CS, anche se quest'ultimo non sarà introdotto specificamente (apparirà come messaggio subliminale).

Riferimenti

Jordi Herrera Joancomartí, Cristina Pérez Solà, Criptografia avanzata. Note di lettura. Università Aperta della Catalogna, 2022.